ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
Azure App Service هي خدمة متعددة المستأجرين، باستثناء App Service Environments. تشترك التطبيقات غير الموجودة في بيئة App Service (وليس في المستوى المعزول) في البنية الأساسية للشبكة مع تطبيقات أخرى. ونتيجة لذلك، يمكن أن تكون عناوين IP الواردة والصادرة للتطبيق مختلفة، ويمكن أن تتغير حتى في حالات معينة.
تستخدم بيئات خدمة التطبيقات البنية الأساسية للشبكة المخصصة، بحيث تحصل التطبيقات التي تعمل في بيئة App Service على عناوين IP ثابتة ومخصصة للاتصالات الواردة والصادرة.
كيفية عمل عناوين IP في App Service
يتم تشغيل تطبيق App Service في خطة App Service، ويتم نشر خطط App Service في إحدى وحدات التوزيع في البنية الأساسية لـAzure (تسمى داخليًا مساحة ويب). يتم تعيين مجموعة من عناوين IP الظاهرية لكل وحدة نشر، والتي تتضمن عنوان IP عامًا واحدًا ومجموعة من عناوين IP الصادرة. تشترك جميع خطط App Service في نفس وحدة النشر ومثيلات التطبيق التي تعمل فيها في نفس مجموعة عناوين IP الظاهرية. بالنسبة لبيئة خدمة التطبيقات (خطة خدمة التطبيقات في المستوى المعزول)، فإن خطة App Service هي وحدة النشر نفسها، لذلك يتم تخصيص عناوين IP الظاهرية لها نتيجة لذلك.
نظرًا لعدم السماح لك بنقل خطة App Service بين وحدات التوزيع، فإن عناوين IP الظاهرية المعينة لتطبيقك عادة ما تظل كما هي، ولكن هناك استثناءات.
إشعار
لا يوفر المستوى Premium V4 مجموعة مستقرة من عناوين IP الصادرة. هذا السلوك مقصود. على الرغم من أن التطبيقات التي تعمل على مستوى Premium V4 يمكنها إجراء مكالمات صادرة إلى نقاط النهاية المواجهة للإنترنت، إلا أن النظام الأساسي لخدمة التطبيقات لا يوفر مجموعة ثابتة من عناوين IP الصادرة لطبقة Premium V4. هذا تغيير في السلوك من مستويات تسعير App Service السابقة. سيظهر المدخل "ديناميكيا" لعناوين IP الصادرة ومعلومات عناوين IP الصادرة الإضافية للتطبيقات التي تستخدم Premium V4. سترجع استدعاءات ARM وCLI سلاسل فارغة لقيم outboundIpAddressesوoutboundIpAddresses المحتملة. إذا كانت التطبيقات التي تعمل على Premium V4 تتطلب عنوان (عناوين) IP صادرة مستقرة، فسيحتاج المطورون إلى استخدام حل مثل Azure NAT Gateway للحصول على عنوان IP يمكن التنبؤ به لنسبة استخدام الشبكة الصادرة التي تواجه الإنترنت.
عند تغيير IP الوارد
بغض النظر عن عدد المثيلات التي تم توسيع نطاقها، يحتوي كل تطبيق على عنوان IP وارد واحد. قد يتغير عنوان IP الوارد عند تنفيذ أحد الإجراءات التالية:
- حذف تطبيق وإعادة إنشائه في مجموعة موارد مختلفة (قد تتغير وحدة التوزيع).
- حذف التطبيق الأخير في مجموعة موارد ومجموعة المناطق، وإعادة إنشائه (قد تتغير وحدة النشر).
- احذف ربط TLS قائم على IP، مثل أثناء تجديد الشهادة (راجع تجديد الشهادة).
