Tagi usługi sieci wirtualnej
Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci.
Ważne
Chociaż tagi usługi upraszczają możliwość włączania list kontroli dostępu opartej na protokole IP (ACL), same tagi usług nie są wystarczające do zabezpieczenia ruchu bez uwzględniania charakteru usługi i wysyłanego ruchu. Aby uzyskać więcej informacji na temat list ACL opartych na adresach IP, zobacz Co to jest lista kontroli dostępu oparta na adresach IP (ACL)?.
Dodatkowe informacje o charakterze ruchu można znaleźć w dalszej części tego artykułu dla każdej usługi i ich tagu. Ważne jest, aby upewnić się, że znasz ruch dozwolony podczas korzystania z tagów usługi dla list ACL opartych na adresach IP. Rozważ dodanie poziomów zabezpieczeń w celu ochrony środowiska.
Tagi usługi umożliwiają definiowanie mechanizmów kontroli dostępu do sieci w sieciowych grupach zabezpieczeń, usłudze Azure Firewall i trasach zdefiniowanych przez użytkownika. Używaj tagów usług zamiast określonych adresów IP podczas tworzenia reguł zabezpieczeń i tras. Określając nazwę tagu usługi, taką jak ApiManagement, w odpowiednim polu źródłowym lub docelowym reguły zabezpieczeń, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować. Określając nazwę tagu usługi w prefiksie adresu trasy, można kierować ruch przeznaczony dla dowolnego z prefiksów hermetyzowanych przez tag usługi do żądanego typu następnego przeskoku.
Za pomocą tagów usług można uzyskać izolację sieci i chronić zasoby platformy Azure przed ogólnym Internetem podczas uzyskiwania dostępu do usług platformy Azure, które mają publiczne punkty końcowe. Utwórz reguły sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego, aby blokować ruch do/z Internetu i zezwalać na ruch do/z usługi AzureCloud lub innych dostępnych tagów usług określonych usług platformy Azure.
Dostępne tagi usługi
Poniższa tabela zawiera wszystkie tagi usług dostępne do użycia w regułach sieciowej grupy zabezpieczeń.
Kolumny wskazują, czy tag:
- Jest odpowiedni dla reguł, które obejmują ruch przychodzący lub wychodzący.
- Obsługuje zakres regionalny .
- Można używać w regułach usługi Azure Firewall jako reguły docelowej tylko dla ruchu przychodzącego lub wychodzącego.
Domyślnie tagi usługi odzwierciedlają zakresy dla całej chmury. Niektóre tagi usługi umożliwiają również bardziej szczegółową kontrolę przez ograniczenie odpowiednich zakresów adresów IP do określonego regionu. Na przykład tag usługi Storage reprezentuje usługę Azure Storage dla całej chmury, ale storage.WestUS zawęża zakres tylko do zakresów adresów IP magazynu z regionu WestUS . Poniższa tabela wskazuje, czy każdy tag usługi obsługuje taki zakres regionalny, a kierunek wymieniony dla każdego tagu jest zaleceniem. Na przykład tag AzureCloud może służyć do zezwalania na ruch przychodzący. W większości scenariuszy nie zalecamy zezwalania na ruch ze wszystkich adresów IP platformy Azure, ponieważ adresy IP używane przez innych klientów platformy Azure są uwzględniane jako część tagu usługi.
