App Service síťové funkce

Aplikace v Azure App Service můžete nasadit několika způsoby. Ve výchozím nastavení jsou aplikace hostované v App Service přístupné přímo přes internet a můžou přistupovat jenom ke koncovým bodům hostovaným na internetu. U mnoha aplikací ale potřebujete řídit příchozí a odchozí síťový provoz. V App Service je několik funkcí, které vám tyto potřeby pomůžou splnit. Výzvou je vědět, kterou funkci použít k vyřešení daného problému. Tento článek vám pomůže určit, kterou funkci použít, na základě některých příkladů případů použití.

Existují dva hlavní typy nasazení pro Azure App Service:

  • Veřejná služba s více tenanty hostuje App Service plány v cenových cenách Free, Shared, Basic, Standard, Premium, PremiumV2 a PremiumV3.
  • App Service Environment s jedním tenantem (ASE) hostuje izolované skladové položky App Service plány přímo ve vaší virtuální síti Azure.

Funkce, které budete používat, budou záviset na tom, jestli jste ve službě s více tenanty nebo ve službě ASE.

Poznámka

Síťové funkce nejsou k dispozici pro aplikace nasazené ve službě Azure Arc.

Síťové funkce App Service s více tenanty

Azure App Service je distribuovaný systém. Role, které zpracovávají příchozí požadavky HTTP nebo HTTPS, se nazývají front-endy. Role, které hostují úlohy zákazníka, se nazývají pracovní procesy. Všechny role v App Service nasazení existují v síti s více tenanty. Vzhledem k tomu, že ve stejné jednotce škálování App Service existuje mnoho různých zákazníků, nemůžete App Service síť připojit přímo k síti.

Místo propojení sítí potřebujete funkce pro zpracování různých aspektů komunikace aplikací. Funkce, které zpracovávají požadavky na vaši aplikaci, se nedají použít k řešení problémů při volání z aplikace. Stejně tak funkce, které řeší problémy s voláními z vaší aplikace, se nedají použít k řešení problémů s vaší aplikací.

Příchozí funkce Odchozí funkce
Adresa přiřazená aplikací Hybridní připojení
Omezení přístupu Integrace virtuální sítě vyžadované bránou
Koncové body služby Integrace virtuální sítě
Privátní koncové body

Kromě uvedených výjimek můžete všechny tyto funkce používat společně. Problémy můžete vyřešit kombinací funkcí.

Případy použití a funkce

Pro každý případ použití může existovat několik způsobů, jak tento problém vyřešit. Výběr nejlepší funkce někdy přesahuje rámec samotného případu použití. Následující příchozí případy použití navrhují použití App Service síťových funkcí k řešení problémů s řízením provozu směřujícího do vaší aplikace:

Případ použití příchozích dat Funkce
Podpora potřeb SSL na základě IP adresy pro vaši aplikaci Adresa přiřazená aplikací
Podpora nesdílené vyhrazené příchozí adresy pro vaši aplikaci Adresa přiřazená aplikací
Omezení přístupu k aplikaci ze sady dobře definovaných adres Omezení přístupu
Omezení přístupu k aplikaci z prostředků ve virtuální síti Privátní koncové body
služby ASE
s interním nástrojem Load Balancer (ILB)
Zveřejnění aplikace na privátní IP adrese ve vaší virtuální síti Privátní ip body
služby ASE
s interním nástrojem pro vyrovnávání zatížení – Privátní IP adresa pro příchozí provoz v instanci Application Gateway s koncovými body služby
Ochrana aplikace pomocí Firewallu webových aplikací (WAF) Application Gateway a Application Gateway služby ASE
s interním nástrojem pro vyrovnávání zatížení s privátními koncovými body
Application Gateway koncových bodů
služby Azure Front Door s omezeními přístupu
Vyrovnávání zatížení provozu do aplikací v různých oblastech Azure Front Door s omezeními přístupu
Vyrovnávání zatížení provozu ve stejné oblasti Application Gateway s koncovými body služby

Následující případy použití odchozích přenosů navrhují použití App Service síťových funkcí k řešení požadavků na odchozí přístup k vaší aplikaci:

