Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano szczegóły łączności infrastruktury, licencjonowania i kontrolera granic sesji (SBC), o których chcesz pamiętać podczas planowania wdrożenia routingu bezpośredniego platformy Azure.
Wymagania dotyczące infrastruktury
Wymagania dotyczące infrastruktury dla obsługiwanych kontrolerów SBC, domen i innych wymagań dotyczących łączności sieciowej w celu wdrożenia routingu bezpośredniego platformy Azure są wymienione w poniższej tabeli:
| Wymaganie dotyczące infrastruktury | Potrzebne są następujące elementy |
|---|---|
| Kontroler granicy sesji (SBC) | Obsługiwany protokół SBC. Aby uzyskać więcej informacji, zobacz Obsługiwane SBC. |
| Magistrale telefonii podłączone do SBC | Co najmniej jedna linia magistralna telefonii podłączona do SBC. Na jednym końcu połączenie SBC z usługą Azure Communication Service odbywa się za pośrednictwem routingu bezpośredniego. SBC może również łączyć się z jednostkami telefonii innych firm, takimi jak PBXs, adaptery telefonii analogowych. Każda opcja łączności z publiczną siecią telefonii przełączanej (PSTN) połączona z SBC działa. (Aby uzyskać informacje o konfiguracji magistrali PSTN do SBC, zapoznaj się z dostawcami SBC lub dostawcami magistrali). |
| Subskrypcja platformy Azure | Subskrypcja platformy Azure używana do tworzenia zasobu usług Communication Services oraz konfiguracji i połączenia z protokołem SBC. |
| Token dostępu usług komunikacyjnych | Aby wykonać wywołania, potrzebujesz prawidłowego tokenu dostępu z zakresem voip . Zobacz Tokeny dostępu |
| Publiczny adres IP dla SBC | Publiczny adres IP, który może służyć do nawiązywania połączenia z protokołem SBC. Na podstawie typu SBC, SBC może używać NAT. |
| W pełni kwalifikowana nazwa domeny (FQDN) dla SBC | Aby uzyskać więcej informacji, zobacz Certyfikaty SBC i nazwy domen. |
| Publiczny wpis DNS dla SBC | Publiczny wpis DNS mapujący pełną nazwę domeny (FQDN) SBC na publiczny adres IP. |
| Publiczny zaufany certyfikat dla SBC | Certyfikat dla SBC, który będzie używany do całej komunikacji za pomocą bezpośredniego routingu Azure. Aby uzyskać więcej informacji, zobacz Certyfikaty SBC i nazwy domen. |
| Adresy IP zapory sieciowej i porty dla sygnalizacji i multimediów SIP | SBC komunikuje się z następującymi usługami w chmurze: Serwer proxy SIP, który obsługuje sygnał Procesor multimedialny, który obsługuje multimedia Te dwie usługi mają oddzielne adresy IP w usłudze Microsoft Cloud opisane w dalszej części tego dokumentu. |
Certyfikaty SBC i nazwy domen
Firma Microsoft zaleca zażądanie certyfikatu dla SBC przez żądanie podpisania certyfikatu (CSR). Aby uzyskać szczegółowe instrukcje dotyczące generowania csr dla SBC, zapoznaj się z instrukcjami dotyczącymi wzajemnego połączenia lub dokumentacją dostarczoną przez dostawców SBC.
Uwaga / Notatka
Większość urzędów certyfikacji wymaga, aby rozmiar klucza prywatnego był co najmniej 2048. Pamiętaj o tym podczas generowania CSR.
Certyfikat musi mieć nazwę FQDN SBC jako nazwę główną (CN) lub pole alternatywnej nazwy podmiotu (SAN). Certyfikat powinien być wystawiany bezpośrednio z urzędu certyfikacji, a nie od dostawcy pośredniego.
Alternatywnie routing bezpośredni usług komunikacyjnych obsługuje symbol wieloznaczny w sieci CN i/lub SIECI SAN, a symbol wieloznaczny musi być zgodny ze standardowym protokołem RFC HTTP over TLS.
Klienci, którzy już korzystają z usługi Office 365 i mają domenę zarejestrowaną w Centrum administracyjnym platformy Microsoft 365, mogą używać nazwy FQDN SBC z tej samej domeny.
