Publikování služeb Azure Stack Hub v datacentru
Azure Stack Hub nastavuje virtuální IP adresy pro své role infrastruktury. Tyto virtuální IP adresy se přidělují z fondu veřejných IP adres. Každá virtuální IP adresa je zabezpečena seznamem řízení přístupu (ACL) v softwarově definované síťové vrstvě. Seznamy ACL se také používají napříč fyzickými přepínači (tor a řadič pro správu základní desky) k dalšímu posílení řešení. Pro každý koncový bod v externí zóně DNS, která je zadaná v době nasazení, se vytvoří položka DNS. Například portál User Portal má přiřazenou položku hostitele DNS portálu. <oblast>.<plně kvalifikovaný název domény>.
Následující diagram architektury znázorňuje různé síťové vrstvy a seznamy ACL:
Porty a adresy URL
Pokud chcete služby Azure Stack Hub (jako jsou portály, Azure Resource Manager, DNS atd.) zpřístupnit externím sítím, musíte povolit příchozí provoz do těchto koncových bodů pro konkrétní adresy URL, porty a protokoly.
V nasazení, kde řešení chrání transparentní odchozí proxy server nebo brána firewall, musíte povolit konkrétní porty a adresy URL pro příchozí i odchozí komunikaci. Patří mezi ně porty a adresy URL pro identitu, marketplace, data o opravách a aktualizacích, registraci a využití.
Zachycování provozu SSL se nepodporuje a při přístupu ke koncovým bodům může vést k selháním služby.
Porty a protokoly (příchozí)
K publikování koncových bodů služby Azure Stack Hub do externích sítí se vyžaduje sada virtuálních IP adres infrastruktury. Tabulka Endpoint (VIP) zobrazuje jednotlivé koncové body, požadovaný port a protokol. Projděte si dokumentaci ke konkrétnímu poskytovateli prostředků pro nasazení koncových bodů, které vyžadují další poskytovatele prostředků, jako je poskytovatel prostředků SQL.
Interní virtuální IP adresy infrastruktury nejsou uvedené, protože se nevyžadují pro publikování služby Azure Stack Hub. Virtuální IP adresy uživatelů jsou dynamické a definované samotnými uživateli bez kontroly operátorem služby Azure Stack Hub.
Po přidání hostitele rozšíření se porty v rozsahu 12495–30015 nevyžadují.
| Koncový bod (VIP) | Záznam hostitele DNS A | Protokol | Porty |
|---|---|---|---|
| AD FS | Adfs. <oblast>.<Fqdn> | HTTPS | 443 |
| Portál (správce) | Portál pro správu. <oblast>.<Fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<oblast>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (správce) | Správa správy. <oblast>.<Fqdn> | HTTPS | 443 |
| Portál (uživatel) | Portál. <oblast>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (uživatel) | Správa. <oblast>.<Fqdn> | HTTPS | 443 |
| Graph | Grafu. <oblast>.<Fqdn> | HTTPS | 443 |
| Seznam odvolaných certifikátů | Crl.region<.<>Fqdn> | HTTP | 80 |
| DNS | *. <oblast>.<Fqdn> | TCP & UDP | 53 |
| Hostování | *.Hosting.<oblast>.<Fqdn> | HTTPS | 443 |
| Key Vault (uživatel) | *.Trezoru. <oblast>.<Fqdn> | HTTPS | 443 |
| Key Vault (správce) | *.adminvault. <oblast>.<Fqdn> | HTTPS | 443 |
| Fronta úložiště | *.Fronty. <oblast>.<Fqdn> | HTTP HTTPS |
80 443 |
| Tabulka úložiště | *.Tabulka. <oblast>.<Fqdn> | HTTP HTTPS |
80 443 |
| Storage Blob | *.Blob. <oblast>.<Fqdn> | HTTP HTTPS |
80 443 |
| Poskytovatel prostředků SQL | sqladapter.dbadapter. <oblast>.<Fqdn> | HTTPS | 44300-44304 |
| Poskytovatel prostředků MySQL | mysqladapter.dbadapter. <oblast>.<Fqdn> | HTTPS | 44300-44304 |
| App Service | *.appservice. <oblast>.<Fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice. <oblast>.<Fqdn> | TCP | 443 (HTTPS) | |
| api.appservice. <oblast>.<Fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice. <oblast>.<Fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| Brány VPN Gateway | PROTOKOL IP 50 & UDP | Datová část zabezpečení zapouzdření (ESP) IPSec & UDP 500 a 4500 |
Porty a adresy URL (odchozí)
Azure Stack Hub podporuje pouze transparentní proxy servery. V nasazení s transparentním odchozím proxy serverem na tradiční proxy server musíte pro odchozí komunikaci povolit porty a adresy URL uvedené v následující tabulce. Další informace o konfiguraci transparentních proxy serverů najdete v tématu Transparentní proxy server pro Azure Stack Hub.
