Příchozí a odchozí IP adresy ve službě Azure App Service
Aplikace Azure Service je víceklientová služba s výjimkou služby App Service Environment. Aplikace, které nejsou v prostředí služby App Service (ne v izolované vrstvě), sdílejí síťovou infrastrukturu s jinými aplikacemi. V důsledku toho se příchozí a odchozí IP adresy aplikace můžou lišit a můžou se dokonce v určitých situacích měnit.
Prostředí App Service Environment používají vyhrazené síťové infrastruktury, takže aplikace spuštěné v prostředí App Service environment získají statické vyhrazené IP adresy pro příchozí i odchozí připojení.
Jak fungují IP adresy ve službě App Service
Aplikace služby App Service běží v plánu služby App Service a plány služby App Service se nasazují do jedné z jednotek nasazení v infrastruktuře Azure (interně označované jako webspace). Každá jednotka nasazení má přiřazenou sadu virtuálních IP adres, která zahrnuje jednu veřejnou příchozí IP adresu a sadu odchozích IP adres. Všechny plány služby App Service ve stejné jednotce nasazení a instance aplikací, které v nich běží, sdílejí stejnou sadu virtuálních IP adres. V případě služby App Service Environment (plán služby App Service v izolované vrstvě) je plán služby App Service samotnou jednotkou nasazení, takže virtuální IP adresy jsou v důsledku toho vyhrazené.
Vzhledem k tomu, že mezi jednotkami nasazení nemůžete přesunout plán služby App Service, virtuální IP adresy přiřazené k vaší aplikaci obvykle zůstávají stejné, ale existují výjimky.
Při změně příchozí IP adresy
Bez ohledu na počet instancí se škálováním na více instancí má každá aplikace jednu příchozí IP adresu. Příchozí IP adresa se může změnit, když provedete jednu z následujících akcí:
- Odstraňte aplikaci a znovu ji vytvořte v jiné skupině prostředků (jednotka nasazení se může změnit).
- Odstraňte poslední aplikaci v kombinaci skupiny prostředků a oblasti a vytvořte ji znovu (jednotka nasazení se může změnit).
- Odstraňte existující vazbu TLS/SSL založenou na PROTOKOLU IP, například během obnovení certifikátu (viz Obnovení certifikátu).
Vyhledání příchozí IP adresy
Stačí v místním terminálu spustit následující příkaz:
nslookup <app-name>.azurewebsites.net
Získání statické příchozí IP adresy
Někdy můžete chtít vyhrazenou statickou IP adresu pro vaši aplikaci. Pokud chcete získat statickou příchozí IP adresu, musíte zabezpečit vlastní název DNS pomocí vazby certifikátu založené na PROTOKOLU IP. Pokud k zabezpečení aplikace ve skutečnosti nepotřebujete funkci TLS, můžete dokonce nahrát certifikát podepsaný svým držitelem pro tuto vazbu. V vazbě TLS založené na PROTOKOLU IP je certifikát svázaný s samotnou IP adresou, takže App Service vytvoří statickou IP adresu, aby k ní došlo.
Při změně odchozích IP adres
Každá aplikace má v daném okamžiku určitý počet odchozích IP adres, a to bez ohledu na počet škálovaných instancí. Jakékoli odchozí připojení z aplikace App Service, například k back-endové databázi, používá jednu z odchozích IP adres jako počáteční IP adresu. Použitá IP adresa je vybraná náhodně za běhu, takže back-endová služba musí aplikaci otevřít svou bránu firewall pro všechny odchozí IP adresy.
Sada odchozích IP adres pro vaši aplikaci se změní, když provedete jednu z následujících akcí:
- Odstraňte aplikaci a znovu ji vytvořte v jiné skupině prostředků (jednotka nasazení se může změnit).
- Odstraňte poslední aplikaci v kombinaci skupiny prostředků a oblasti a vytvořte ji znovu (jednotka nasazení se může změnit).
- Škálujte aplikaci mezi nižšími úrovněmi (Basic, Standard a Premium), úrovní PremiumV2, úrovní PremiumV3 a možnostmi Pmv3 v rámci úrovně PremiumV3 (IP adresy se můžou přidat nebo odečíst ze sady).