Tag | Purpose | Czy można używać ruchu przychodzącego lub wychodzącego? | Czy może być regionalny? | Czy można używać z usługą Azure Firewall? |
---|---|---|---|---|
ActionGroup | Grupa akcji. | Przychodzący | Nie. | Tak |
ApiManagement | Ruch zarządzania dla wdrożeń dedykowanych usługi Azure API Management. Uwaga: ten tag reprezentuje punkt końcowy usługi Azure API Management dla płaszczyzny sterowania na region. Tag umożliwia klientom wykonywanie operacji zarządzania na interfejsach API, operacjach, zasadach, nazwachValues skonfigurowanych w usłudze API Management. |
Przychodzący | Tak | Tak |
ApplicationInsightsAvailability | Dostępność usługi Application Insights. | Przychodzący | Nie. | Tak |
Konfiguracja aplikacji | Konfiguracja aplikacji. | Wychodzący | Nie. | Tak |
AppService | Azure App Service. Ten tag jest zalecany w przypadku reguł zabezpieczeń dla ruchu wychodzącego do aplikacji internetowych i aplikacji funkcji. Uwaga: ten tag nie zawiera adresów IP przypisanych podczas korzystania z protokołu SSL opartego na protokole IP (adresu przypisanego przez aplikację). |
Wychodzące | Tak | Tak |
AppServiceManagement | Ruch zarządzania wdrożeniami przeznaczonymi dla środowiska App Service Environment. | Obie | Nie. | Tak |
AzureActiveDirectory | Microsoft Entra ID Services. Ten tag obejmuje logowanie, program MS Graph i inne usługi Entra, które nie zostały specjalnie wymienione w tej tabeli | Wychodzący | Nie. | Tak |
AzureActiveDirectoryDomainServices | Ruch zarządzania wdrożeniami dedykowanymi usługom Microsoft Entra Domain Services. | Obie | Nie. | Tak |
AzureAdvancedThreatProtection | Microsoft Defender for Identity. | Wychodzący | Nie. | Tak |
AzureArcInfrastructure | Serwery z obsługą usługi Azure Arc, usługa Kubernetes z obsługą usługi Azure Arc i ruch konfiguracji gościa. Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureTrafficManager i AzureResourceManager. |
Wychodzący | Nie. | Tak |
AzureAttestation | Zaświadczenie platformy Azure. | Wychodzący | Nie. | Tak |
AzureBackup | Azure Backup. Uwaga: ten tag ma zależność od tagów Storage i AzureActiveDirectory . |
Wychodzący | Nie. | Tak |
AzureBotService | Azure Bot Service. | Obie | Nie. | Tak |
AzureCloud | Wszystkie publiczne adresy IP centrum danych. Ten tag nie zawiera protokołu IPv6. | Obie | Tak | Tak |
AzureCognitiveSearch | Azure AI Search. Ten tag określa zakresy adresów IP środowisk wykonywania wielodostępnych używanych przez usługę wyszukiwania do indeksowania opartego na indeksatorze. Uwaga: adres IP samej usługi wyszukiwania nie jest objęty tym tagiem usługi. W konfiguracji zapory zasobu platformy Azure należy określić tag usługi, a także określony adres IP samej usługi wyszukiwania. |
Przychodzący | Nie. | Tak |
AzureConnectors | Ten tag reprezentuje adresy IP używane dla łączników zarządzanych, które tworzą przychodzące wywołania zwrotne elementu webhook do usługi Azure Logic Apps i wywołań wychodzących do odpowiednich usług, na przykład usługi Azure Storage lub Azure Event Hubs. | Obie | Tak | Tak |
AzureContainerAppsService | Azure Container Apps Service | Obie | Tak | Nie. |
AzureContainerRegistry | Azure Container Registry. | Wychodzące | Tak | Tak |
AzureCosmosDB | Azure Cosmos DB. | Wychodzące | Tak | Tak |
AzureDatabricks | Azure Databricks. | Obie | Nie. | Tak |
AzureDataExplorerManagement | Zarządzanie usługą Azure Data Explorer. | Przychodzący | Nie. | Tak |
