在数据中心发布 Azure Stack Hub 服务
Azure Stack Hub 会为其基础结构角色设置虚拟 IP 地址 (VIP)。 这些 VIP 是从公共 IP 地址池分配的。 每个 VIP 受软件定义的网络层中的访问控制列表 (ACL) 保护。 还可以在物理交换机(TOR 和 BMC)之间使用 ACL 来进一步强化解决方案。 将会根据部署时的指定,针对外部 DNS 区域中的每个终结点创建一个 DNS 条目。 例如,将为用户门户分配 DNS 主机条目 <region>.<fqdn>。
以下体系结构图显示了不同的网络层和 ACL:
端口和 URL
要使 Azure Stack Hub 服务(例如门户、Azure 资源管理器、DNS 等)可供外部网络使用,必须允许特定 URL、端口和协议的入站流量发往这些终结点。
在到传统代理服务器或防火墙的透明代理上行链路正在保护解决方案的部署中,必须允许特定的端口和 URL,以便进行入站和出站通信。 这包括用于标识、市场、修补和更新、注册和使用情况数据的端口与 URL。
SSL 流量拦截不受支持,并且在访问终结点时可能会导致服务故障。
端口和协议(入站)
将 Azure Stack Hub 终结点发布到外部网络需要一组基础结构 VIP。 “终结点 (VIP)”表显示了每个终结点、所需的端口和协议。 请参阅特定资源提供程序部署文档,了解需要其他资源提供程序(例如 SQL 资源提供程序)的终结点。
此处未列出内部基础结构 VIP,因为发布 Azure Stack Hub 时不需要这些 VIP。 用户 VIP 是动态的,由用户自己定义,而不受 Azure Stack Hub 操作员的控制。
添加扩展主机后,不需要 12495-30015 范围内的端口。
| 终结点 (VIP) | DNS 主机 A 记录 | 协议 | 端口 |
|---|---|---|---|
| AD FS | Adfs.<region>.<fqdn> | HTTPS | 443 |
| 门户(管理员) | Adminportal.<region>.<fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<region>.<fqdn> | HTTPS | 443 |
| Azure 资源管理器(管理员) | Adminmanagement.<region>.<fqdn> | HTTPS | 443 |
| 门户(用户) | Portal.<region>.<fqdn> | HTTPS | 443 |
| Azure 资源管理器(用户) | Management.<region>.<fqdn> | HTTPS | 443 |
| Graph | Graph.<region>.<fqdn> | HTTPS | 443 |
| 证书吊销列表 | Crl.<region>.<fqdn> | HTTP | 80 |
| DNS | *.<region>.<fqdn> | TCP 和 UDP | 53 |
| Hosting | *.hosting.<region>.<fqdn> | HTTPS | 443 |
| Key Vault(用户) | *.vault.<region>.<fqdn> | HTTPS | 443 |
| Key Vault(管理员) | *.adminvault.<region>.<fqdn> | HTTPS | 443 |
| 存储队列 | *.queue.<region>.<fqdn> | HTTP HTTPS |
80 443 |
| 存储表 | *.table.<region>.<fqdn> | HTTP HTTPS |
80 443 |
| 存储 Blob | *.blob.<region>.<fqdn> | HTTP HTTPS |
80 443 |
| SQL 资源提供程序 | sqladapter.dbadapter.<region>.<fqdn> | HTTPS | 44300-44304 |
| MySQL 资源提供程序 | mysqladapter.dbadapter.<region>.<fqdn> | HTTPS | 44300-44304 |
| 应用服务 | *.appservice.region>.<fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice.region>.<fqdn> | TCP | 443 (HTTPS) | |
| api.appservice.region>.<fqdn> | TCP | 443 (HTTPS) 44300(Azure 资源管理器) |
|
| ftp.appservice.region>.<fqdn> | TCP、UDP | 21、1021、10001-10100 (FTP) 990 (FTPS) |
|
| VPN 网关 | IP 协议 50 & UDP | 封装安全有效负载 (ESP) IPSec & UDP 500 和 4500 |
端口和 URL(出站)
Azure Stack Hub 仅支持透明代理服务器。 在使用到传统代理服务器的透明代理上行链路的部署中,必须允许下表中的端口和 URL,以便进行出站通信。 有关配置透明代理服务器的详细信息,请参阅 Azure Stack Hub 的透明代理。
SSL 流量拦截不受支持,并且在访问终结点时可能会导致服务故障。 与标识所需的终结点进行通信时,支持的最大超时值为 60 秒。
注意
Azure Stack Hub 不支持使用 ExpressRoute 访问下表中列出的 Azure 服务,因为 ExpressRoute 可能无法将流量路由到所有终结点。
| 目的 | 目标 URL | 协议/端口 | 源网络 | 要求 |
|---|---|---|---|---|
| 标识 允许 Azure Stack Hub 连接到 Microsoft Entra ID 以进行用户和服务身份验证。 |
由世纪互联运营的 Microsoft Azurehttps://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/ |
HTTP 80、 HTTPS 443 |
公共 VIP - /27 公共基础结构网络 |
对于连接的部署是必需的。 |
| 市场联合 使你能够从市场将项下载到 Azure Stack Hub,并使其适用于使用 Azure Stack Hub 环境的所有用户。 |
由世纪互联运营的 Microsoft Azurehttps://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | 公共 VIP - /27 | 不需要。 使用离线方案说明将图像上传到 Azure Stack Hub。 |
| 修补程序和更新 连接到更新终结点时,Azure Stack Hub 软件更新和修补程序将显示为可供下载。 |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | 公共 VIP - /27 | 不需要。 使用离线部署连接说明手动下载并准备更新。 |
| 注册 使你能够将 Azure Stack Hub 注册到 Azure,以便下载 Azure 市场项,并设置向 Microsoft 报告商业数据的功能。 |
由世纪互联运营的 Microsoft Azurehttps://management.chinacloudapi.cn |
HTTPS 443 | 公共 VIP - /27 | 不需要。 可以使用离线方案进行脱机注册。 |
| 使用情况 使 Azure Stack Hub 操作员能够将其 Azure Stack Hub 实例配置为向 Azure 报告使用情况数据。 |
由世纪互联运营的 Microsoft Azurehttps://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | 公共 VIP - /27 | 对于基于 Azure Stack Hub 使用的许可模型是必需的。 |
| Windows Defender 使更新资源提供程序能够每天多次下载反恶意软件定义和引擎更新。 |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80、443 | 公共 VIP - /27 公共基础结构网络 |
不需要。 你可以使用离线方案来更新防病毒签名文件。 |
| NTP 使 Azure Stack Hub 可以连接到时间服务器。 |
(为部署提供的 NTP 服务器的 IP) | UDP 123 | 公共 VIP - /27 | 必需 |
| DNS 使 Azure Stack Hub 可以连接到 DNS 服务器转发器。 |
(为部署提供的 DNS 服务器的 IP) | TCP 和 UDP 53 | 公共 VIP - /27 | 必需 |
| SYSLOG 使 Azure Stack Hub 可以发送 syslog 消息,以便进行监视或确保安全。 |
(为部署提供的 SYSLOG 服务器的 IP) | TCP 6514、 UDP 514 |
公共 VIP - /27 | 可选 |
| CRL 使 Azure Stack Hub 可以验证证书并检查撤销的证书。 |
证书上的 CRL 分发点下的 URL | HTTP 80 | 公共 VIP - /27 | 必需 |
| CRL 使 Azure Stack Hub 可以验证证书并检查撤销的证书。 |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | 公共 VIP - /27 | 不需要。 强烈建议的安全最佳做法。 |
| LDAP 使 Azure Stack Hub 可以与 Microsoft Active Directory 进行本地通信。 |
为 Graph 集成提供的 Active Directory 林 | TCP 和 UDP 389 | 公共 VIP - /27 | 使用 AD FS 部署 Azure Stack Hub 时是必需的。 |
| LDAP SSL 使 Azure Stack Hub 可以与本地 Microsoft Active Directory 进行加密通信。 |
为 Graph 集成提供的 Active Directory 林 | TCP 636 | 公共 VIP - /27 | 使用 AD FS 部署 Azure Stack Hub 时是必需的。 |
| LDAP GC 使 Azure Stack Hub 可以与 Microsoft Active 全局编录服务器进行本地通信。 |
为 Graph 集成提供的 Active Directory 林 | TCP 3268 | 公共 VIP - /27 | 使用 AD FS 部署 Azure Stack Hub 时是必需的。 |
| LDAP GC SSL 使 Azure Stack Hub 可以与 Microsoft Active Directory 全局编录服务器进行加密通信。 |
为 Graph 集成提供的 Active Directory 林 | TCP 3269 | 公共 VIP - /27 | 使用 AD FS 部署 Azure Stack Hub 时是必需的。 |
| AD FS 使 Azure Stack Hub 可以与本地 AD FS 进行通信。 |
为 AD FS 集成提供的 AD FS 元数据终结点 | TCP 443 | 公共 VIP - /27 | 可选。 可以使用元数据文件创建 AD FS 声明提供程序信任。 |
| 诊断日志收集 使 Azure Stack Hub 可以将日志主动或由操作员手动发送到 Azure 支持。 |
https://*.blob.core.chinacloudapi.cnhttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | 公共 VIP - /27 | 不需要。 可以在本地保存日志。 |
| 远程支持 通过允许远程访问设备以执行有限的故障排除和修复操作,使 Azure 支持专业人员能够更快地解决支持案例。 |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | 公共 VIP - /27 | 不需要。 |
| 遥测 使 Azure Stack Hub 可以将遥测数据发送到 Azure。 |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.com从 2108 版开始,还需要以下终结点: https://*.blob.core.chinacloudapi.cn/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | 公共 VIP - /27 | 启用 Azure Stack Hub 遥测时是必需的。 |
使用 Azure 流量管理器对出站 URL 进行负载均衡,以根据地理位置提供尽可能最佳的连接。 使用负载均衡 URL,Azure 可以更新和更改后端终结点,而不会影响客户。 Azure 不共享负载均衡 URL 的 IP 地址列表。 使用支持按 URL 而不是按 IP 筛选的设备。
任何时候都需要出站 DNS,不同的是查询外部 DNS 的源以及选择了哪种类型的标识集成。 在联网场景的部署过程中,位于 BMC 网络上的 DVM 需要出站访问权限。 但在部署后,DNS 服务会移到通过公共 VIP 发送查询的内部组件。 此时,可以删除通过 BMC 网络的出站 DNS 访问权限,但是必须保留对该 DNS 服务器的公共 VIP 访问权限,否则身份验证将失败。