Případ použití odchozích přenosů Funkce
Přístup k prostředkům ve virtuální síti Azure ve stejné oblasti Integrace
virtuální sítě ASE
Přístup k prostředkům ve virtuální síti Azure v jiné oblasti integrace virtuální sítě a partnerský
vztah virtuálních sítí – integrace
virtuální sítě vyžadovaná bránou – ASE a partnerský vztah virtuálních sítí
Přístup k prostředkům zabezpečeným pomocí koncových bodů služby integrace
virtuální sítě – ASE
Přístup k prostředkům v privátní síti, která není připojená k Azure Hybridní připojení
Přístup k prostředkům napříč okruhy Azure ExpressRoute integrace
virtuální sítě – ASE
Zabezpečení odchozího provozu z webové aplikace integrace virtuální sítě a skupiny
zabezpečení sítě ASE
Směrování odchozího provozu z webové aplikace integrace virtuální sítě a směrovací tabulky
ASE

Výchozí chování sítě

Azure App Service jednotky škálování podporují v každém nasazení mnoho zákazníků. Plány Free a Shared SKU hostují úlohy zákazníků v pracovních procesůch s více tenanty. Plány Basic a vyšší hostují úlohy zákazníků, které jsou vyhrazené jenom pro jeden plán App Service. Pokud máte plán Standard App Service, všechny aplikace v daném plánu poběží ve stejném pracovním procesu. Při horizontálním navýšení kapacity pracovního procesu se všechny aplikace v tomto App Service plánu replikují do nového pracovního procesu pro každou instanci v plánu App Service.

Odchozí adresy

Pracovní virtuální počítače jsou z velké části rozdělené podle plánů App Service. Všechny plány Free, Shared, Basic, Standard a Premium používají stejný typ pracovního virtuálního počítače. Plán PremiumV2 používá jiný typ virtuálního počítače. PremiumV3 používá ještě jiný typ virtuálního počítače. Když změníte řadu virtuálních počítačů, získáte jinou sadu odchozích adres. Pokud škálujete ze standardu na PremiumV2, změní se vaše odchozí adresy. Pokud škálujete z PremiumV2 na PremiumV3, vaše odchozí adresy se změní. V některých starších jednotkách škálování se při škálování ze standardu na PremiumV2 změní příchozí i odchozí adresa.

Existuje mnoho adres, které se používají pro odchozí volání. Odchozí adresy, které vaše aplikace používá k odchozím voláním, jsou uvedené ve vlastnostech vaší aplikace. Tyto adresy sdílí všechny aplikace spuštěné ve stejné rodině pracovních virtuálních počítačů v nasazení App Service. Pokud chcete zobrazit všechny adresy, které by vaše aplikace mohla používat v jednotce škálování, existuje vlastnost s názvem possibleOutboundAddresses , která je zobrazí.

Snímek obrazovky s vlastnostmi aplikace

App Service má mnoho koncových bodů, které se používají ke správě služby. Tyto adresy se publikují v samostatném dokumentu a jsou také ve AppServiceManagement značce služby IP. Značka se AppServiceManagement používá jenom v prostředích App Service, kde je potřeba takový provoz povolit. App Service příchozí adresy se sledují ve značce AppService služby IP. Neexistuje žádná značka služby IP, která by obsahovala odchozí adresy používané App Service.

Diagram znázorňující App Service příchozí a odchozí provoz

Adresa přiřazená aplikací

Funkce adresy přiřazené aplikací je odnoží funkce SSL na základě PROTOKOLU IP. Dostanete se k němu tak, že ve své aplikaci nastavíte SSL. Tuto funkci můžete použít pro volání SSL na základě PROTOKOLU IP. Můžete ho také použít k tomu, abyste aplikaci dali adresu, kterou má jenom ona.

Diagram znázorňující adresu přiřazenou aplikací

Když použijete adresu přiřazenou aplikací, provoz stále prochází stejnými front-endovými rolemi, které zpracovávají veškerý příchozí provoz do jednotky škálování App Service. Adresu, která je přiřazená vaší aplikaci, ale používá jenom vaše aplikace. Případy použití pro tuto funkci:

  • Podpora požadavků SSL na základě IP adres pro vaši aplikaci
  • Nastavte pro aplikaci vyhrazenou adresu, která se nesdílí.

Informace o nastavení adresy v aplikaci najdete v tématu Přidání certifikátu TLS/SSL v Azure App Service.