AzureDeviceUpdate | Aktualizacja urządzenia dla usługi IoT Hub. | Obie | Nie. | Tak |
AzureDevOps | Azure DevOps. | Przychodzący | Tak | Tak |
AzureDigitalTwins | Azure Digital Twins. Uwaga: ten tag lub adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do punktów końcowych skonfigurowanych dla tras zdarzeń. |
Przychodzący | Nie. | Tak |
AzureEventGrid | Azure Event Grid. | Obie | Nie. | Tak |
AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty |
Tag usługi frontonu zawiera adresy IP używane przez klientów do nawiązania połączenia z usługą Front Door. Możesz zastosować tag usługi AzureFrontDoor.Frontend , gdy chcesz kontrolować ruch wychodzący, który może łączyć się z usługami za usługą Azure Front Door. Tag usługi zaplecza zawiera adresy IP używane przez usługę Azure Front Door do uzyskiwania dostępu do źródeł. Ten tag usługi można zastosować podczas konfigurowania zabezpieczeń źródeł. FirstParty to specjalny tag zarezerwowany dla wybranej grupy usługi firmy Microsoft hostowanej w usłudze Azure Front Door. | Obie | Tak | Tak |
AzureHealthcareAPIs | Adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do usług Azure Health Data Services. | Obie | Nie. | Tak |
AzureInformationProtection | Azure Information Protection. Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureFrontDoor.Frontend i AzureFrontDoor.FirstParty . |
Wychodzący | Nie. | Tak |
AzureIoTHub | Azure IoT Hub. | Wychodzące | Tak | Tak |
AzureKeyVault | Azure Key Vault. Uwaga: ten tag ma zależność od tagu AzureActiveDirectory . |
Wychodzące | Tak | Tak |
AzureLoadBalancer | Moduł równoważenia obciążenia infrastruktury platformy Azure. Tag przekłada się na wirtualny adres IP hosta (168.63.129.16), z którego pochodzą sondy kondycji platformy Azure. Obejmuje to tylko ruch sondy, a nie rzeczywisty ruch do zasobu zaplecza. Jeśli nie używasz usługi Azure Load Balancer, możesz zastąpić tę regułę. | Obie | Nie | Nie. |
AzureMachineLearningInference | Ten tag usługi służy do ograniczania ruchu przychodzącego sieci publicznej w scenariuszach wnioskowania zarządzanego przez sieć prywatną. | Przychodzący | Nie. | Tak |
AzureManagedGrafana | Punkt końcowy wystąpienia zarządzanego narzędzia Grafana platformy Azure. | Wychodzący | Nie. | Tak |
AzureMonitor | Log Analytics, Application Insights, Obszar roboczy usługi Azure Monitor, AzMon i metryki niestandardowe (punkty końcowe giG). Uwaga: w przypadku usługi Log Analytics wymagany jest również tag magazynu . Jeśli są używane agenci systemu Linux, wymagany jest również tag GuestAndHybridManagement . |
Wychodzący | Nie. | Tak |
AzureOpenDatasets | Zestawy danych platformy Azure Open. Uwaga: ten tag ma zależność od tagu AzureFrontDoor.Frontend i Storage . |
Wychodzący | Nie. | Tak |
AzurePlatformDNS | Podstawowa usługa DNS infrastruktury (domyślna). Możesz użyć tego tagu, aby wyłączyć domyślny system DNS. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu. |
Wychodzący | Nie | Nie. |
AzurePlatformIMDS | Usługa Azure Instance Metadata Service (IMDS), która jest podstawową usługą infrastruktury. Możesz użyć tego tagu, aby wyłączyć domyślną usługę IMDS. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu. |
Wychodzący | Nie | Nie. |
AzurePlatformLKM | Licencjonowanie systemu Windows lub usługa zarządzania kluczami. Możesz użyć tego tagu, aby wyłączyć ustawienia domyślne licencjonowania. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu. |