البحث عن عنوان IP الوارد
ما عليك سوى تشغيل الأمر التالي في محطة طرفية محلية:
nslookup <app-name>.azurewebsites.net
الحصول على IP وارد ثابت
في بعض الأحيان قد تحتاج إلى عنوان IP ثابت مخصص لتطبيقك. للحصول على عنوان IP وارد ثابت، تحتاج إلى تأمين اسم DNS مخصص مع ربط شهادة مستندة إلى IP. إذا لم تكن بحاجة بالفعل إلى وظيفة TLS لتأمين تطبيقك، يمكنك حتى تحميل شهادة موقعة ذاتيا لهذا الربط. في ربط TLS المستند إلى IP، تكون الشهادة مرتبطة بعنوان IP نفسه، لذلك تنشئ App Service عنوان IP ثابتا لتحقيق ذلك.
عند تغيير عناوين IP الصادرة
بغض النظر عن عدد المثيلات التي تم توسيع نطاقها، يحتوي كل تطبيق على عدد محدد من عناوين IP الصادرة في أي وقت. يستخدم أي اتصال صادر من تطبيق خدمة التطبيقات، مثل قاعدة بيانات خلفية، أحد عناوين IP الصادرة كعنوان IP الأصلي. يتم تحديد عنوان IP لاستخدامه عشوائيًا في وقت التشغيل، لذلك يجب أن تفتح الخدمة الخلفية جدار الحماية الخاص بها لجميع عناوين IP الصادرة لتطبيقك.
تتغير مجموعة عناوين IP الصادرة لتطبيقك عند تنفيذ أحد الإجراءات التالية:
- حذف تطبيق وإعادة إنشائه في مجموعة موارد مختلفة (قد تتغير وحدة التوزيع).
- حذف التطبيق الأخير في مجموعة موارد ومجموعة المناطق، وإعادة إنشائه (قد تتغير وحدة النشر).
- قم بتوسيع نطاق تطبيقك بين المستويات الدنيا (Basic وStandard وPremium) ومستوى PremiumV2 ومستوى PremiumV3 وخيارات Pmv3 داخل طبقة PremiumV3 (يمكن إضافة عناوين IP إلى المجموعة أو طرحها منها).
يمكنك العثور على مجموعة من جميع عناوين IP الصادرة الممكنة التي يمكن لتطبيقك استخدامها، بغض النظر عن مستويات التسعير، عن طريق البحث عن possibleOutboundIpAddresses الخاصية أو في حقل عناوين IP الصادرة الإضافية في صفحة الخصائص في مدخل Microsoft Azure. راجع العثور على عناوين IP الصادرة.
يمكن أن تزيد مجموعة جميع عناوين IP الصادرة الممكنة بمرور الوقت إذا أضافت App Service مستويات تسعير جديدة أو خيارات جديدة إلى عمليات نشر App Service الحالية. على سبيل المثال، إذا أضافت App Service مستوى PremiumV3 إلى نشر App Service موجود، فستزداد مجموعة جميع عناوين IP الصادرة الممكنة. وبالمثل، إذا أضافت App Service خيارات Pmv3 جديدة إلى عملية نشر تدعم بالفعل المستوى PremiumV3، فستزداد مجموعة جميع عناوين IP الصادرة الممكنة. لا يكون لإضافة عناوين IP إلى عملية نشر أي تأثير فوري نظرا لأن عناوين IP الصادرة لتشغيل التطبيقات لا تتغير عند إضافة مستوى تسعير جديد أو خيار جديد إلى نشر App Service. ومع ذلك، إذا تحولت التطبيقات إلى مستوى تسعير جديد أو خيار لم يكن متاحا مسبقا، استخدام عناوين صادرة جديدة ويحتاج العملاء إلى تحديث قواعد جدار الحماية المتلقين للمعلومات وقيود عنوان IP.
العثور على بروتوكولات الإنترنت الصادرة
للعثور على عناوين IP الصادرة المستخدمة حاليا من قبل تطبيقك في مدخل Microsoft Azure، حدد خصائص في التنقل الأيسر للتطبيق. يتم سردها في حقل عناوين IP الصادرة.
بإمكانك الحصول على نفس المعلومات عن طريق تشغيل الأمر التالي في Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses
للعثور على جميع عناوين IP الصادرة الممكنة لتطبيقك، بغض النظر عن مستويات التسعير، حدد خصائص في التنقل الأيسر للتطبيق. يتم سردها في حقل عناوين IP الصادرة الإضافية.
