عناوين IP الواردة والصادرة في Azure App Service

  • مقالة

Azure App Service هي خدمة متعددة المستأجرين، باستثناء App Service Environments. تشترك التطبيقات غير الموجودة في بيئة App Service (وليس في المستوى المعزول) في البنية الأساسية للشبكة مع تطبيقات أخرى. ونتيجة لذلك، يمكن أن تكون عناوين IP الواردة والصادرة للتطبيق مختلفة، ويمكن أن تتغير حتى في حالات معينة.

تستخدم بيئات خدمة التطبيقات البنية الأساسية للشبكة المخصصة، بحيث تحصل التطبيقات التي تعمل في بيئة App Service على عناوين IP ثابتة ومخصصة للاتصالات الواردة والصادرة.

كيفية عمل عناوين IP في App Service

يتم تشغيل تطبيق App Service في خطة App Service، ويتم نشر خطط App Service في إحدى وحدات التوزيع في البنية الأساسية لـAzure (تسمى داخليًا مساحة ويب). يتم تعيين مجموعة من عناوين IP الظاهرية لكل وحدة نشر، والتي تتضمن عنوان IP عامًا واحدًا ومجموعة من عناوين IP الصادرة. تشترك جميع خطط App Service في نفس وحدة النشر ومثيلات التطبيق التي تعمل فيها في نفس مجموعة عناوين IP الظاهرية. بالنسبة لبيئة خدمة التطبيقات (خطة خدمة التطبيقات في المستوى المعزول)، فإن خطة App Service هي وحدة النشر نفسها، لذلك يتم تخصيص عناوين IP الظاهرية لها نتيجة لذلك.

نظرًا لعدم السماح لك بنقل خطة App Service بين وحدات التوزيع، فإن عناوين IP الظاهرية المعينة لتطبيقك عادة ما تظل كما هي، ولكن هناك استثناءات.

عند تغيير IP الوارد

بغض النظر عن عدد المثيلات التي تم توسيع نطاقها، يحتوي كل تطبيق على عنوان IP وارد واحد. قد يتغير عنوان IP الوارد عند تنفيذ أحد الإجراءات التالية:

  • حذف تطبيق وإعادة إنشائه في مجموعة موارد مختلفة (قد تتغير وحدة التوزيع).
  • حذف التطبيق الأخير في مجموعة موارد ومجموعة المناطق، وإعادة إنشائه (قد تتغير وحدة النشر).
  • حذف ربط TLS/SSL قائم على IP، مثل أثناء تجديد الشهادة (راجع تجديد الشهادة).

البحث عن عنوان IP الوارد

ما عليك سوى تشغيل الأمر التالي في محطة طرفية محلية:

nslookup <app-name>.azurewebsites.net

الحصول على IP وارد ثابت

في بعض الأحيان قد تحتاج إلى عنوان IP ثابت مخصص لتطبيقك. للحصول على عنوان IP وارد ثابت، تحتاج إلى تأمين اسم DNS مخصص مع ربط شهادة مستندة إلى IP. إذا لم تكن بحاجة بالفعل إلى وظيفة TLS لتأمين تطبيقك، يمكنك حتى تحميل شهادة موقعة ذاتيا لهذا الربط. في ربط TLS المستند إلى IP، تكون الشهادة مرتبطة بعنوان IP نفسه، لذلك توفر App Service عنوان IP ثابتا لتحقيق ذلك.

عند تغيير عناوين IP الصادرة

بغض النظر عن عدد المثيلات التي تم توسيع نطاقها، يحتوي كل تطبيق على عدد محدد من عناوين IP الصادرة في أي وقت. يستخدم أي اتصال صادر من تطبيق خدمة التطبيقات، مثل قاعدة بيانات خلفية، أحد عناوين IP الصادرة كعنوان IP الأصلي. يتم تحديد عنوان IP لاستخدامه عشوائيًا في وقت التشغيل، لذلك يجب أن تفتح الخدمة الخلفية جدار الحماية الخاص بها لجميع عناوين IP الصادرة لتطبيقك.