Wychodzący | Nie | Nie. |
AzureResourceManager | W usłudze Azure Resource Manager. | Wychodzący | Nie. | Tak |
AzureSentinel | Microsoft Sentinel. | Przychodzący | Nie. | Tak |
AzureSignalR | Azure SignalR. | Wychodzący | Nie. | Tak |
AzureSiteRecovery | Azure Site Recovery. Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureKeyVault, EventHub,GuestAndHybridManagement i Storage. |
Wychodzący | Nie. | Tak |
AzureSphere | Ten tag lub adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do usług zabezpieczeń Azure Sphere. | Obie | Nie. | Tak |
AzureSpringCloud | Zezwalaj na ruch do aplikacji hostowanych w usłudze Azure Spring Apps. | Wychodzący | Nie. | Tak |
AzureStack | Usługi Azure Stack Bridge. Ten tag reprezentuje punkt końcowy usługi Azure Stack Bridge na region. |
Wychodzący | Nie. | Tak |
AzureTrafficManager | Adresy IP sondy usługi Azure Traffic Manager. Aby uzyskać więcej informacji na temat adresów IP sondy usługi Traffic Manager, zobacz Często zadawane pytania dotyczące usługi Azure Traffic Manager. |
Przychodzący | Nie. | Tak |
AzureUpdateDelivery | Tag usługi Azure Update Delivery używany do uzyskiwania dostępu do aktualizacji systemu Windows jest oznaczony do wycofania i w przyszłości zostanie zlikwidowany. Zaleca się, aby klienci nie byli zależni od tego tagu usługi i dla klientów, których już używali, zaleca się przeprowadzenie migracji do jednej z następujących opcji: Konfigurowanie usługi Azure Firewall dla urządzeń z systemem Windows 10/11 zgodnie z opisem: • Zarządzanie punktami końcowymi połączeń dla systemu Windows 11 Enterprise • Zarządzanie punktami końcowymi połączeń dla systemu Windows 10 Enterprise w wersji 21H2 Wdrażanie usług Windows Server Update Services (WSUS) Planowanie wdrożenia aktualizacji maszyn wirtualnych z systemem Windows na platformie Azure, a następnie przejdź do kroku 2: Konfigurowanie programu WSUS |
Wychodzący | Nie. | Tak |
AzureWebPubSub | AzureWebPubSub | Obie | Tak | Tak |
BatchNodeManagement | Ruch zarządzania dla wdrożeń dedykowanych usłudze Azure Batch. | Obie | Tak | Tak |
ChaosStudio | Azure Chaos Studio. Uwaga: jeśli włączono integrację usługi Application Insights z agentem chaosu, wymagany jest również tag AzureMonitor. |
Obie | Nie. | Tak |
CognitiveServicesFrontend | Zakresy adresów dla ruchu dla portali frontonu usług Azure AI. | Obie | Nie. | Tak |
CognitiveServicesManagement | Zakresy adresów dla ruchu dla usług Azure AI. | Obie | Nie. | Tak |
DataFactory | Azure Data Factory | Obie | Tak | Tak |
DataFactoryManagement | Ruch zarządzania dla usługi Azure Data Factory. | Wychodzący | Nie. | Tak |
Dynamics365ForMarketingEmail | Zakresy adresów dla marketingowej usługi poczty e-mail usługi Dynamics 365. | Obie | Tak | Tak |
Dynamics365BusinessCentral | Ten tag lub adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu z/do usług Dynamics 365 Business Central Services. | Obie | Nie. | Tak |
EOPExternalPublishedIPs | Ten tag reprezentuje adresy IP używane w programie PowerShell centrum zabezpieczeń i zgodności. Aby uzyskać więcej informacji, zapoznaj się z modułem Connect to Security & Compliance Center PowerShell using the EXO V2 module (Nawiązywanie połączenia z centrum zabezpieczeń i zgodności przy użyciu modułu EXO V2). | Obie | Nie. | Tak |
EventHub | Azure Event Hubs. | Wychodzące | Tak | Tak |