Przykładem może być użycie *.contoso.com, które będzie zgodne z FQDN SBC sbc.contoso.com, ale nie będzie pasować do sbc.test.contoso.com.
Uwaga / Notatka
Nazwa FQDN SBC w routingu bezpośrednim usług Azure Communication Services musi być inna niż nazwa FQDN SBC w routingu bezpośrednim usługi Teams.
Usługi komunikacyjne ufają tylko certyfikatom podpisanym przez urzędy certyfikacji będące częścią programu zaufanego certyfikatu głównego firmy Microsoft. Upewnij się, że certyfikat SBC jest podpisany przez urząd certyfikacji, który jest częścią programu, oraz że rozszerzenie rozszerzonego użycia klucza (EKU) certyfikatu obejmuje uwierzytelnianie serwera. Więcej informacji:
Wymagania dotyczące programu — zaufany program główny firmy Microsoft
Lista dołączonych certyfikatów CA
Ważne
Bezpośrednie trasowanie w usługach Azure Communication Services obsługuje tylko protokół TLS 1.2. Aby uniknąć wpływu na usługę, upewnij się, że kontrolery SBC są skonfigurowane do obsługi protokołu TLS1.2 i mogą łączyć się przy użyciu jednego z następujących zestawów szyfrowania na potrzeby sygnalizowania SIP:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 tj. ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 tj. ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 tj. ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 tj. ECDHE-RSA-AES128-SHA256
Obsługiwany jest tylko AES_CM_128_HMAC_SHA1_80 w przypadku nośnika SRTP.
Parowanie SBC działa na poziomie zasobów usług komunikacyjnych. Oznacza to, że można połączyć wiele SBCs z pojedynczym zasobem usług komunikacyjnych. Mimo to nie można sparować pojedynczego połączenia SBC z więcej niż jednym zasobem usług komunikacyjnych. Unikatowe nazwy FQDN SBC są wymagane do parowania z różnymi zasobami.
Jeśli obsługa wzajemnego protokołu TLS (MTLS) jest włączona dla połączenia usługi Teams na SBC, należy zainstalować wszystkie urzędy certyfikacji wymienione w sekcji "Główne urzędy certyfikacji" na stronie szczegółów urzędu certyfikacji platformy Azure w zaufanym magazynie głównym SBC kontekstu TLS usługi Teams. (Jest to spowodowane tym, że certyfikaty usługi firmy Microsoft używają tych certyfikatów głównych). Aby pobrać certyfikaty główne, zobacz Łańcuchy szyfrowania platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Office TLS Certificate Changes (Zmiany certyfikatów TLS pakietu Office).
Sygnalizowanie SIP: nazwy FQDN
Punkty połączenia dla trasowania bezpośredniego usług komunikacyjnych to następujące trzy nazwy FQDN:
- sip.pstnhub.microsoft.com — globalny FQDN — należy najpierw wypróbować. Gdy SBC wysyła żądanie rozpoznania tej nazwy, serwery DNS platformy Microsoft Azure zwracają adres IP wskazujący główne centrum danych platformy Azure przypisane do SBC. Przypisanie jest oparte na metrykach wydajności centrów danych i geograficznej odległości od SBC. Zwrócony adres IP odpowiada podstawowej pełnej kwalifikowanej nazwie domeny (FQDN).
- sip2.pstnhub.microsoft.com — pomocnicza nazwa FQDN — geograficznie mapuje na region o drugim priorytcie.
- sip3.pstnhub.microsoft.com — Tertiary FQDN — geograficznie mapuje na region trzeciego priorytetu.
Te trzy FQDN-y w kolejności są wymagane do:
- Zapewnienie optymalnego środowiska (mniej obciążone i najbliższe centrum danych SBC przypisane po wysłaniu zapytania do pierwszego FQDN).
- Po nawiązaniu połączenia z SBC z centrum danych, w którym występuje tymczasowy problem, należy podać tryb failover. Aby uzyskać więcej informacji, zobacz mechanizm awaryjny.