Omezení přístupu

Omezení přístupu umožňují filtrovat příchozí požadavky. Akce filtrování se provádí u front-endových rolí, které jsou nadřazené rolím pracovních procesů, ve kterých jsou vaše aplikace spuštěné. Vzhledem k tomu, že front-endové role jsou nadřazené pracovníkům, můžete si omezení přístupu představit jako ochranu vašich aplikací na úrovni sítě. Další informace o omezeních přístupu najdete v tématu Přehled omezení přístupu.

Tato funkce umožňuje vytvořit seznam pravidel povolení a zamítnutí, která se vyhodnocují v pořadí podle priority. Podobá se funkci skupiny zabezpečení sítě (NSG) v sítích Azure. Tuto funkci můžete použít ve službě ASE nebo ve službě s více tenanty. Když ho použijete se službou ASE s interním nástrojem pro vyrovnávání zatížení, můžete omezit přístup z bloků privátních adres. Informace o tom, jak tuto funkci povolit, najdete v tématu Konfigurace omezení přístupu.

Poznámka

Pro každou aplikaci je možné nakonfigurovat až 512 pravidel omezení přístupu.

Diagram znázorňující omezení přístupu

Privátní koncový bod

Privátní koncový bod je síťové rozhraní, které vás privátně a bezpečně připojí k vaší webové aplikaci pomocí privátního propojení Azure. Privátní koncový bod používá privátní IP adresu z vaší virtuální sítě a ve skutečnosti přináší webovou aplikaci do vaší virtuální sítě. Tato funkce je určená pouze pro příchozí toky do webové aplikace. Další informace najdete v tématu Použití privátních koncových bodů pro webovou aplikaci Azure.

Některé případy použití této funkce:

  • Omezte přístup k aplikaci z prostředků ve virtuální síti.
  • Zveřejnění aplikace na privátní IP adrese ve vaší virtuální síti
  • Chraňte svou aplikaci pomocí WAF.

Privátní koncové body brání exfiltraci dat, protože přes privátní koncový bod můžete získat přístup pouze k aplikaci, se kterou je nakonfigurovaná.

Hybridní připojení

App Service Hybridní připojení umožňují vašim aplikacím provádět odchozí volání do zadaných koncových bodů PROTOKOLU TCP. Koncový bod může být místní, ve virtuální síti nebo kdekoli, kde je povolen odchozí provoz do Azure na portu 443. Abyste mohli tuto funkci používat, musíte na Windows Server 2012 nebo novějším hostiteli nainstalovat přenosového agenta s názvem Správce hybridního připojení. Správce hybridního připojení musí mít přístup ke službě Azure Relay na portu 443. Správce hybridního připojení si můžete stáhnout z uživatelského rozhraní App Service Hybrid Connections na portálu.

Diagram znázorňující síťový tok hybridních připojení

App Service Hybridní připojení je založená na funkci Azure Relay Hybrid Connections. App Service používá specializovanou formu funkce, která podporuje pouze odchozí volání z aplikace na hostitele a port TCP. Tento hostitel a port je potřeba vyřešit pouze na hostiteli, na kterém je nainstalovaný Správce hybridního připojení.

Když aplikace v App Service vyhledá DNS na hostiteli a portu definovaném ve vašem hybridním připojení, provoz se automaticky přesměruje na hybridní připojení a z Správce hybridního připojení. Další informace najdete v tématu App Service hybridních připojení.

Tato funkce se běžně používá k:

  • Přístup k prostředkům v privátních sítích, které nejsou připojené k Azure, pomocí sítě VPN nebo ExpressRoute.
  • Podpora migrace místních aplikací do App Service bez nutnosti přesunu podpůrných databází
  • Zajištění přístupu s vylepšeným zabezpečením pro jednoho hostitele a port na hybridní připojení Většina síťových funkcí otevírá přístup k síti. S hybridními připojeními se můžete spojit pouze s jedním hostitelem a portem.
  • Pokrývá scénáře, které ostatní metody odchozího připojení nepokrývají.
  • Provádějte vývoj v App Service způsobem, který aplikacím umožňuje snadno používat místní prostředky.

Vzhledem k tomu, že tato funkce umožňuje přístup k místním prostředkům bez vstupní brány firewall, je mezi vývojáři oblíbená. Ostatní odchozí síťové funkce App Service souvisejí s Azure Virtual Network. Hybridní připojení nezávisí na průchodu virtuální sítí. Dá se použít pro širší škálu síťových potřeb.

