你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
虚拟网络服务标记
服务标记代表给定 Azure 服务中的一组 IP 地址前缀。 Microsoft 会管理服务标记包含的地址前缀,并在地址更改时自动更新服务标记,从而尽量减少频繁更新网络安全规则所需的复杂操作。
重要
虽然服务标记简化了启用基于 IP 的访问控制列表 (ACL) 的功能,但仅服务标记不足以保护流量,而无需考虑服务的性质及其发送的流量。 有关基于 IP 的 ACL 的详细信息,请参阅“什么是基于 IP 的访问控制列表 (ACL)?”。
有关流量性质的其他信息,请参阅本文后面的每个服务及其标记。 在为基于 IP 的 ACL 使用服务标记时,请务必确保熟悉允许的流量。 请考虑使用添加的安全级别来保护环境。
可以在网络安全组、Azure 防火墙和用户定义的路由中使用服务标记来定义网络访问控制。 创建安全规则和路由时,请使用服务标记代替特定 IP 地址。 在安全规则的相应源或目标字段中指定服务标记名称(例如 ApiManagement),可以允许或拒绝相应服务的流量。 通过在路由的地址前缀中指定服务标记名称,可以将用于服务标记封装的任何前缀的流量路由到所需的下一个跃点类型。
可使用服务标记来实现网络隔离,保护 Azure 资源免受常规 Internet 侵害,同时访问具有公共终结点的 Azure 服务。 可创建入站/出站网络安全组规则,以拒绝进出 Internet 的流量并允许进出 AzureCloud 或特定 Azure 服务的其他可用服务标记的流量 。
可用服务标记
下表列出了可在网络安全组规则中使用的所有服务标记。
列指示标记是否:
默认情况下,服务标记反映了整个云的范围。 某些服务标记还通过将相应的 IP 范围限于指定的区域,带给你更精细的控制。 例如,服务标记“Storage”表示整个云的 Azure 存储,而“Storage.WestUS”则将范围缩小到来自美国西部区域的存储 IP 地址范围 。 下表显示了每个服务标签是否支持这样的区域范围,每个标签列出的方向是一个建议。 例如,AzureCloud 标记可用于允许入站流量。 在大多数情况下,不建议允许来自所有 Azure IP 的流量,因为其他 Azure 客户的 IP 包含在服务标记中。
标记 | 目的 | 可以使用入站还是出站连接? | 可以支持区域范围? | 是否可与 Azure 防火墙一起使用? |
---|---|---|---|---|
ActionGroup | 操作组。 | 入站 | 否 | 是 |
ApiManagement | 专用于 Azure API 管理的部署的管理流量。 注意:此标记表示每个区域的控制平面的 Azure API 管理服务终结点。 通过这个标记,客户可对 API 管理服务上配置的 API、操作、策略和 NamedValue 执行管理操作。 |
入站 | 是 | 是 |
ApplicationInsightsAvailability | Application Insights 可用性。 | 入站 | 否 | 是 |
AppConfiguration | 应用配置。 | 出站 | 否 | 是 |
AppService | Azure 应用服务。 建议将此标记用于 Web 应用和函数应用的出站安全规则。 注意:此标记不包括使用基于 IP 的 SSL 时分配的 IP 地址(应用分配的地址)。 |
出站 | 是 | 是 |
AppServiceManagement | 应用服务环境专用部署的管理流量。 | 两者 | 否 | 是 |
AzureActiveDirectory | Microsoft Entra ID 服务。 此标记包括登录名、MS Graph 和此表中未专门列出的其他 Entra 服务 | 出站 | 否 | 是 |
AzureActiveDirectoryDomainServices | 专用于 Microsoft Entra 域服务的部署的管理流量。 | 两者都有 | 否 | 是 |
AzureAdvancedThreatProtection | Microsoft Defender for Identity。 | 出站 | 否 | 是 |
AzureArcInfrastructure | 已启用 Azure Arc 的服务器、已启用 Azure Arc 的 Kubernetes 和来宾配置流量。 注意:此标记依赖于 AzureActiveDirectory、AzureTrafficManager 和 AzureResourceManager 标记 。 |
出站 | 否 | 是 |
AzureAttestation | Azure 证明。 | 出站 | 否 | 是 |
AzureBackup | Azure 备份。 注意:此标记依赖于 Storage 和 AzureActiveDirectory 标记 。 |
出站 | 否 | 是 |
AzureBotService | Azure 机器人服务。 | 两者都有 | 否 | 是 |