Zachycování provozu SSL se nepodporuje a při přístupu ke koncovým bodům může vést k selháním služby. Maximální podporovaný časový limit pro komunikaci s koncovými body vyžadovaný pro identitu je 60 s.
Poznámka
Azure Stack Hub nepodporuje připojení ke službám Azure uvedeným v následující tabulce pomocí ExpressRoute, protože ExpressRoute nemusí být schopen směrovat provoz do všech koncových bodů.
| Účel | Cílová adresa URL | Protokol nebo porty | Zdrojová síť | Požadavek |
|---|---|---|---|---|
|
Identita Umožňuje službě Azure Stack Hub připojit se k ID Microsoft Entra pro ověřování služby user & Service. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure (Čína) 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure (Německo) https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
Veřejná virtuální IP adresa – /27 Síť veřejné infrastruktury |
Povinné pro připojené nasazení. |
|
Syndikace Marketplace Umožňuje stahovat položky do služby Azure Stack Hub z Marketplace a zpřístupnit je všem uživatelům pomocí prostředí Azure Stack Hub. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure (Čína) 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | Veřejná virtuální IP adresa – /27 | Nevyžadují se. K nahrání imagí do služby Azure Stack Hub použijte pokyny pro odpojený scénář . |
|
Oprava & aktualizace Po připojení ke koncovým bodům aktualizace se aktualizace softwaru a opravy hotfix služby Azure Stack Hub zobrazí jako dostupné ke stažení. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Veřejná virtuální IP adresa – /27 | Nevyžadují se. K ručnímu stažení a přípravě aktualizace použijte pokyny pro odpojené připojení nasazení . |
|
Registrace Umožňuje zaregistrovat službu Azure Stack Hub v Azure za účelem stahování Azure Marketplace položek a nastavení generování sestav obchodních dat zpět do Microsoftu. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure (Čína) 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | Veřejná virtuální IP adresa – /27 | Nevyžadují se. Odpojený scénář můžete použít pro offline registraci. |
|
Použití Umožňuje operátorům služby Azure Stack Hub nakonfigurovat jejich instanci služby Azure Stack Hub tak, aby hlásila data o využití do Azure. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure (Čína) 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | Veřejná virtuální IP adresa – /27 | Vyžaduje se pro licenční model založený na spotřebě služby Azure Stack Hub. |
|
Windows Defender Umožňuje poskytovateli prostředků aktualizace stahovat antimalwarové definice a aktualizace modulu několikrát denně. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | Veřejná virtuální IP adresa – /27 Síť veřejné infrastruktury |
Nevyžadují se. Odpojený scénář můžete použít k aktualizaci souborů podpisů antivirového softwaru. |
|
NTP Umožňuje službě Azure Stack Hub připojit se k časovým serverům. |
(IP adresa serveru NTP zadaná pro nasazení) | UDP 123 | Veřejná virtuální IP adresa – /27 | Vyžadováno |
|
DNS Umožňuje službě Azure Stack Hub připojit se k serveru DNS pro předávání. |
(IP adresa serveru DNS poskytnutá pro nasazení) | TCP & UDP 53 | Veřejná virtuální IP adresa – /27 | Vyžadováno |
|
SYSLOG Umožňuje službě Azure Stack Hub odesílat zprávy syslogu pro účely monitorování nebo zabezpečení. |
(IP adresa serveru SYSLOG k nasazení) | TCP 6514, UDP 514 |
Veřejná VIRTUÁLNÍ IP adresa – /27 | Volitelné |
|
Seznamu crl Umožňuje službě Azure Stack Hub ověřovat certifikáty a kontrolovat odvolané certifikáty. |
Adresa URL v části Distribuční body seznamu CRL na vašich certifikátech | HTTP 80 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Vyžadováno |
|
