Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Stack Hub configura endereços IP virtuais (VIPs) para suas funções de infraestrutura. Esses VIPs são alocados a partir do pool de endereços IP públicos. Cada VIP é protegido com uma lista de controle de acesso (ACL) na camada de rede definida por software. As ACLs também são usadas nos switches físicos (TORs e BMC) para endurecer ainda mais a solução. Uma entrada DNS é criada para cada ponto de extremidade na zona DNS externa especificada no momento da implantação. Por exemplo, o portal do utilizador recebe a entrada do host DNS do portal.<região>.<fqdn>.
O diagrama de arquitetura a seguir mostra as diferentes camadas de rede e ACLs:
Portas e URLs
Para disponibilizar os serviços do Azure Stack Hub (como portais, Azure Resource Manager, DNS e assim por diante) para redes externas, você deve permitir o tráfego de entrada para esses pontos de extremidade para URLs, portas e protocolos específicos.
Em uma implantação em que um proxy transparente se conecta a um servidor proxy tradicional ou a um firewall que protege a solução, você deve permitir portas e URLs específicas para comunicação de entrada e saída. Incluem-se portas e URLs para a identidade, o mercado de aplicações, correção e atualização, registo e dados de uso.
A interceção de tráfego SSL não é suportada e pode levar a falhas de serviço ao aceder endereços finais.
Portas e protocolos (entrada)
Um conjunto de VIPs de infraestrutura é necessário para publicar endpoints do Azure Stack Hub em redes externas. A tabela Endpoint (VIP) mostra cada ponto de extremidade, a porta necessária e o protocolo. Consulte a documentação de implementação específica do provedor de recursos para endpoints que requerem provedores adicionais, como o provedor SQL.
Os VIPs de infraestrutura interna não são listados porque não são necessários para publicar o Azure Stack Hub. Os VIPs de usuário são dinâmicos e definidos pelos próprios usuários, sem controle pelo operador do Azure Stack Hub.
Com a adição do host de extensão, as portas no intervalo de 12495-30015 não são necessárias.
| Ponto final (VIP) | Registo de anfitrião DNS A | Protocolo | Portas |
|---|---|---|---|
| AD FS | Adfs.<região>.<FQDN> | HTTPS | 443 |
| Portal (administrador) | Portal de administração.<região>.<FQDN> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<região>.<FQDN> | HTTPS | 443 |
| Azure Resource Manager (administrador) | Gestão administrativa.<região>.<FQDN> | HTTPS | 443 |
| Portal (utilizador) | Portal.<região>.<FQDN> | HTTPS | 443 |
| Azure Resource Manager (usuário) | Gestão.<região>.<FQDN> | HTTPS | 443 |
| Graph | Gráfico.<região>.<FQDN> | HTTPS | 443 |
| Lista de revogação de certificados | Crl.<região>.<FQDN> | HTTP | 80 |
| DNS | *.<região>.<FQDN> | TCP & UDP | 53 |
| Hosting | *.hospedagem.<região>.<FQDN> | HTTPS | 443 |
| Cofre de Chaves (utilizador) | *.cofre.<região>.<FQDN> | HTTPS | 443 |
| Cofre da Chave (administrador) | *.adminvault.<região>.<FQDN> | HTTPS | 443 |
| Fila de Armazenamento | *.fila.<região>.<FQDN> | HTTP HTTPS |
80 443 |
| Tabela de Armazenamento | *.tabela.<região>.<fqdn> | HTTP HTTPS |
80 443 |
| Blob de Armazenamento | *.blob.<região>.<FQDN> | HTTP HTTPS |
80 443 |
| Fornecedor de Recursos SQL | sqlAdapter.dbAdapter.<região>.<FQDN> | HTTPS | 44300-44304 |
| Fornecedor de Recursos do MySQL | mysqladapter.dbadapter.<region>.<FQDN> | HTTPS | 44300-44304 |
| Serviço de Aplicações | *.appservice.<região>.<FQDN> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice.<região>.<FQDN> | TCP | 443 (HTTPS) | |
| api.appservice.<região>.<FQDN> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice.<região>.<FQDN> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| Gateways de VPN | Protocolo IP 50 & UDP | Carga útil de segurança de encapsulamento (ESP) IPSec & UDP 500 e 4500 |
Portas e URLs (de saída)
O Azure Stack Hub suporta apenas servidores proxy transparentes. Em uma implantação com um uplink de proxy transparente para um servidor proxy tradicional, deve-se permitir as portas e URLs na tabela abaixo para comunicação de saída. Para obter mais informações sobre como configurar servidores proxy transparentes, consulte Proxy transparente para o Azure Stack Hub.
A interceção de tráfego SSL não é suportada e pode levar a falhas de serviço ao aceder endereços finais. O tempo limite máximo suportado para comunicar com endpoints necessários para a verificação de identidade é de sessenta segundos.