بإمكانك الحصول على نفس المعلومات عن طريق تشغيل الأمر التالي في Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses
بالنسبة لتطبيقات الوظائف، راجع عناوين IP الصادرة لتطبيق الوظائف.
الحصول على IP صادر ثابت
يمكنك التحكم في عنوان IP لنسبة استخدام الشبكة الصادرة من تطبيقك باستخدام تكامل الشبكة الظاهرية مع بوابة NAT للشبكة الظاهرية لتوجيه نسبة استخدام الشبكة من خلال عنوان IP عام ثابت. يتوفر تكامل الشبكة الظاهرية على خطط Basic وStandard وPremium وPremiumV2 وPremiumV3 App Service. لمعرفة المزيد حول هذا الإعداد، راجع تكامل بوابة NAT.
خصائص عنوان IP في مدخل Microsoft Azure
تظهر عناوين IP في أماكن متعددة في مدخل Microsoft Azure. ستعرض لك صفحة الخصائص الإخراج الأولي من inboundIpAddressو possibleInboundIpAddressesoutboundIpAddressesو و.possibleOutboundIpAddresses ستظهر صفحة النظرة العامة أيضا نفس القيم، ولكن لا تتضمن عناوين IP الواردة المحتملة.
تظهر نظرة عامة على الشبكات الجمع بين عنوان IP الوارد وأي عناوين IP لنقطة النهاية الخاصة في حقل العناوين الواردة . إذا تم تعطيل الوصول إلى الشبكة العامة، فلن يظهر عنوان IP العام. يحتوي حقل العناوين الصادرة على قائمة مجمعة من عناوين IP الصادرة (المحتملة)، وإذا كان التطبيق شبكة ظاهرية متكاملة وي توجيه كل نسبة استخدام الشبكة، وكانت الشبكة الفرعية تحتوي على بوابة NAT مرفقة، فسيتضمن الحقل أيضا عناوين IP من بوابة NAT.
علامة الخدمة
باستخدام AppService علامة الخدمة، يمكنك تعريف الوصول إلى الشبكة لخدمة Azure App Service دون تحديد عناوين IP الفردية. علامة الخدمة هي مجموعة من بادئات عناوين IP التي تستخدمها لتقليل تعقيد إنشاء قواعد الأمان. عند استخدام علامات الخدمة، يقوم Azure تلقائيا بتحديث عناوين IP أثناء تغييرها للخدمة. ومع ذلك، فإن علامة الخدمة ليست آلية للتحكم في الأمان. علامة الخدمة هي مجرد قائمة بعناوين IP.
AppService تتضمن علامة الخدمة عناوين IP الواردة للتطبيقات متعددة المستأجرين فقط. لا يتم تضمين عناوين IP الواردة من التطبيقات المنشورة في معزولة (بيئة خدمة التطبيقات) والتطبيقات التي تستخدم روابط TLS المستندة إلى IP. علاوة على ذلك، لا يتم تضمين جميع عناوين IP الصادرة المستخدمة في كل من متعدد المستأجرين والعزلة في العلامة.
يمكن استخدام العلامة للسماح بحركة المرور الصادرة في مجموعة أمان الشبكة (NSG) للتطبيقات. إذا كان التطبيق يستخدم TLS المستندة إلى IP أو تم نشر التطبيق في الوضع المعزول، يجب عليك استخدام عنوان IP المخصص بدلا من ذلك. نظرا لأن العلامة تتضمن عناوين IP الواردة فقط، فلا يمكن استخدام العلامة في قيود الوصول للحد من الوصول إلى تطبيق من تطبيقات أخرى في App Service.
إشعار
تساعدك علامة الخدمة على تحديد الوصول إلى الشبكة، ولكن لا ينبغي اعتبارها بديلا لمقاييس أمان الشبكة المناسبة لأنها لا توفر تحكما دقيقا في عناوين IP الفردية.
الخطوات التالية
- تعرف على كيفية تقييد حركة المرور الواردة حسب عناوين IP المصدر.
- تعرف على المزيد حول علامات الخدمة.