Seznamu crl Umožňuje službě Azure Stack Hub ověřovat certifikáty a kontrolovat odvolané certifikáty. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Nevyžadují se. Důrazně doporučujeme osvědčený postup zabezpečení. |
|
LDAP Umožňuje službě Azure Stack Hub komunikovat s místní službou Microsoft Active Directory. |
Doménová struktura služby Active Directory poskytovaná pro integraci graphu | TCP & UDP 389 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Vyžaduje se při nasazení služby Azure Stack Hub pomocí SLUŽBY AD FS. |
|
LDAP SSL Umožňuje službě Azure Stack Hub šifrovanou komunikaci s místní službou Microsoft Active Directory. |
Doménová struktura služby Active Directory poskytovaná pro integraci graphu | TCP 636 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Vyžaduje se při nasazení služby Azure Stack Hub pomocí SLUŽBY AD FS. |
|
LDAP GC Umožňuje službě Azure Stack Hub komunikovat se servery Microsoft Active Global Catalog. |
Doménová struktura služby Active Directory poskytovaná pro integraci graphu | TCP 3268 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Vyžaduje se při nasazení služby Azure Stack Hub pomocí SLUŽBY AD FS. |
|
LDAP GC SSL Umožňuje službě Azure Stack Hub šifrovanou komunikaci se servery globálního katalogu Microsoft Active Directory. |
Doménová struktura služby Active Directory poskytovaná pro integraci graphu | TCP 3269 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Vyžaduje se při nasazení služby Azure Stack Hub pomocí SLUŽBY AD FS. |
|
AD FS Umožňuje službě Azure Stack Hub komunikovat s místní službou AD FS. |
Koncový bod metadat služby AD FS poskytnutý pro integraci služby AD FS | TCP 443 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Nepovinný parametr. Vztah důvěryhodnosti zprostředkovatele deklarací identity služby AD FS je možné vytvořit pomocí souboru metadat. |
|
Shromažďování diagnostických protokolů Umožňuje službě Azure Stack Hub odesílat protokoly buď proaktivně, nebo ručně operátorem na podporu Microsoftu. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Nevyžadují se. Protokoly můžete ukládat místně. |
|
Vzdálená podpora Umožňuje pracovníkům podpory Microsoftu rychleji řešit případ podpory tím, že vzdáleně povolí přístup k zařízení, aby mohli provádět omezené operace řešení potíží a oprav. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Nevyžadují se. |
|
Telemetrie Umožňuje službě Azure Stack Hub odesílat telemetrická data do Microsoftu. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comPočínaje verzí 2108 se vyžadují také následující koncové body: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Vyžaduje se, když je povolená telemetrie služby Azure Stack Hub. |
Odchozí adresy URL se vyrovnávají zatížení pomocí Azure Traffic Manageru, aby poskytovaly nejlepší možné připojení na základě zeměpisné polohy. Díky adresám URL s vyrovnáváním zatížení může Microsoft aktualizovat a měnit koncové body back-endu, aniž by to mělo vliv na zákazníky. Microsoft nesdílí seznam IP adres adres URL s vyrovnáváním zatížení. Použijte zařízení, které podporuje filtrování podle adresy URL místo podle IP adresy.
Vždy se vyžaduje odchozí DNS. Liší se zdroj dotazující externí DNS a typ integrace identity. Během nasazení pro připojený scénář potřebuje počítač DVM, který se nachází v síti řadiče pro správu základní desky, odchozí přístup. Po nasazení se ale služba DNS přesune na interní komponentu, která bude odesílat dotazy prostřednictvím veřejné virtuální IP adresy. V té době je možné odchozí přístup DNS přes síť řadiče pro správu základní desky odebrat, ale musí zůstat přístup veřejné virtuální ip adresy k danému serveru DNS, jinak ověřování selže.
Další kroky
Požadavky na infrastrukturu veřejných klíčů služby Azure Stack Hub