AzureCloud | 所有数据中心公共 IP 地址。 此标记不包括 IPv6。 | 两者都有 | 是 | 是 |
AzureCognitiveSearch | Azure AI 搜索。 此标记指定搜索服务用于基于索引器的索引编制的多租户执行环境的 IP 范围。 注意:此服务标记未涵盖搜索服务本身的 IP。 在 Azure 资源的防火墙配置中,你应指定服务标记,还应指定搜索服务本身的具体 IP 地址。 |
入站 | 否 | 是 |
AzureConnectors | 此标记表示用于托管连接器的 IP 地址,这些托管连接器对 Azure 逻辑应用服务进行入站 Webhook 回调,并对其各自的服务(例如 Azure 存储或 Azure 事件中心)进行出站调用。 | 双向 | 是 | 是 |
AzureContainerAppsService | Azure 容器应用服务 | 双向 | 是 | 否 |
AzureContainerRegistry | Azure 容器注册表。 | 出站 | 是 | 是 |
AzureCosmosDB | Azure Cosmos DB。 | 出站 | 是 | 是 |
AzureDatabricks | Azure Databricks。 | 两者 | 否 | 是 |
AzureDataExplorerManagement | Azure 数据资源管理器管理。 | 入站 | 否 | 是 |
AzureDeviceUpdate | 针对 IoT 中心的设备更新。 | 两者 | 否 | 是 |
AzureDevOps | Azure DevOps。 | 入站 | 是 | 是 |
AzureDigitalTwins | Azure 数字孪生。 注意:此标记或此标记所涵盖的 IP 地址可用于限制对事件路由配置的终结点的访问。 |
入站 | 否 | 是 |
AzureEventGrid | Azure 事件网格。 | 两者 | 否 | 是 |
AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty |
Frontend 服务标记包含客户端用于访问 Front Door 的 IP 地址。 如果要控制可在 Azure Front Door 后面连接到服务的出站流量,可以应用 AzureFrontDoor.Frontend 服务标记。 Backend 服务标记包含 Azure Front Door 用于访问源的 IP 地址。 为源配置安全性时,可以应用此服务标记。 FirstParty 是为 Azure Front Door 上托管的一组 Microsoft 服务保留的特殊标记。 | 两者都有 | 是 | 是 |
AzureHealthcareAPIs | 此标记所涵盖的 IP 地址可用于限制对 Azure 运行状况数据服务的访问。 | 两者 | 否 | 是 |
AzureInformationProtection | Azure 信息保护。 注意:此标记依赖于 AzureActiveDirectory、AzureFrontDoor.Frontend 和 AzureFrontDoor.FirstParty 标记 。 |
出站 | 否 | 是 |
AzureIoTHub | Azure IoT 中心。 | 出站 | 是 | 是 |
AzureKeyVault | Azure Key Vault。 注意:此标记依赖于 AzureActiveDirectory 标记 。 |
出站 | 是 | 是 |
AzureLoadBalancer | Azure 基础结构负载均衡器。 此标记将转换为主机的虚拟 IP 地址 (168.63.129.16),Azure 的运行状况探测源于该 IP。 这只包括探测流量,而不包括到后端资源的实际流量。 如果不使用 Azure 负载均衡器,则可替代此规则。 | 两者 | 否 | 否 |
AzureMachineLearningInference | 此服务标记用于限制专用网络托管推理场景中的公用网络入口。 | 入站 | 否 | 是 |
AzureManagedGrafana | Azure 托管 Grafana 实例终结点。 | 出站 | 否 | 是 |
AzureMonitor | Log Analytics、Application Insights、Azure Monitor 工作区、AzMon 和自定义指标(GiG 终结点)。 注意:对于 Log Analytics,还需要提供 Storage 标记 。 如果使用了 Linux 代理,亦必须有“GuestAndHybridManagement”。 |
出站 | 否 | 是 |
AzureOpenDatasets | Azure 开放数据集。 注意:此标记依赖于 AzureFrontDoor.Frontend 和 Storage 标记 。 |
出站 | 否 | 是 |
AzurePlatformDNS | 基本基础结构(默认)DNS 服务。 可以使用此标记来禁用默认 DNS。 使用此标记时要格外小心。 建议你阅读 Azure 平台注意事项。 我们还建议你在使用此标记之前执行测试。 |
出站 | 否 | 否 |