GatewayManager | Ruch zarządzania dla wdrożeń dedykowanych usługom Azure VPN Gateway i Application Gateway. | Przychodzący | Nie | Nie. |
GuestAndHybridManagement | Usługa Azure Automation i konfiguracja gościa. | Wychodzący | Nie. | Tak |
HDInsight | Azure HDInsight. | Przychodzący | Tak | Tak |
Internet | Przestrzeń adresowa IP, która znajduje się poza siecią wirtualną i jest osiągalna przez publiczny Internet. Zakres adresów obejmuje publiczną przestrzeń adresów IP należącą do platformy Azure. |
Obie | Nie | Nie. |
KustoAnalytics | Kusto Analytics. | Obie | Nie | Nie. |
LogicApps | Usługa Logic Apps. | Obie | Nie. | Tak |
LogicAppsManagement | Ruch zarządzania dla usługi Logic Apps. | Przychodzący | Nie. | Tak |
M365ManagementActivityApi | Interfejs API działań usługi Office 365 Management zawiera informacje o różnych akcjach użytkownika, administratora, systemie i zasadach oraz zdarzeniach z dzienników aktywności usługi Office 365 i firmy Microsoft Entra. Klienci i partnerzy mogą korzystać z tych informacji, aby tworzyć nowe lub ulepszać istniejące rozwiązania do obsługi operacji, zabezpieczeń i monitorowania zgodności dla przedsiębiorstwa. Uwaga: ten tag ma zależność od tagu AzureActiveDirectory . |
Wychodzące | Tak | Tak |
M365ManagementActivityApiWebhook | Powiadomienia są wysyłane do skonfigurowanego elementu webhook dla subskrypcji, ponieważ nowa zawartość stanie się dostępna. | Przychodzący | Tak | Tak |
MicrosoftAzureFluidRelay | Ten tag reprezentuje adresy IP używane dla usługi Azure Microsoft Fluid Relay Server. Uwaga: ten tag ma zależność od tagu AzureFrontDoor.Frontend. |
Wychodzący | Nie. | Tak |
MicrosoftCloudAppSecurity | Microsoft Defender dla Chmury Apps. | Wychodzący | Nie. | Tak |
MicrosoftDefenderForEndpoint | Ochrona punktu końcowego w usłudze Microsoft Defender podstawowych usług. Uwaga: aby można było używać tego tagu usługi, należy dołączyć urządzenia z usprawnionym połączeniem i spełnić wymagania. Usługa Defender dla punktu końcowego/serwera wymaga dodatkowych tagów usług, takich jak OneDSCollector, aby obsługiwać wszystkie funkcje. Aby uzyskać więcej informacji, zobacz Dołączanie urządzeń przy użyciu uproszczonej łączności dla Ochrona punktu końcowego w usłudze Microsoft Defender |
Obie | Nie. | Tak |
Power BI | Usługi zaplecza i punkty końcowe interfejsu API platformy Power BI. |
Obie | Nie. | Tak |
PowerPlatformInfra | Ten tag reprezentuje adresy IP używane przez infrastrukturę do hostowania usług platformy Power Platform. | Obie | Tak | Tak |
PowerPlatformPlex | Ten tag reprezentuje adresy IP używane przez infrastrukturę do hostowania wykonywania rozszerzenia platformy Power Platform w imieniu klienta. | Obie | Tak | Tak |
PowerQueryOnline | Power Query Online. | Obie | Nie. | Tak |
Scuba | Łączniki danych dla produktów zabezpieczeń firmy Microsoft (Sentinel, Defender itp.). | Przychodzący | Nie | Nie. |
SerialConsole | Ogranicz dostęp do kont magazynu diagnostyki rozruchu tylko z tagu usługi konsoli szeregowej | Przychodzący | Nie. | Tak |
ServiceBus | Ruch usługi Azure Service Bus korzystający z warstwy usługi Premium. | Wychodzące | Tak | Tak |
ServiceFabric | Azure Service Fabric. Uwaga: ten tag reprezentuje punkt końcowy usługi Service Fabric dla płaszczyzny sterowania na region. Dzięki temu klienci mogą wykonywać operacje zarządzania dla swoich klastrów usługi Service Fabric z punktu końcowego sieci wirtualnej. (Na przykład https:// westus.servicefabric.azure.com). |
