Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
É recomendável que você use um dispositivo de firewall para ajudar a proteger o Azure Stack Hub. Os firewalls podem ajudar a se defender contra coisas como ataques distribuídos de negação de serviço (DDOS), deteção de intrusão e inspeção de conteúdo. No entanto, eles também podem se tornar um gargalo de taxa de transferência para serviços de armazenamento do Azure, como blobs, tabelas e filas.
Se um modo de implantação desconectado for usado, você deverá publicar o ponto de extremidade do AD FS. Para obter mais informações, consulte o artigo Identidade de integração de datacenter.
Os pontos de extremidade do Azure Resource Manager (administrador), do portal do administrador e do Cofre da Chave (administrador) não exigem necessariamente publicação externa. Por exemplo, como um provedor de serviços, você pode limitar a superfície de ataque administrando apenas o Azure Stack Hub de dentro de sua rede, e não da Internet.
Para organizações empresariais, a rede externa pode ser a rede corporativa existente. Nesse cenário, você deve publicar pontos de extremidade para operar o Azure Stack Hub a partir da rede corporativa.
Tradução de Endereços de Rede
A NAT (Conversão de Endereços de Rede) é o método recomendado para permitir que a máquina virtual de implantação (DVM) acesse recursos externos e a Internet durante a implantação, bem como as VMs do Console de Recuperação de Emergência (ERCS) ou o ponto de extremidade privilegiado (PEP) durante o registro e a solução de problemas.
NAT também pode ser uma alternativa para endereços IP públicos na rede externa ou VIPs públicos. No entanto, não é recomendado fazê-lo porque limita a experiência do usuário locatário e aumenta a complexidade. Uma opção seria um NAT individual que ainda requer um IP público por IP de usuário no pool. Outra opção é um NAT muitos para um que requer uma regra NAT por usuário VIP para todas as portas que um usuário pode usar.
Algumas das desvantagens de usar NAT para VIP Público são:
- O NAT adiciona sobrecarga ao gerenciar regras de firewall porque os usuários controlam seus próprios pontos de extremidade e suas próprias regras de publicação na pilha de rede definida por software (SDN). Os usuários devem entrar em contato com o operador do Azure Stack Hub para publicar seus VIPs e atualizar a lista de portas.
- Embora o uso de NAT limite a experiência do usuário, ele dá controle total ao operador sobre as solicitações de publicação.
- Para cenários de nuvem híbrida com o Azure, considere que o Azure não oferece suporte à configuração de um túnel VPN para um ponto de extremidade usando NAT.
Intercetação SSL
Atualmente, é recomendado desabilitar qualquer intercetação SSL (por exemplo, descarregamento de descriptografia) em todo o tráfego do Azure Stack Hub. Se houver suporte em atualizações futuras, serão fornecidas orientações sobre como habilitar a intercetação SSL para o Azure Stack Hub.
Cenário de firewall de borda
Em uma implantação de borda, o Azure Stack Hub é implantado diretamente atrás do roteador de borda ou do firewall. Nesses cenários, há suporte para que o firewall esteja acima da borda (Cenário 1), onde ele suporta configurações de firewall ativo-ativo e ativo-passivo ou agindo como o dispositivo de borda (Cenário 2), onde ele suporta apenas a configuração de firewall ativo-ativo, dependendo de ECMP (equal-cost multi-path) com BGP ou roteamento estático para failover.
Os endereços IP roteáveis públicos são especificados para o pool VIP público da rede externa no momento da implantação. Em um cenário de borda, não é recomendado usar IPs roteáveis públicos em qualquer outra rede para fins de segurança. Esse cenário permite que um usuário experimente a experiência de nuvem autocontrolada completa como em uma nuvem pública como o Azure.
Cenário de firewall de rede de perímetro ou intranet corporativa
Em uma implantação de intranet ou perímetro empresarial, o Azure Stack Hub é implantado em um firewall multizona ou entre o firewall de borda e o firewall de rede corporativa interno. Seu tráfego é então distribuído entre a rede de perímetro segura (ou DMZ) e as zonas não seguras, conforme descrito abaixo:
- Zona segura: Esta é a rede interna que usa endereços IP roteáveis internos ou corporativos. A rede segura pode ser dividida, ter acesso de saída à Internet através de NAT no Firewall, e geralmente é acessível de qualquer lugar dentro do seu datacenter através da rede interna. Todas as redes do Azure Stack Hub devem residir na zona segura, exceto o pool VIP público da rede externa.
- Zona de perímetro. A rede de perímetro é onde os aplicativos externos ou voltados para a Internet, como servidores Web, normalmente são implantados. Geralmente é monitorado por um firewall para evitar ataques como DDoS e intrusão (hacking) enquanto ainda permite tráfego de entrada especificado da internet. Somente o pool VIP público de rede externa do Azure Stack Hub deve residir na zona DMZ.
- Zona insegura. Esta é a rede externa, a internet. Não é recomendável implantar o Azure Stack Hub na zona não segura.
Mais informações
Saiba mais sobre portas e protocolos usados pelos pontos de extremidade do Azure Stack Hub.