AzurePlatformIMDS | Azure 实例元数据服务 (IMDS),它是一个基本基础结构服务。 可以使用此标记来禁用默认 IMDS。 使用此标记时要格外小心。 建议你阅读 Azure 平台注意事项。 我们还建议你在使用此标记之前执行测试。 |
出站 | 否 | 否 |
AzurePlatformLKM | Windows 授权或密钥管理服务。 可以使用此标记来禁用授权默认值。 使用此标记时要格外小心。 建议你阅读 Azure 平台注意事项。 我们还建议你在使用此标记之前执行测试。 |
出站 | 否 | 否 |
AzureResourceManager | Azure 资源管理器。 | 出站 | 否 | 是 |
AzureSentinel | Microsoft Sentinel。 | 入站 | 否 | 是 |
AzureSignalR | Azure SignalR。 | 出站 | 否 | 是 |
AzureSiteRecovery | Azure Site Recovery。 注意:此标记依赖于 AzureActiveDirectory、AzureKeyVault、EventHub、GuestAndHybridManagement 和 Storage 标记 。 |
出站 | 否 | 是 |
AzureSphere | 此标记或此标记所涵盖的 IP 地址可用于限制对 Azure Sphere 安全服务的访问。 | 两者 | 否 | 是 |
AzureSpringCloud | 允许流量流向 Azure Spring Apps 中托管的应用程序。 | 出站 | 否 | 是 |
AzureStack | Azure Stack Bridge 服务。 此标记表示每个区域的 Azure Stack Bridge 服务终结点。 |
出站 | 否 | 是 |
AzureTrafficManager | Azure 流量管理器探测 IP 地址。 有关流量管理器探测 IP 地址的详细信息,请参阅 Azure 流量管理器常见问题解答。 |
入站 | 否 | 是 |
AzureUpdateDelivery | 用于访问 Windows 更新的 Azure 更新传递服务标记标记为弃用,将来将停用。 建议客户不要依赖此服务标记,并且对于已使用该标记的客户,建议迁移到以下选项之一: 为 Windows 10/11 设备配置 Azure 防火墙,如前所述: • 管理 Windows 11 企业版的连接终结点 • 管理 Windows 10 企业版版本 21H2 的连接终结点 部署 Windows Server Update Services (WSUS) 计划部署,以便更新 Azure 中的 Windows VM,然后继续执行 步骤 2:配置 WSUS |
出站 | 否 | 是 |
AzureWebPubSub | AzureWebPubSub | 双向 | 是 | 是 |
BatchNodeManagement | Azure Batch 专用部署的管理流量。 | 推送、请求和匿名 | 是 | 是 |
ChaosStudio | Azure Chaos Studio。 注意:如果在 Chaos 代理上启用了 Application Insights 集成,则还需要 AzureMonitor 标记。 |
两者 | 否 | 是 |
CognitiveServicesFrontend | Azure AI 服务前端门户的流量的地址范围。 | 两者 | 否 | 是 |
CognitiveServicesManagement | Azure AI 服务的流量的地址范围。 | 两者 | 否 | 是 |
DataFactory | Azure 数据工厂 | 两者都有 | 是 | 是 |
DataFactoryManagement | Azure 数据工厂的管理流量。 | 出站 | 否 | 是 |
Dynamics365ForMarketingEmail | Dynamics 365 的营销电子邮件服务的地址范围。 | 双向 | 是 | 是 |
Dynamics365BusinessCentral | 此标记或其涵盖的 IP 地址可用于限制来自/对 Dynamics 365 Business Central 服务的访问。 | 两者 | 否 | 是 |
EOPExternalPublishedIPs | 此标记表示用于安全与合规中心 PowerShell 的 IP 地址。 请参阅使用 EXO V2 模块连接到安全与合规中心 PowerShell,了解更多详情。 | 两者都有 | 否 | 是 |
EventHub | Azure 事件中心。 | 出站 | 是 | 是 |
GatewayManager | Azure VPN 网关和应用程序网关专用部署的管理流量。 | 入站 | 否 | 否 |
GuestAndHybridManagement | Azure 自动化和来宾配置。 | 出站 | 否 | 是 |
HDInsight | Azure HDInsight。 | 入站 | 是 | 是 |
