Příchozí a odchozí IP adresy v Azure App Service
Azure App Service je služba s více tenanty s výjimkou prostředí App Service. Aplikace, které nejsou v App Service prostředí (ne na úrovni Izolované), sdílejí síťovou infrastrukturu s jinými aplikacemi. V důsledku toho se příchozí a odchozí IP adresy aplikace můžou lišit a v určitých situacích se můžou dokonce změnit.
App Service Prostředí používají vyhrazené síťové infrastruktury, takže aplikace spuštěné v App Service prostředí získají statické vyhrazené IP adresy pro příchozí i odchozí připojení.
Jak FUNGUJÍ IP adresy v App Service
Aplikace App Service běží v plánu App Service a App Service plány se nasazují do jedné z jednotek nasazení v infrastruktuře Azure (interně označované jako webový prostor). Každá jednotka nasazení má přiřazenou sadu virtuálních IP adres, která zahrnuje jednu veřejnou příchozí IP adresu a sadu odchozích IP adres. Všechny App Service plány ve stejné jednotce nasazení a instance aplikací, které v nich běží, sdílejí stejnou sadu virtuálních IP adres. Pro App Service Environment (plán App Service na úrovni Isolated) je plánem App Service samotná jednotka nasazení, takže virtuální IP adresy jsou pro ni vyhrazené.
Vzhledem k tomu, že nemůžete přesouvat plán App Service mezi jednotkami nasazení, zůstanou virtuální IP adresy přiřazené vaší aplikaci obvykle stejné, ale existují výjimky.
Při změně příchozí IP adresy
Bez ohledu na počet instancí se škálováním na více instancí má každá aplikace jednu příchozí IP adresu. Příchozí IP adresa se může změnit, když provedete jednu z následujících akcí:
- Odstraňte aplikaci a znovu ji vytvořte v jiné skupině prostředků (jednotka nasazení se může změnit).
- Odstraňte poslední aplikaci v kombinaci skupiny prostředků a oblasti a vytvořte ji znovu (může se změnit jednotka nasazení).
- Odstraňte existující vazbu TLS/SSL založenou na PROTOKOLU IP, například během prodlužování platnosti certifikátu (viz Prodloužení platnosti certifikátu).
Vyhledání příchozí IP adresy
Stačí spustit následující příkaz v místním terminálu:
nslookup <app-name>.azurewebsites.net
Získání statické příchozí IP adresy
Někdy můžete chtít vyhrazenou statickou IP adresu pro vaši aplikaci. Pokud chcete získat statickou příchozí IP adresu, musíte zabezpečit vlastní název DNS pomocí vazby certifikátu založeného na PROTOKOLU IP. Pokud k zabezpečení aplikace ve skutečnosti nepotřebujete funkci PROTOKOLU TLS, můžete pro tuto vazbu dokonce nahrát certifikát podepsaný svým držitelem. Ve vazbě TLS založené na PROTOKOLU IP je certifikát vázán na samotnou IP adresu, takže App Service zřídí statickou IP adresu, aby k tomu došlo.
Při změně odchozích IP adres
Každá aplikace má v daném okamžiku určitý počet odchozích IP adres, a to bez ohledu na počet škálovaných instancí. Každé odchozí připojení z aplikace App Service, například k back-endové databázi, používá jednu z odchozích IP adres jako původní IP adresu. Použitá IP adresa je vybraná náhodně za běhu, takže back-endová služba musí aplikaci otevřít svou bránu firewall pro všechny odchozí IP adresy.
Sada odchozích IP adres pro vaši aplikaci se změní, když provedete jednu z následujících akcí:
- Odstraňte aplikaci a znovu ji vytvořte v jiné skupině prostředků (jednotka nasazení se může změnit).
- Odstraňte poslední aplikaci v kombinaci skupiny prostředků a oblasti a vytvořte ji znovu (může se změnit jednotka nasazení).
- Škálujte aplikaci mezi nižšími úrovněmi (Basic, Standard a Premium), úrovní PremiumV2 , PremiumV3 a možnostmi Pmv3 v rámci úrovně PremiumV3 (IP adresy se můžou přidat do sady nebo je od této sady odečíst).
Sadu všech možných odchozích IP adres, které vaše aplikace může používat, najdete bez ohledu na cenové úrovně tak, že vyhledáte possibleOutboundIpAddresses vlastnost nebo v poli Další odchozí IP adresy v okně Vlastnosti v Azure Portal. Viz Vyhledání odchozích IP adres.
Všimněte si, že sada všech možných odchozích IP adres se může v průběhu času zvyšovat, pokud App Service stávajícím nasazením App Service přidá nové cenové úrovně nebo možnosti. Pokud například App Service přidá úroveň PremiumV3 do existujícího nasazení App Service, zvýší se sada všech možných odchozích IP adres. Podobně platí, že pokud App Service přidá nové možnosti Pmv3 do nasazení, které už podporuje úroveň PremiumV3, zvýší se také sada všech možných odchozích IP adres. To nemá okamžitý účinek, protože odchozí IP adresy pro spuštěné aplikace se při přidání nové cenové úrovně nebo možnosti do nasazení App Service nemění. Pokud ale aplikace přejdou na novou cenovou úroveň nebo možnost, která dříve nebyla dostupná, použijí se nové odchozí adresy a zákazníci budou muset aktualizovat podřízená pravidla brány firewall a omezení IP adres.
Vyhledání odchozích IP adres
Pokud chcete zjistit odchozí IP adresy, které vaše aplikace aktuálně používá v Azure Portal, klikněte v levém navigačním panelu aplikace na Vlastnosti. Jsou uvedené v poli Odchozí IP adresy .
Stejné informace najdete spuštěním následujícího příkazu v Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses
Pokud chcete najít všechny možné odchozí IP adresy pro vaši aplikaci bez ohledu na cenové úrovně, klikněte v levém navigačním panelu aplikace na Vlastnosti . Jsou uvedené v poli Další odchozí IP adresy.
Stejné informace najdete spuštěním následujícího příkazu v Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses
Získání statické odchozí IP adresy
IP adresu odchozího provozu z vaší aplikace můžete řídit pomocí místní integrace virtuální sítě společně se službou NAT Gateway virtuální sítě, která směruje provoz přes statickou veřejnou IP adresu. Integrace místních virtuálních sítí je k dispozici v plánech Basic, Standard, Premium, PremiumV2 a PremiumV3 App Service. Další informace o tomto nastavení najdete v tématu Integrace služby NAT Gateway.
Další kroky
Zjistěte, jak omezit příchozí provoz podle zdrojových IP adres.