App Service hybridní připojení neví, co děláte. Můžete ho tedy použít pro přístup k databázi, webové službě nebo libovolnému soketu TCP na sálovém počítači. Tato funkce v podstatě tuneluje pakety TCP.

Hybridní připojení jsou oblíbená pro vývoj, ale používají se také v produkčních aplikacích. Je skvělý pro přístup k webové službě nebo databázi, ale není vhodný pro situace, kdy se vytváří velké množství připojení.

Integrace virtuální sítě vyžadované bránou

Integrace virtuální sítě vyžadovaná bránou App Service umožňuje vaší aplikaci provádět odchozí požadavky do virtuální sítě Azure. Funkce funguje tak, že hostitele, na kterém vaše aplikace běží, připojí k bráně Virtual Network ve vaší virtuální síti pomocí sítě VPN typu point-to-site. Když funkci nakonfigurujete, vaše aplikace získá jednu z adres typu point-to-site přiřazených každé instanci. Tato funkce umožňuje přístup k prostředkům v klasických nebo Resource Manager virtuálních sítích Azure v libovolné oblasti.

Diagram znázorňující integraci virtuální sítě vyžadované bránou

Tato funkce řeší problém s přístupem k prostředkům v jiných virtuálních sítích. Dá se dokonce použít k připojení přes virtuální síť buď k jiným virtuálním sítím, nebo k místnímu prostředí. Nefunguje s virtuálními sítěmi připojenými k ExpressRoute, ale funguje se sítěmi vpn typu site-to-site. Není vhodné používat tuto funkci z aplikace v App Service Environment (ASE), protože služba ASE už je ve vaší virtuální síti. Případy použití pro tuto funkci:

  • Přístup k prostředkům ve virtuálních sítích mezi oblastmi, které nejsou v partnerském vztahu s virtuální sítí v dané oblasti.

Když je tato funkce povolená, bude vaše aplikace používat server DNS, se kterým je nakonfigurovaná cílová virtuální síť. Další informace o této funkci najdete v tématu App Service integrace virtuální sítě.

Integrace regionální virtuální sítě

Integrace virtuální sítě vyžadovaná bránou je užitečná, ale neřeší problém s přístupem k prostředkům napříč ExpressRoute. Vedle toho, že je potřeba spojit se přes připojení ExpressRoute, je potřeba, aby aplikace dokázaly volat služby zabezpečené koncovým bodem služby. Těmto potřebám může vyhovovat jiná funkce integrace virtuální sítě.

Funkce integrace regionální virtuální sítě umožňuje umístit back-end aplikace do podsítě v Resource Manager virtuální síti ve stejné oblasti jako vaše aplikace. Tato funkce není dostupná z App Service Environment, která už je ve virtuální síti. Případy použití pro tuto funkci:

  • Přístup k prostředkům ve Resource Manager virtuálních sítích ve stejné oblasti.
  • Přístup k prostředkům v partnerských virtuálních sítích, včetně připojení mezi oblastmi
  • Přístup k prostředkům zabezpečeným pomocí koncových bodů služby
  • Přístup k prostředkům, které jsou přístupné přes ExpressRoute nebo připojení VPN.
  • Přístup k prostředkům v privátních sítích bez nutnosti a nákladů na bránu Virtual Network.
  • Pomoc se zabezpečením veškerého odchozího provozu
  • Vynuťte tunelování všech odchozích přenosů.

Diagram znázorňující integraci virtuální sítě

Další informace najdete v tématu integrace App Service virtuální sítě.

App Service Environment

App Service Environment (ASE) je nasazení Azure App Service s jedním tenantem, které běží ve vaší virtuální síti. Některé případy, například pro tuto funkci:

  • Přístup k prostředkům ve virtuální síti.
  • Přístup k prostředkům napříč ExpressRoute.
  • Zveřejnění aplikací s privátní adresou ve vaší virtuální síti
  • Přístup k prostředkům napříč koncovými body služby
  • Přístup k prostředkům napříč privátními koncovými body

Se službou ASE nemusíte používat integraci virtuální sítě, protože služba ASE už je ve vaší virtuální síti. Pokud chcete získat přístup k prostředkům, jako je SQL nebo Azure Storage, přes koncové body služby, povolte koncové body služby v podsíti služby ASE. Pokud chcete získat přístup k prostředkům ve virtuální síti nebo k privátním koncovým bodům ve virtuální síti, nemusíte provádět žádnou další konfiguraci. Pokud chcete přistupovat k prostředkům přes ExpressRoute, už jste ve virtuální síti a nemusíte nic konfigurovat ve službě ASE ani v aplikacích, které jsou v ní uvedené.