Nazwy FQDN — sip.pstnhub.microsoft.com, sip2.pstnhub.microsoft.com i sip3.pstnhub.microsoft.com — rozpoznają jeden z następujących adresów IP:
52.112.0.0/14 (IP addresses from 52.112.0.0 to 52.115.255.255)52.122.0.0/15 (IP addresses from 52.122.0.0 to 52.123.255.255)
Otwórz porty zapory dla wszystkich tych zakresów adresów IP, aby zezwolić na ruch przychodzący i wychodzący do i z adresów na potrzeby sygnalizowania.
Sygnalizowanie SIP: porty
Użyj następujących portów dla routingu bezpośredniego usług Komunikacyjnych Platformy Azure:
| Ruch | Źródło | Do | Port źródłowy | Port docelowy |
|---|---|---|---|---|
| SIP/TLS | SIP Proxy | SBC | 1024–65535 | Zdefiniowane na SBC |
| SIP/TLS | SBC | SIP Proxy | Zdefiniowane na SBC | 5061 |
Mechanizm przełączania w tryb failover na potrzeby sygnalizowania SIP
SBC tworzy zapytanie DNS, aby rozwiązać sip.pstnhub.microsoft.com. Na podstawie lokalizacji SBC oraz metryk wydajności wybierane jest główne centrum danych. Jeśli podstawowe centrum danych napotka problem, SBC łączy się z sip2.pstnhub.microsoft.com, który przekierowuje do drugiego przypisanego centrum danych, a w rzadkich przypadkach, gdy centra danych w dwóch regionach nie są dostępne, SBC ponawia próbę połączenia z ostatnią dostępną nazwą FQDN (sip3.pstnhub.microsoft.com), która zapewnia trzeci adres IP centrum danych.
Ruch multimedialny: zakresy adresów IP i portów
Ruch multimedialny przepływa do i z oddzielnej usługi o nazwie Procesor multimediów. Zakresy adresów IP dla ruchu multimedialnego są takie same jak w przypadku sygnalizowania:
52.112.0.0/14 (IP addresses from 52.112.0.0 to 52.115.255.255)52.120.0.0/14 (IP addresses from 52.120.0.0 to 52.123.255.255)
Zakresy portów
Zakresy portów procesorów multimediów przedstawiono w poniższej tabeli:
| Ruch | Źródło | Do | Port źródłowy | Port docelowy |
|---|---|---|---|---|
| UDP/SRTP | Procesor multimediów | SBC | 49152–53247 | Zdefiniowane na SBC |
| UDP/SRTP | SBC | Procesor multimediów | Zdefiniowane na SBC | 49152–53247 |
Uwaga / Notatka
Firma Microsoft zaleca co najmniej dwa porty na każde jednoczesne połączenie na SBC.
Ruch multimedialny: lokalizacja geograficzna procesorów multimediów
Procesory multimediów są umieszczane w tych samych centrach danych co serwery proxy SIP:
- NOAM (Południowo-centralny region USA, po jednym w zachodnim i wschodnim centrum danych USA)
- Europa (Europa Zachodnia, Europa Północna, Szwecja, Francja Środkowa)
- Azja (singapurskie centrum danych)
- Japonia (CENTRA danych JP East i West)
- Australia (AU Wschodnie i Południowo-Wschodnie centra danych)
- LATAM (Brazylia Południowa)
- Afryka (Republika Południowej Afryki Północnej)
Ruch multimediów: kodeki
Łącze między SBC a procesorem multimediów w chmurze.
Interfejs bezpośredniego routingu platformy Azure na odcinku między kontrolerem granicy sesji a przetwornikiem mediów w chmurze może używać następujących kodeków:
- SILK, G.711, G.722, G.729
Możesz wymusić użycie określonego kodeka na kontrolerze granic sesji, wykluczając niepożądane kodeki z oferty.
Połączenie między aplikacją SDK do obsługi połączeń a procesorem multimediów w chmurze
Na etapie między aplikacją Cloud Media Processor i Communication Services Calling SDK jest używany G.722. Praca nad dodaniem kolejnych kodeków w tym etapie jest w toku.
Obsługiwane kontrolery graniczne sesji (SBCs)
Dalsze kroki
Dokumentacja koncepcyjna
- Koncepcja telefonii
- Typy numerów telefonów w usługach Azure Communication Services
- Parowanie kontrolera obramowania sesji i konfigurowanie routingu głosowego
- Omówienie usługi Call Automation
- Cennik