Internet | 虚拟网络外部的 IP 地址空间,可以通过公共 Internet 进行访问。 此地址范围包括 Azure 拥有的公共 IP 地址空间。 |
两者 | 否 | 否 |
KustoAnalytics | Kusto Analytics。 | 推送、请求和匿名 | 否 | 否 |
LogicApps | 逻辑应用。 | 两者 | 否 | 是 |
LogicAppsManagement | 逻辑应用的管理流量。 | 入站 | 否 | 是 |
M365ManagementActivityApi | Office 365 管理活动 API 提供有关 Office 365 和 Microsoft Entra 活动日志中的各种用户、管理员、系统和策略操作和事件的信息。 客户和合作伙伴可以使用此信息为企业创建新的或增强现有的操作、安全性和合规性监视解决方案。 注意:此标记依赖于 AzureActiveDirectory 标记 。 |
出站 | 是 | 是 |
M365ManagementActivityApiWebhook | 当新内容可用时,通知将发送到为订阅配置的 Webhook。 | 入站 | 是 | 是 |
MicrosoftAzureFluidRelay | 此标记表示用于 Azure Microsoft Fluid Relay Server 的 IP 地址。 注意:此标记依赖于 AzureFrontDoor.Frontend 标记。 |
出站 | 否 | 是 |
MicrosoftCloudAppSecurity | Microsoft Defender for Cloud Apps。 | 出站 | 否 | 是 |
MicrosoftDefenderForEndpoint | Microsoft Defender for Endpoint 核心服务。 注意:设备需要通过简化的连接进行加入并满足要求才能使用此服务标签。 Defender for Endpoint/Server 需要额外的服务标签(例如 OneDSCollector)来支持所有功能。 有关详细信息,请参阅使用 Microsoft Defender for Endpoint 的简化连接加入设备 |
两者都有 | 否 | 是 |
PowerBI | Power BI 平台后端服务和 API 终结点。 |
两者都有 | 否 | 是 |
PowerPlatformInfra | 此标记表示由基础结构用来托管 Power Platform 服务的 IP 地址。 | 两者都有 | 是 | 是 |
PowerPlatformPlex | 此标记表示基础结构用来以客户身份托管 Power Platform 扩展执行的 IP 地址。 | 两者都有 | 是 | 是 |
PowerQueryOnline | Power Query Online。 | 两者 | 否 | 是 |
Scuba | Microsoft 安全产品(Sentinel、Defender 等)的数据连接器。 | 入站 | 否 | 否 |
SerialConsole | 仅允许从“串行控制台”服务标记访问启动诊断存储帐户 | 入站 | 否 | 是 |
服务总线 | 使用高级服务层级的 Azure 服务总线流量。 | 出站 | 是 | 是 |
ServiceFabric | Azure Service Fabric。 注意:此标记表示每个区域的控制平面的 Service Fabric 服务终结点。 通过它,客户可从其 VNET 终结点对 Service Fabric 群集执行管理操作。 (例如 https:// westus.servicefabric.azure.com)。 |
两者 | 否 | 是 |
Sql | Azure SQL 数据库、Azure Database for MySQL 单一服务器、Azure Database for PostgreSQL 单一服务器、Azure Database for MariaDB 和 Azure Synapse Analytics。 注意:此标记表示服务而不是服务的特定实例。 例如,标记可表示 Azure SQL 数据库服务,但不能表示特定的 SQL 数据库或服务器。 此标记不适用于 SQL 托管实例。 |
出站 | 是 | 是 |
SqlManagement | SQL 专用部署的管理流量。 | 两者 | 否 | 是 |
存储 | Azure 存储。 注意:此标记表示服务而不是服务的特定实例。 例如,标记可表示 Azure 存储服务,但不能表示特定的 Azure 存储帐户。 |
出站 | 是 | 是 |
StorageSyncService | 存储同步服务。 | 两者 | 否 | 是 |
StorageMover | 存储移动程序。 | 出站 | 是 | 是 |
WindowsAdminCenter | 允许 Windows Admin Center 后端服务与 Windows Admin Center 的客户安装通信。 | 出站 | 否 | 是 |
WindowsVirtualDesktop | Azure 虚拟桌面(以前称为 Windows 虚拟桌面)。 | 两者 | 否 | 是 |