Obie | Nie. | Tak |
Sql | Pojedynczy serwer usługi Azure SQL Database, Azure Database for MySQL, pojedynczy serwer usługi Azure Database for PostgreSQL, usługa Azure Database for MariaDB i usługa Azure Synapse Analytics. Uwaga: ten tag reprezentuje usługę, ale nie określone wystąpienia usługi. Na przykład tag reprezentuje usługę Azure SQL Database, ale nie konkretną bazę danych lub serwer SQL. Ten tag nie ma zastosowania do wystąpienia zarządzanego SQL. |
Wychodzące | Tak | Tak |
SqlManagement | Ruch zarządzania dla wdrożeń dedykowanych SQL. | Obie | Nie. | Tak |
Storage | Azure Storage. Uwaga: ten tag reprezentuje usługę, ale nie określone wystąpienia usługi. Na przykład tag reprezentuje usługę Azure Storage, ale nie konkretne konto usługi Azure Storage. |
Wychodzące | Tak | Tak |
StorageSyncService | Usługa synchronizacji magazynu. | Obie | Nie. | Tak |
Tryb StorageMover | Magazyn Mover. | Wychodzące | Tak | Tak |
WindowsAdminCenter | Zezwól usłudze zaplecza Centrum administracyjnego systemu Windows na komunikację z instalacją centrum administracyjnego systemu Windows. | Wychodzący | Nie. | Tak |
WindowsVirtualDesktop | Azure Virtual Desktop (dawniej Windows Virtual Desktop). | Obie | Nie. | Tak |
VideoIndexer | Video Indexer. Służy do umożliwienia klientom otwierania sieciowej grupy zabezpieczeń do usługi Video Indexer i odbierania wywołań zwrotnych do swojej usługi. |
Obie | Nie. | Tak |
Sieć wirtualna | Przestrzeń adresowa sieci wirtualnej (wszystkie zakresy adresów IP zdefiniowane dla sieci wirtualnej), wszystkie połączone lokalne przestrzenie adresowe, równorzędne sieci wirtualne, sieci wirtualne połączone z bramą sieci wirtualnej, wirtualny adres IP hosta i prefiksy adresów używane na trasach zdefiniowanych przez użytkownika. Ten tag może również zawierać trasy domyślne. | Obie | Nie | Nr |
Uwaga
W przypadku używania tagów usługi z usługą Azure Firewall można tworzyć tylko reguły docelowe dla ruchu przychodzącego i wychodzącego. Reguły źródłowe nie są obsługiwane. Aby uzyskać więcej informacji, zobacz dokumentację tagów usługi Azure Firewall.
Tagi usług platformy Azure oznaczają prefiksy adresów z używanej chmury. Na przykład podstawowe zakresy adresów IP, które odpowiadają wartości tagu Sql w chmurze publicznej platformy Azure, będą się różnić od podstawowych zakresów platformy Microsoft Azure obsługiwanych przez chmurę 21Vianet.
W przypadku zaimplementowania punktu końcowego usługi dla sieci wirtualnej dla usługi takiej jak usługa Azure Storage lub Azure SQL Database, platforma Azure dodaje trasę do podsieci sieci wirtualnej dla usługi. Prefiksy adresów w trasie są tymi samymi prefiksami adresów lub zakresami CIDR, co te z odpowiedniego tagu usługi.
Tagi obsługiwane w klasycznym modelu wdrażania
Klasyczny model wdrażania (przed usługą Azure Resource Manager) obsługuje niewielki podzbiór tagów wymienionych w poprzedniej tabeli. Tagi w klasycznym modelu wdrażania są napisane inaczej, jak pokazano w poniższej tabeli:
Tag usługi Resource Manager | Odpowiadający tag w klasycznym modelu wdrażania |
---|---|
AzureLoadBalancer | AZURE_LOADBALANCER |
Internet | INTERNET |
Sieć wirtualna | VIRTUAL_NETWORK |
Tagi nieobsługiwane dla tras zdefiniowanych przez użytkownika (UDR)
Poniżej znajduje się lista tagów, które nie są obecnie obsługiwane do użycia z trasami zdefiniowanymi przez użytkownika (UDR).
AzurePlatformDNS
AzurePlatformIMDS
AzurePlatformLKM
VirtualNetwork
AzureLoadBalancer
Internet
Tagi usług w środowisku lokalnym
Możesz uzyskać bieżący tag usługi i informacje o zakresie, które mają być uwzględnione w ramach lokalnych konfiguracji zapory. Te informacje są bieżącą listą zakresów adresów IP odpowiadających każdemu tagowi usługi. Informacje można uzyskać programowo lub za pośrednictwem pliku JSON, zgodnie z opisem w poniższych sekcjach.
Korzystanie z interfejsu API odnajdywania tagów usługi
Można programowo pobrać bieżącą listę tagów usługi wraz ze szczegółami zakresu adresów IP:
Aby na przykład pobrać wszystkie prefiksy tagu usługi magazynu, można użyć następujących poleceń cmdlet programu PowerShell:
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
Uwaga
- Dane interfejsu API reprezentują te tagi, które mogą być używane z regułami sieciowej grupy zabezpieczeń w Twoim regionie. Użyj danych interfejsu API jako źródła prawdy dla dostępnych tagów usługi, ponieważ może to być inne niż plik do pobrania JSON.
- Propagacja nowych danych tagu usługi we wszystkich regionach świadczenia usługi w wynikach interfejsu API trwa do 4 tygodni. W związku z tym procesem wyniki danych interfejsu API mogą nie być zsynchronizowane z plikiem JSON do pobrania, ponieważ dane interfejsu API reprezentują podzbiór tagów aktualnie w pliku JSON do pobrania.
- Musisz być uwierzytelniony i mieć rolę z uprawnieniami do odczytu dla bieżącej subskrypcji.
Odnajdywanie tagów usług przy użyciu plików JSON do pobrania
Możesz pobrać pliki JSON zawierające bieżącą listę tagów usług wraz ze szczegółami zakresu adresów IP. Te listy są aktualizowane i publikowane co tydzień. Lokalizacje dla każdej chmury to:
Zakresy adresów IP w tych plikach znajdują się w notacji CIDR.
Następujące tagi usługi AzureCloud nie mają nazw regionalnych sformatowanych zgodnie ze schematem normalnym:
AzureCloud.centralfrance (FranceCentral)
AzureCloud.southfrance (FranceSouth)
AzureCloud.germanywc (GermanyWestCentral)
AzureCloud.germanyn (NiemcyNorth)
AzureCloud.norwaye (NorwegiaEast)
AzureCloud.norwayw (NorwegiaWest)
AzureCloud.switzerlandn (SzwajcariaNorth)
AzureCloud.switzerlandw (SzwajcariaWest)
AzureCloud.usstagee (EastUSSTG)
AzureCloud.usstagec (SouthCentralUSSTG)
AzureCloud.brazilse (BrazilSoutheast)
Napiwek
Aktualizacje z jednej publikacji do następnej można wykryć, zauważając zwiększone wartości changeNumber w pliku JSON. Każda podsekcja (na przykład Storage.WestUS) ma własną wartość changeNumber , która jest zwiększana w miarę występowania zmian. Najwyższy poziom zmianyNumber pliku jest zwiększany po zmianie dowolnego z podsekcji.
Aby zapoznać się z przykładami analizowania informacji o tagu usługi (na przykład uzyskiwania wszystkich zakresów adresów dla usługi Storage w usłudze WestUS), zobacz dokumentację interfejsu API odnajdywania tagów usługi w programie PowerShell .
Po dodaniu nowych adresów IP do tagów usług nie będą one używane na platformie Azure przez co najmniej tydzień. Dzięki temu można zaktualizować wszystkie systemy, które mogą wymagać śledzenia adresów IP skojarzonych z tagami usług.
Następne kroki
- Dowiedz się, jak utworzyć sieciową grupę zabezpieczeń.