Vzhledem k tomu, že aplikace ve službě ASE s interním nástrojem pro vyrovnávání zatížení můžou být vystavené na privátní IP adrese, můžete snadno přidat zařízení WAF, aby se na internetu zpřístupnily jenom aplikace, které chcete, a pomohly zajistit zabezpečení ostatních. Tato funkce může usnadnit vývoj vícevrstvých aplikací.

Některé věci v současné době nejsou možné ze služby s více tenanty, ale jsou možné ze služby ASE. Tady je několik příkladů:

  • Hostujte aplikace ve službě s jedním tenantem.
  • Vertikálně navyšte kapacitu na mnohem více instancí, než je možné ve službě s více tenanty.
  • Načtěte certifikáty klientů privátní certifikační autority, které budou vaše aplikace používat s koncovými body zabezpečenými privátní certifikační autoritou.
  • Vynucujte protokol TLS 1.2 ve všech aplikacích hostovaných v systému bez možnosti ho zakázat na úrovni aplikace.

Diagram znázorňující ase ve virtuální síti

Služba ASE poskytuje nejlepší informace o hostování izolovaných a vyhrazených aplikací, ale zahrnuje určité výzvy při správě. Před použitím provozní služby ASE je potřeba zvážit několik věcí:

  • Služba ASE běží ve vaší virtuální síti, ale má závislosti mimo virtuální síť. Tyto závislosti musí být povolené. Další informace najdete v tématu Důležité informace o sítích pro App Service Environment.
  • Služba ASE se neškupuje okamžitě jako služba s více tenanty. Je potřeba předpovědět potřeby škálování místo reaktivního škálování.
  • Služba ASE má vyšší počáteční náklady. Pokud chcete službu ASE využívat na maximum, měli byste naplánovat, že do jedné služby ASE umístíte mnoho úloh, místo abyste ji používali v malém úsilí.
  • Aplikace ve službě ASE nemůžou selektivně omezit přístup k některým aplikacím ve službě ASE a k jiným ne.
  • Služba ASE je v podsíti a všechna síťová pravidla se vztahují na veškerý provoz do a z této služby ASE. Pokud chcete přiřadit pravidla příchozího provozu jenom jedné aplikaci, použijte omezení přístupu.

Kombinování funkcí

Funkce uvedené ve službě s více tenanty je možné použít společně k řešení složitějších případů použití. Tady jsou popsané dva z nejběžnějších případů použití, ale jsou to jenom příklady. Když pochopíte, co různé funkce dělají, můžete splnit téměř všechny požadavky na architekturu systému.

Umístění aplikace do virtuální sítě

Možná vás zajímá, jak umístit aplikaci do virtuální sítě. Pokud umístíte aplikaci do virtuální sítě, budou příchozí a odchozí koncové body aplikace ve virtuální síti. Nejlepší způsob, jak tento problém vyřešit, je ASE. Většinu svých potřeb v rámci služby s více tenanty ale můžete splnit kombinováním funkcí. Můžete například hostovat intranetové aplikace s privátními příchozími a odchozími adresami pomocí:

  • Vytvoření aplikační brány s privátními příchozími a odchozími adresami
  • Zabezpečení příchozího provozu do aplikace pomocí koncových bodů služby
  • Pomocí funkce integrace virtuální sítě, aby byl back-end vaší aplikace ve vaší virtuální síti.

Tento styl nasazení vám nevrátí vyhrazenou adresu pro odchozí provoz do internetu ani možnost uzamknout veškerý odchozí provoz z vaší aplikace. Získáte tak velkou část toho, co byste jinak získali pouze se službou ASE.

Vytváření vícevrstvých aplikací

Vícevrstvé aplikace je aplikace, ve které jsou back-endové aplikace ROZHRANÍ API přístupné pouze z front-endové vrstvy. Existují dva způsoby, jak vytvořit vícevrstvou aplikaci. Oba systémy začínají připojením front-endové webové aplikace k podsíti ve virtuální síti pomocí integrace virtuální sítě. Webová aplikace tak bude moct volat do vaší virtuální sítě. Po připojení front-endové aplikace k virtuální síti se musíte rozhodnout, jak uzamknout přístup k aplikaci API. Můžete:

  • Hostujte front-end i aplikaci API ve stejné službě ASE s interním nástrojem pro vyrovnávání zatížení a vystavte front-endovou aplikaci na internetu pomocí aplikační brány.
  • Hostujte front-end ve službě s více tenanty a back-end ve službě ASE s interním nástrojem pro vyrovnávání zatížení.
  • Hostujte front-end i aplikaci API ve službě s více tenanty.

