在数据中心发布 Azure Stack Hub 服务

Azure Stack Hub 会为其基础结构角色设置虚拟 IP 地址 (VIP)。 这些 VIP 是从公共 IP 地址池分配的。 每个 VIP 受软件定义的网络层中的访问控制列表 (ACL) 保护。 还可以在物理交换机(TOR 和 BMC)之间使用 ACL 来进一步强化解决方案。 将会根据部署时的指定,针对外部 DNS 区域中的每个终结点创建一个 DNS 条目。 例如,将为用户门户分配 DNS 主机条目 portal. <region>.<fqdn>

以下体系结构图显示了不同的网络层和 ACL:

显示不同网络层和 ACL 的图表

端口和 URL

要使 Azure Stack Hub 服务(例如门户、Azure 资源管理器、DNS 等)可供外部网络使用,必须允许特定 URL、端口和协议的入站流量发往这些终结点。

在到传统代理服务器或防火墙的透明代理上行链路正在保护解决方案的部署中,必须允许特定的端口和 URL,以便进行入站出站通信。 这包括用于标识、市场、修补和更新、注册和使用情况数据的端口与 URL。

SSL 流量拦截不受支持,并且在访问终结点时可能会导致服务故障。

端口和协议(入站)

将 Azure Stack Hub 终结点发布到外部网络需要一组基础结构 VIP。 “终结点 (VIP)”表显示了每个终结点、所需的端口和协议。 请参阅特定资源提供程序部署文档,了解需要其他资源提供程序(例如 SQL 资源提供程序)的终结点。

此处未列出内部基础结构 VIP,因为发布 Azure Stack Hub 时不需要这些 VIP。 用户 VIP 是动态的,由用户自己定义,而不受 Azure Stack Hub 操作员的控制。

备注

IKEv2 VPN 是一个基于标准的 IPsec VPN 解决方案,它使用 UDP 端口 500 和 4500 以及 TCP 端口 50。 防火墙并非始终打开这些端口,因此,IKEv2 VPN 可能无法穿过代理和防火墙。

添加扩展主机后,不需要 12495-30015 范围内的端口。

终结点 (VIP) DNS 主机 A 记录 协议 端口
AD FS Adfs. <region>.<fqdn> HTTPS 443
门户(管理员) Adminportal. <region>.<fqdn> HTTPS 443
Adminhosting *.adminhosting.<region>.<fqdn> HTTPS 443
Azure 资源管理器(管理员) Adminmanagement. <region>.<fqdn> HTTPS 443
门户(用户) Portal. <region>.<fqdn> HTTPS 443
Azure 资源管理器(用户) Management. <region>.<fqdn> HTTPS 443
Graph Graph. <region>.<fqdn> HTTPS 443
证书吊销列表 Crl. <region>.<fqdn> HTTP 80
DNS *. <region>.<fqdn> TCP 和 UDP 53
Hosting *.hosting.<region>.<fqdn> HTTPS 443
Key Vault(用户) *.vault. <region>.<fqdn> HTTPS 443
Key Vault(管理员) *.adminvault. <region>.<fqdn> HTTPS 443
存储队列 *.queue. <region>.<fqdn> HTTP
HTTPS
80
443
存储表 *.table. <region>.<fqdn> HTTP
HTTPS
80
443
存储 Blob *.blob. <region>.<fqdn> HTTP
HTTPS
80
443
SQL 资源提供程序 sqladapter.dbadapter. <region>.<fqdn> HTTPS 44300-44304
MySQL 资源提供程序 mysqladapter.dbadapter. <region>.<fqdn> HTTPS 44300-44304
应用服务 *.appservice. <region>.<fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. <region>.<fqdn> TCP 443 (HTTPS)
api.appservice. <region>.<fqdn> TCP 443 (HTTPS)
44300(Azure 资源管理器)
ftp.appservice. <region>.<fqdn> TCP、UDP 21、1021、10001-10100 (FTP)
990 (FTPS)
VPN 网关 请参阅 VPN 网关常见问题解答

端口和 URL(出站)

Azure Stack Hub 仅支持透明代理服务器。 在使用到传统代理服务器的透明代理上行链路的部署中,必须允许下表中的端口和 URL,以便进行出站通信。 有关配置透明代理服务器的详细信息,请参阅 Azure Stack Hub 的透明代理

SSL 流量拦截不受支持,并且在访问终结点时可能会导致服务故障。 与标识所需的终结点进行通信时,支持的最大超时值为 60 秒。

备注

Azure Stack Hub 不支持使用 ExpressRoute 访问下表中列出的 Azure 服务,因为 ExpressRoute 可能无法将流量路由到所有终结点。

目的 目标 URL 协议/端口 源网络 要求
标识
允许 Azure Stack Hub 连接到 Azure Active Directory 以进行用户和服务身份验证。
Azure 中国世纪互联
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
HTTP 80、
HTTPS 443
公共 VIP - /27
公共基础结构网络
对于连接的部署是必需的。
市场联合
使你能够从市场将项下载到 Azure Stack Hub,并使其适用于使用 Azure Stack Hub 环境的所有用户。
Azure 中国世纪互联
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 公共 VIP - /27 不需要。 使用离线方案说明将图像上传到 Azure Stack Hub。
修补程序和更新
连接到更新终结点时,Azure Stack Hub 软件更新和修补程序将显示为可供下载。
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 公共 VIP - /27 不需要。 使用离线部署连接说明手动下载并准备更新。
注册
使你能够将 Azure Stack Hub 注册到 Azure,以便下载 Azure 市场项,并设置向 Microsoft 报告商业数据的功能。
Azure 中国世纪互联
https://management.chinacloudapi.cn
HTTPS 443 公共 VIP - /27 不需要。 可以使用离线方案进行脱机注册
使用情况
使 Azure Stack Hub 操作员能够将其 Azure Stack Hub 实例配置为向 Azure 报告使用情况数据。
Azure 中国世纪互联
https://*.trafficmanager.cn
HTTPS 443 公共 VIP - /27 对于基于 Azure Stack Hub 使用的许可模型是必需的。
Windows Defender
使更新资源提供程序能够每天多次下载反恶意软件定义和引擎更新。
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80、443 公共 VIP - /27
公共基础结构网络
不需要。 你可以使用离线方案来更新防病毒签名文件
NTP
使 Azure Stack Hub 可以连接到时间服务器。
(为部署提供的 NTP 服务器的 IP) UDP 123 公共 VIP - /27 必需
DNS
使 Azure Stack Hub 可以连接到 DNS 服务器转发器。
(为部署提供的 DNS 服务器的 IP) TCP 和 UDP 53 公共 VIP - /27 必需
SYSLOG
使 Azure Stack Hub 可以发送 syslog 消息,以便进行监视或确保安全。
(为部署提供的 SYSLOG 服务器的 IP) TCP 6514、
UDP 514
公共 VIP - /27 可选
CRL
使 Azure Stack Hub 可以验证证书并检查撤销的证书。
(证书上的 CRL 分发点下的 URL)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 公共 VIP - /27 不需要。 强烈建议的安全最佳做法。
LDAP
使 Azure Stack Hub 可以与 Microsoft Active Directory 进行本地通信。
为 Graph 集成提供的 Active Directory 林 TCP 和 UDP 389 公共 VIP - /27 使用 AD FS 部署 Azure Stack Hub 时是必需的。
LDAP SSL
使 Azure Stack Hub 可以与本地 Microsoft Active Directory 进行加密通信。
为 Graph 集成提供的 Active Directory 林 TCP 636 公共 VIP - /27 使用 AD FS 部署 Azure Stack Hub 时是必需的。
LDAP GC
使 Azure Stack Hub 可以与 Microsoft Active 全局编录服务器进行本地通信。
为 Graph 集成提供的 Active Directory 林 TCP 3268 公共 VIP - /27 使用 AD FS 部署 Azure Stack Hub 时是必需的。
LDAP GC SSL
使 Azure Stack Hub 可以与 Microsoft Active Directory 全局编录服务器进行加密通信。
为 Graph 集成提供的 Active Directory 林 TCP 3269 公共 VIP - /27 使用 AD FS 部署 Azure Stack Hub 时是必需的。
AD FS
使 Azure Stack Hub 可以与本地 AD FS 进行通信。
为 AD FS 集成提供的 AD FS 元数据终结点 TCP 443 公共 VIP - /27 可选。 可以使用元数据文件创建 AD FS 声明提供程序信任。
诊断日志收集
使 Azure Stack Hub 可以将日志主动或由操作员手动发送到 Azure 支持。
https://*.blob.core.chinacloudapi.cn
https://azsdiagprdlocalchinaeast02.blob.core.chinacloudapi.cn
https://azsdiagprdwestusfrontend.chinaeast.cloudapp.chinacloudapp.cn
https://azsdiagprdwestusfrontend.chinaeast.cloudapp.chinacloudapp.cn
HTTPS 443 公共 VIP - /27 不需要。 可以在本地保存日志

使用 Azure 流量管理器对出站 URL 进行负载均衡,以根据地理位置提供尽可能最佳的连接。 使用负载均衡 URL,Azure 可以更新和更改后端终结点,而不会影响客户。 Azure 不共享负载均衡 URL 的 IP 地址列表。 使用支持按 URL 而不是按 IP 筛选的设备。

任何时候都需要出站 DNS,不同的是查询外部 DNS 的源以及选择了哪种类型的标识集成。 在联网场景的部署过程中,位于 BMC 网络上的 DVM 需要出站访问权限。 但在部署后,DNS 服务会移到通过公共 VIP 发送查询的内部组件。 此时,可以删除通过 BMC 网络的出站 DNS 访问权限,但是必须保留对该 DNS 服务器的公共 VIP 访问权限,否则身份验证将失败。

后续步骤

Azure Stack Hub PKI 要求