تتغير مجموعة عناوين IP الصادرة لتطبيقك عند تنفيذ أحد الإجراءات التالية:

  • حذف تطبيق وإعادة إنشائه في مجموعة موارد مختلفة (قد تتغير وحدة التوزيع).
  • حذف التطبيق الأخير في مجموعة موارد ومجموعة المناطق، وإعادة إنشائه (قد تتغير وحدة النشر).
  • قم بتوسيع نطاق تطبيقك بين المستويات الدنيا (Basic وStandard وPremium) ومستوى PremiumV2 ومستوى PremiumV3 وخيارات Pmv3 داخل طبقة PremiumV3 (يمكن إضافة عناوين IP إلى المجموعة أو طرحها منها).

يمكنك العثور على مجموعة من جميع عناوين IP الصادرة الممكنة التي يمكن لتطبيقك استخدامها، بغض النظر عن مستويات التسعير، عن طريق البحث عن الخاصية possibleOutboundIpAddresses أو في حقل عناوين IP الصادرة الإضافية في جزء الخصائص في مدخل Microsoft Azure. راجع العثور على عناوين IP الصادرة.

لاحظ أن مجموعة جميع عناوين IP الصادرة الممكنة يمكن أن تزيد بمرور الوقت إذا أضافت App Service مستويات تسعير أو خيارات جديدة إلى عمليات نشر App Service الحالية. على سبيل المثال، إذا أضافت App Service مستوى PremiumV3 إلى نشر App Service موجود، فستزيد مجموعة جميع عناوين IP الصادرة الممكنة. وبالمثل، إذا أضافت App Service خيارات Pmv3 جديدة إلى عملية نشر تدعم بالفعل مستوى PremiumV3، فستزيد أيضا مجموعة جميع عناوين IP الصادرة الممكنة. ليس لهذا أي تأثير فوري نظرا لأن عناوين IP الصادرة لتشغيل التطبيقات لا تتغير عند إضافة مستوى تسعير جديد أو خيار جديد إلى نشر App Service. ومع ذلك، إذا تحولت التطبيقات إلى مستوى تسعير جديد أو خيار لم يكن متوفرا مسبقا، فسيتم استخدام عناوين صادرة جديدة وسيحتاج العملاء إلى تحديث قواعد جدار الحماية المتلقين للمعلومات وقيود عنوان IP.

العثور على بروتوكولات الإنترنت الصادرة

للعثور على عناوين IP الصادرة المستخدمة حالياً بواسطة تطبيقك في مدخل Microsoft Azure، انقر فوق Properties في التنقل الأيسر للتطبيق. ويتم سردها في الحقل Additional Outbound IP Addresses.

بإمكانك الحصول على نفس المعلومات عن طريق تشغيل الأمر التالي في Cloud Shell.

az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv

(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses

للعثور على جميع عناوين IP الصادرة الممكنة لتطبيقك، بغض النظر عن مستويات التسعير، انقر فوق خصائص في التنقل الأيسر لتطبيقك. يتم سردها في الحقل Additional Outbound IP Addresses.

بإمكانك الحصول على نفس المعلومات عن طريق تشغيل الأمر التالي في Cloud Shell.

az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv

(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses

الحصول على IP صادر ثابت

يمكنك التحكم في عنوان IP لنسبة استخدام الشبكة الصادرة من التطبيق الخاص بك باستخدام التكامل VNet الإقليمية جنبًا إلى جنب مع عبارة NAT الشبكة الظاهرية لتوجيه نسبة استخدام الشبكة من خلال عنوان IP عام ثابت. يتوفر تكامل VNet الإقليمي على خطط Basic وStandard وPremium وPremiumV2وPremiumV3 App Service. لمعرفة المزيد حول هذا الإعداد، راجع تكامل بوابة NAT.

الخطوات التالية

تعرف على كيفية تقييد نسبة استخدام الشبكة الواردة حسب عناوين IP المصدر.

قيود IP الثابتة