Pokud hostujete front-end i aplikaci API pro vícevrstvou aplikaci, můžete:

  • Zveřejnění aplikace API pomocí privátních koncových bodů ve vaší virtuální síti:

    Diagram znázorňující použití privátních koncových bodů ve dvouvrstvé aplikaci

  • Pomocí koncových bodů služby zajistěte, aby příchozí provoz do vaší aplikace API přišel jenom z podsítě používané front-endovou webovou aplikací:

    Diagram znázorňující použití koncových bodů služby k zabezpečení aplikace

Tady je několik důležitých aspektů, které vám pomůžou při rozhodování, kterou metodu použít:

  • Když používáte koncové body služby, potřebujete jenom zabezpečit provoz do aplikace API do podsítě integrace. Koncové body služby pomáhají zabezpečit aplikaci API, ale stále můžete mít data exfiltrace z front-endové aplikace do jiných aplikací ve službě App Service.
  • Když používáte privátní koncové body, máte k dispozici dvě podsítě, což zvyšuje složitost. Privátní koncový bod je také prostředek nejvyšší úrovně a zvyšuje režijní náklady na správu. Výhodou používání privátních koncových bodů je, že nemáte možnost exfiltrace dat.

Obě metody budou fungovat s více front-endy. V malém měřítku se koncové body služby snadněji používají, protože jednoduše povolíte koncové body služby pro aplikaci API v podsíti integrace front-endu. Při přidávání dalších front-endových aplikací je potřeba upravit každou aplikaci API tak, aby zahrnovala koncové body služby s podsítí integrace. Když používáte privátní koncové body, je to složitější, ale po nastavení privátního koncového bodu nemusíte v aplikacích API nic měnit.

Obchodní aplikace

Obchodní aplikace (LOB) jsou interní aplikace, které nejsou běžně přístupné pro přístup z internetu. Tyto aplikace se volají z podnikových sítí, kde je možné přístup přísně kontrolovat. Pokud používáte službu ASE s interním nástrojem pro vyrovnávání zatížení, je hostování obchodních aplikací snadné. Pokud používáte službu s více tenanty, můžete buď použít privátní koncové body, nebo koncové body služby v kombinaci se službou Application Gateway. Existují dva důvody, proč používat službu Application Gateway s koncovými body služby místo privátních koncových bodů:

  • U obchodních aplikací potřebujete ochranu WAF.
  • Chcete vyrovnávat zatížení do více instancí obchodních aplikací.

Pokud ani jedna z těchto možností neplatí, je lepší používat privátní koncové body. S privátními koncovými body dostupnými v App Service můžete své aplikace vystavit na privátních adresách ve virtuální síti. Privátní koncový bod, který umístíte do virtuální sítě, je dostupný přes ExpressRoute a připojení VPN.

Konfigurace privátních koncových bodů zpřístupní vaše aplikace na privátní adrese, ale budete muset nakonfigurovat DNS tak, aby se k této adrese dostal z místního prostředí. Aby tato konfigurace fungovala, budete muset předat privátní zónu Azure DNS, která obsahuje vaše privátní koncové body, na místní servery DNS. Privátní zóny Azure DNS nepodporují přeposílání zón, ale pro tento účel můžete podporovat přeposílání zón pomocí serveru DNS. Šablona modulu pro předávání DNS usnadňuje předávání privátní zóny Azure DNS na místní servery DNS.

App Service porty

Pokud prohledáte App Service, najdete několik portů, které jsou přístupné pro příchozí připojení. Ve službě s více tenanty neexistuje způsob, jak blokovat ani řídit přístup k těmto portům. Tady je seznam vystavených portů:

Použití Port nebo porty
HTTP/HTTPS 80, 443
Správa 454, 455
FTP/FTPS 21, 990, 10001-10300
Vzdálené ladění sady Visual Studio 4020, 4022, 4024
Služba nasazení webu 8172
Použití infrastruktury 7654, 1221