Nota
O Azure Stack Hub não oferece suporte ao uso da Rota Expressa para alcançar os serviços do Azure listados na tabela a seguir porque a Rota Expressa pode não conseguir rotear o tráfego para todos os pontos de extremidade.
| Propósito | URL de destino | Protocolo / Portas | Rede de origem | Requisito |
|---|---|---|---|---|
|
Identidade Permite que o Azure Stack Hub se conecte ao Microsoft Entra ID para autenticação de utilizador e serviço. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.microsoftazure.us/Azure China 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure Alemanha https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
VIP Público - /27 Rede de infraestruturas públicas |
Obrigatório para uma implantação conectada. |
|
Sindicação de mercado Permite que você baixe itens para o Azure Stack Hub do Marketplace e os disponibilize para todos os usuários usando o ambiente do Azure Stack Hub. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://azurestackhub.download.prss.microsoft.comAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | VIP Público - /27 | Não necessário. Utilize as instruções de cenário desconectado para carregar imagens no Azure Stack Hub. |
Quando ligado aos endpoints de atualização, as atualizações de software e os hotfixes do Azure Stack Hub são apresentados como disponíveis para download. |
https://azurestackhub.download.prss.microsoft.comhttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | VIP Público - /27 | Não necessário. Use as instruções de conexão de implantação desconectada para baixar e preparar manualmente a atualização. |
|
Registo Permite que você registre o Azure Stack Hub no Azure para baixar itens do Azure Marketplace e configurar relatórios de dados de comércio para a Microsoft. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | VIP Público - /27 | Não necessário. Você pode usar o cenário desconectado para registro offline. |
|
Utilização Permite que os operadores do Azure Stack Hub configurem sua instância do Azure Stack Hub para relatar dados de uso para o Azure. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure China 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | VIP Público - /27 | Necessário para o modelo de licenciamento baseado no consumo do Azure Stack Hub. |
|
Windows Defender Permite que o provedor de recursos de atualização baixe definições de antimalware e atualizações do mecanismo várias vezes por dia. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | VIP Público - /27 Rede de infraestruturas públicas |
Não necessário. Você pode usar o cenário desconectado para atualizar arquivos de assinatura antivírus. |
|
NTP Permite que o Azure Stack Hub se conecte a servidores de horários. |
(IP do servidor NTP fornecido para implantação) | UDP 123 | VIP Público - /27 | Necessário |
|
DNS Permite que o Azure Stack Hub se conecte ao encaminhador do servidor DNS. |
(IP do servidor DNS fornecido para implantação) | TCP & UDP 53 | VIP Público - /27 | Necessário |
|
SYSLOG Permite que o Azure Stack Hub envie mensagens syslog para fins de monitoramento ou segurança. |
(IP do servidor SYSLOG fornecido para implantação) | TCP 6514, UDP 514 |
VIP Público - /27 | Opcional |
|
CRL Permite que o Azure Stack Hub valide certificados e verifique se há certificados revogados. |
URL em Pontos de Distribuição de CRL nos seus certificados | HTTP 80 | VIP Público - /27 | Necessário |
|
CRL Permite que o Azure Stack Hub valide certificados e verifique se há certificados revogados. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | VIP Público - /27 | Não necessário. Práticas de segurança fortemente recomendadas. |
|
LDAP Permite que o Azure Stack Hub se comunique com o Microsoft Ative Directory local. |
Floresta do Ative Directory fornecida para integração com o Graph | TCP & UDP 389 | VIP Público - /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
|
LDAP SSL Permite que o Azure Stack Hub se comunique criptografado com o Microsoft Ative Directory local. |
Floresta do Ative Directory fornecida para integração com o Graph | TCP 636 [en] | VIP Público - /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
|
LDAP GC Permite que o Azure Stack Hub se comunique com os Servidores de Catálogo Global do Microsoft Ative. |
Floresta do Ative Directory fornecida para integração com o Graph | TCP 3268 | VIP Público - /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
|
LDAP GC SSL Permite que o Azure Stack Hub se comunique criptografado com os Servidores de Catálogo Global do Microsoft Ative Directory. |
Floresta do Ative Directory fornecida para integração com o Graph | TCP 3269 | VIP Público - /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
|
AD FS Permite que o Azure Stack Hub se comunique com o AD FS local. |
Ponto de extremidade de metadados do AD FS fornecido para integração com o AD FS | TCP 443 | VIP Público - /27 | Opcional. A confiança do provedor de declarações do AD FS pode ser criada usando um arquivo de metadados. |
|
Coleta de registos de diagnóstico Permite que o Azure Stack Hub envie logs de forma proativa ou manual por um operador para o suporte da Microsoft. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | VIP Público - /27 | Não necessário. Você pode salvar logs localmente. |
|
Suporte remoto Permite que os profissionais de suporte da Microsoft resolvam casos de suporte mais rapidamente, permitindo o acesso ao dispositivo remotamente para executar operações limitadas de solução de problemas e reparo. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | VIP Público - /27 | Não necessário. |
|
Telemetria Permite que o Azure Stack Hub envie dados de telemetria para a Microsoft. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comA partir da versão 2108, os seguintes pontos de extremidade também são necessários: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | VIP Público - /27 | Necessário quando a telemetria do Azure Stack Hub está habilitada. |
As URLs de saída têm balanceamento de carga usando o gerenciador de tráfego do Azure para fornecer a melhor conectividade possível com base na localização geográfica. Com URLs com balanceamento de carga, a Microsoft pode alterar e atualizar backends sem afetar os clientes. A Microsoft não compartilha a lista de endereços IP para as URLs com balanceamento de carga. Utilize um dispositivo que suporte a filtragem por URL em vez de por IP.
O DNS de saída é sempre necessário; o que varia é a fonte que consulta o DNS externo e que tipo de integração de identidade foi escolhida. Durante a implantação para um cenário conectado, o DVM que fica na rede BMC precisa de acesso de saída. Mas após a implantação, o serviço DNS é movido para um componente interno que enviará consultas por meio de um VIP público. Nesse momento, o acesso DNS de saída através da rede BMC pode ser removido, mas o acesso VIP público a esse servidor DNS deve permanecer ou a autenticação falhará.