VideoIndexer | 进行了重大更改。 用于允许客户向视频索引器服务开放其 NSG 并接收对其服务的回调。 |
两者都有 | 否 | 是 |
VirtualNetwork | 虚拟网络地址空间(为虚拟网络定义的所有 IP 地址范围)、所有连接的本地地址空间、对等互连的虚拟网络、已连接到虚拟网络网关的虚拟网络、主机的虚拟 IP 地址以及在用户定义的路由上使用的地址前缀。 此标记还可能包含默认路由。 | 两者 | 否 | 否 |
注意
将服务标记与 Azure 防火墙一起使用时,只能在入站和出站流量上创建目标规则。 不支持源规则。 有关详细信息,请参阅 Azure 防火墙服务标记文档。
Azure 服务的服务标记表示来自所使用的特定云的地址前缀。 例如,与 Azure 公有云上 SQL 标记值对应的基础 IP 范围将不同于由世纪互联运营的 Microsoft Azure 云上的基础范围。
如果为某个服务(例如 Azure 存储或 Azure SQL 数据库)实现了虚拟网络服务终结点,Azure 会将路由添加到该服务的虚拟网络子网。 路由中的地址前缀与相应服务标记的地址前缀或 CIDR 范围相同。
经典部署模型中支持的标记
经典部署模型(Azure 资源管理器推出之前)支持上表中列出的一小部分标记。 经典部署模型中的标记采用不同的拼写方式,如下表中所示:
资源管理器标记 | 经典部署模型中的对应标记 |
---|---|
AzureLoadBalancer | AZURE_LOADBALANCER |
Internet | INTERNET |
VirtualNetwork | VIRTUAL_NETWORK |
用户定义的路由 (UDR) 不支持标记
下面是当前不支持与用户定义的路由 (UDR) 一起使用的标记列表。
AzurePlatformDNS
AzurePlatformIMDS
AzurePlatformLKM
VirtualNetwork
AzureLoadBalancer
Internet
本地服务标记
可获取服务标记和范围的当前信息,将其包含在本地防火墙配置中。 此信息是对应于每个服务标记的 IP 范围的最新列表(截止目前)。 可以通过编程方式或通过 JSON 文件下载获取信息,如以下各节所述。
使用服务标记发现 API
可以编程方式检索最新的服务标记列表和 IP 地址范围详细信息:
例如,若要检索存储服务标记的所有前缀,可使用以下 PowerShell cmdlet:
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
注意
- API 数据表示可以在区域中与 NSG 规则一起使用的那些标记。 将 API 数据用作可用服务标记的可信源,因为它可能不同于 JSON 可下载文件。
- 跨所有 Azure 区域在 API 结果中传播新服务标记数据最长需要 4 周时间。 由于存在此过程,API 数据结果可能与可下载 JSON 文件不同步,因为 API 数据表示当前在可下载 JSON 文件中的标记子集。
- 必须完成身份验证,并具有一个对当前订阅拥有读取权限的角色。
使用可下载的 JSON 文件发现服务标记
可以下载包含最新服务标记列表和 IP 地址范围详细信息的 JSON 文件。 这些列表每周更新和发布。 每个云的位置如下:
这些文件中的 IP 地址范围采用 CIDR 表示法。
以下 AzureCloud 标记的区域名称未根据标准架构进行格式设置:
AzureCloud.centralfrance (FranceCentral)
AzureCloud.southfrance (FranceSouth)
AzureCloud.germanywc (GermanyWestCentral)
AzureCloud.germanyn (GermanyNorth)
AzureCloud.norwaye (NorwayEast)
AzureCloud.norwayw (NorwayWest)
AzureCloud.switzerlandn (SwitzerlandNorth)
AzureCloud.switzerlandw (SwitzerlandWest)
AzureCloud.usstagee (EastUSSTG)
AzureCloud.usstagec (SouthCentralUSSTG)
AzureCloud.brazilse (BrazilSoutheast)
提示
可以通过增大 JSON 文件中的 changeNumber 值,检测各个发布的更新。 每个子部分(例如 Storage.WestUS)都有自己的 changeNumber,该值在出现更改时递增。 任何子部分更改时,文件的 changeNumber 的顶层都将递增。
要通过示例了解如何分析服务标记信息(例如获取美国西部区域存储的所有地址范围),请参阅服务标记发现 API PowerShell 文档。
将新的 IP 地址添加到服务标记后,这些地址至少一周内不会在 Azure 中使用。 可以利用这段时间更新任何可能需要跟踪与服务标记相关的 IP 地址的系统。
后续步骤
- 了解如何创建网络安全组。