Sadu všech možných odchozích IP adres, které vaše aplikace může používat, bez ohledu na cenové úrovně, najdete tak, possibleOutboundIpAddresses že vyhledáte vlastnost nebo v poli Další odchozí IP adresy na stránce Vlastnosti na webu Azure Portal. Viz Vyhledání odchozích IP adres.
Sada všech možných odchozích IP adres se může v průběhu času zvýšit, pokud služba App Service přidá do stávajících nasazení služby App Service nové cenové úrovně nebo možnosti. Pokud služba App Service například přidá úroveň PremiumV3 do existujícího nasazení služby App Service, zvýší se sada všech možných odchozích IP adres. Podobně pokud App Service přidá nové možnosti Pmv3 do nasazení, které už podporuje úroveň PremiumV3 , sada všech možných odchozích IP adres se zvýší. Přidání IP adres do nasazení nemá okamžitý vliv, protože odchozí IP adresy pro spuštěné aplikace se nemění, když se do nasazení služby App Service přidá nová cenová úroveň nebo možnost. Pokud se ale aplikace přepnou na novou cenovou úroveň nebo možnost, která nebyla dříve dostupná, použijí se nové odchozí adresy a zákazníci musí aktualizovat pravidla podřízené brány firewall a omezení IP adres.
Vyhledání odchozích IP adres
Pokud chcete zjistit odchozí IP adresy aktuálně používané vaší aplikací na webu Azure Portal, vyberte v levém navigačním panelu aplikace vlastnosti . Jsou uvedené v poli Odchozí IP adresy .
Stejné informace najdete spuštěním následujícího příkazu v Cloud Shellu.
az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses
Pokud chcete najít všechny možné odchozí IP adresy pro vaši aplikaci bez ohledu na cenové úrovně, vyberte v levém navigačním panelu aplikace vlastnosti . Jsou uvedené v poli Další odchozí IP adresy .
Stejné informace najdete spuštěním následujícího příkazu v Cloud Shellu.
az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses
Získání statické odchozí IP adresy
IP adresu odchozího provozu z vaší aplikace můžete řídit pomocí integrace virtuální sítě spolu s bránou NAT pro virtuální síť, která bude směrovat provoz přes statickou veřejnou IP adresu. Integrace virtuální sítě je dostupná v plánech App Service Úrovně Basic, Standard, Premium, PremiumV2 a PremiumV3. Další informace o tomto nastavení najdete v tématu Integrace služby NAT Gateway.
Značka služby
Pomocí značky AppService služby můžete definovat síťový přístup pro službu Aplikace Azure Service bez zadání jednotlivých IP adres. Značka služby je skupina předpon IP adres, které používáte k minimalizaci složitosti vytváření pravidel zabezpečení. Když používáte značky služeb, Azure automaticky aktualizuje IP adresy při změně služby. Značka služby ale není mechanismus řízení zabezpečení. Značka služby je pouze seznam IP adres.
Značka AppService služby zahrnuje pouze příchozí IP adresy víceklientských aplikací. Nezahrnou se příchozí IP adresy z aplikací nasazených v izolovaném prostředí (App Service Environment) a aplikace využívající vazby TLS založené na PROTOKOLU IP. Všechny odchozí IP adresy používané ve víceklientských i izolovaných adresách se do značky nezahrnou.
Značka se dá použít k povolení odchozího provozu ve skupině zabezpečení sítě (NSG) do aplikací. Pokud aplikace používá protokol TLS založený na PROTOKOLU IP nebo je aplikace nasazená v izolovaném režimu, musíte místo toho použít vyhrazenou IP adresu.
Poznámka:
Značka služby pomáhá definovat přístup k síti, ale neměla by se považovat za náhradu správných bezpečnostních opatření sítě, protože neposkytuje podrobnou kontrolu nad jednotlivými IP adresami.
Další kroky
- Zjistěte, jak omezit příchozí provoz podle zdrojových IP adres.
- Přečtěte si další informace o značkách služby.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro