Von Azure Monitor verwendete IP-Adressen

Von Azure Monitor werden mehrere IP-Adressen verwendet. Azure Monitor umfasst neben Log Analytics und Application Insights auch Metriken und Protokolle der Kernplattform. Wenn die zu überwachende App oder Infrastruktur hinter einer Firewall gehostet wird, müssen Ihnen ggf. IP-Adressen bekannt sein.

Hinweis

Diese Adressen sind zwar statisch, müssen aber unter Umständen gelegentlich geändert werden. Sämtlicher Datenverkehr für Application Insights stellt ausgehenden Datenverkehr dar, mit Ausnahme der Überwachung der Verfügbarkeit und Webhook Aktionsgruppe, für die ebenfalls eingehende Firewallregeln erforderlich sind.

Sie können Netzwerkdiensttags von Azure verwenden, um bei Verwendung von Azure-Netzwerksicherheitsgruppen den Zugriff zu verwalten. Wenn Sie Zugriff für hybride oder lokale Ressourcen verwalten, können Sie die entsprechenden IP-Adresslisten als JSON-Dateien herunterladen, die jede Woche aktualisiert werden. Verwenden Sie die Diensttags ActionGroup, ApplicationInsightsAvailability und AzureMonitor, um alle Ausnahmen in diesem Artikel abzudecken.

Alternativ können Sie diese Seite als RSS-Feed abonnieren, indem Sie https://github.com/MicrosoftDocs/azure-docs/blob/main/articles/azure-monitor/app/ip-addresses.md Ihrem bevorzugten RSS-/ATOM-Reader hinzufügen, um Benachrichtigungen zu den neuesten Änderungen zu erhalten.

Ausgehende Ports

In der Serverfirewall müssen einige ausgehende Ports geöffnet werden, damit das Application Insights SDK oder der Statusmonitor Daten an das Portal senden kann.

Zweck URL IP Ports
Telemetrie dc.applicationinsights.azure.com
dc.applicationinsights.microsoft.com
dc.services.visualstudio.com
*.in.applicationinsights.azure.com

443
Livemetriken live.applicationinsights.azure.com
rt.applicationinsights.microsoft.com
rt.services.visualstudio.com

{region}.livediagnostics.monitor.azure.com

Beispiel für {region}: westus2
Sie finden alle unterstützten Regionen in dieser Tabelle.
20.49.111.32/29
13.73.253.112/29
443

Hinweis

Diese Adressen werden unter Verwendung der Notation für klassenloses domänenübergreifendes Routing (Classless Inter-Domain Routing, CIDR) aufgeführt. Ein Eintrag wie 51.144.56.112/28 entspricht also beispielsweise 16 IP-Adressen, die bei 51.144.56.112 beginnen und bei 51.144.56.127 enden.

Statusmonitor

Die Statusmonitorkonfiguration ist nur erforderlich, wenn Änderungen vorgenommen werden.

Zweck URL Ports
Konfiguration management.core.windows.net 443
Konfiguration management.azure.com 443
Konfiguration login.windows.net 443
Konfiguration login.microsoftonline.com 443
Konfiguration secure.aadcdn.microsoftonline-p.com 443
Konfiguration auth.gfx.ms 443
Konfiguration login.live.com 443
Installation globalcdn.nuget.org, packages.nuget.org ,api.nuget.org/v3/index.jsonnuget.org, api.nuget.org, dc.services.vsallin.net 443

Verfügbarkeitstests

Diese Liste enthält die Adressen, von denen aus Verfügbarkeitswebtests durchgeführt werden. Wenn Sie Webtests für Ihre App durchführen möchten, Ihr Webserver aber auf die Versorgung bestimmter Clients beschränkt ist, müssen Sie eingehenden Datenverkehr von unseren Verfügbarkeitstestservern zulassen.

Hinweis

Für Ressourcen in privaten virtuellen Netzwerken, die keine direkte eingehende Kommunikation mit den Agents für Verfügbarkeitstests im öffentlichen Azure zulassen, besteht die einzige Möglichkeit darin, eigene benutzerdefinierte Verfügbarkeitstests zu erstellen und zu hosten.

Diensttag

Wenn Sie Azure-Netzwerksicherheitsgruppen verwenden, fügen Sie eine Regel für eingehenden Port hinzu, um Datenverkehr von Application Insights-Verfügbarkeitstests zuzulassen. Wählen Sie Diensttag als Quelle und ApplicationInsightsAvailability als Quelldiensttag aus.

Screenshot: Auswahl von eingehenden Sicherheitsregeln und dann Auswahl von „Hinzufügen“.

Screenshot: Registerkarte eingehende Sicherheitsregel hinzufügen.

Öffnen Sie die Ports 80 (HTTP) und 443 (HTTPS) für eingehenden Datenverkehr von folgenden Adressen. IP-Adressen werden nach Standort gruppiert.

IP-Adressen

Wenn Sie nach den tatsächlichen IP-Adressen suchen, um sie der Liste zulässiger IP-Adressen in Ihrer Firewall hinzuzufügen, laden Sie die JSON-Datei mit den Azure-IP-Adressbereichen herunter. Diese Dateien enthalten die aktuellsten Informationen. Nachdem Sie die entsprechende Datei heruntergeladen haben, öffnen Sie sie mithilfe Ihres bevorzugten Text-Editors. Suchen Sie nach ApplicationInsightsAvailability, um direkt zum Abschnitt der Datei zu gelangen, in dem das Diensttag für Verfügbarkeitstests beschrieben wird.

Für die öffentliche Azure-Cloud müssen Sie sowohl die globalen IP-Bereiche als auch die für die Region Ihrer Application Insights-Ressource spezifischen IP-Bereiche zulassen, die Livedaten empfangen. Sie finden die globalen IP-Bereiche in der Tabelle Ausgehende Ports oben in diesem Dokument und die regionalen IP-Bereiche in der nachstehenden Tabelle Adressen nach Region.

Öffentliche Azure-Cloud

Laden Sie die IP-Adressen der öffentlichen Cloud herunter.

(Azure-Cloud für US-Behörden)

Laden Sie die IP-Adressen der Cloud für US-Behörden herunter.

Azure China

Laden Sie die IP-Adressen der China-Cloud herunter.

Nach Region gruppierte Adressen (öffentliche Azure-Cloud)

Hinweis

Fügen Sie die Unterdomäne des entsprechenden Bereichs der Livemetriken-URL aus der Tabelle Ausgehende Ports hinzu.

Kontinent/Land Region Unterdomäne IP
Asia Asien, Osten eastasia 52.229.216.48/28
20.189.111.16/29
Asien, Südosten southeastasia 52.139.250.96/28
23.98.106.152/29
Australien Australien, Mitte australiacentral 20.37.227.104/29

Australien, Mitte 2 australiacentral2 20.53.60.224/31

Australien (Osten) australiaeast 20.40.124.176/28
20.37.198.232/29
Australien, Südosten australiasoutheast 20.42.230.224/29

Brasilien Brasilien Süd brazilsouth 191.233.26.176/28
191.234.137.40/29
Brasilien, Südosten brasiliensoutheast 20.206.0.196/31

Canada Kanada, Mitte canadacentral 52.228.86.152/29

Europa Nordeuropa northeurope 52.158.28.64/28
20.50.68.128/29
Europa, Westen westeurope 51.144.56.96/28
40.113.178.32/29
Frankreich Frankreich, Mitte francecentral 20.40.129.32/28
20.43.44.216/29
Frankreich, Süden francesouth 20.40.129.96/28
52.136.191.12/31
Deutschland Deutschland, Westen-Mitte germanywestcentral 20.52.95.50/31

Indien Indien, Mitte centralindia 52.140.108.216/29

Indien (Süden) southindia 20.192.153.106/31

Japan Japan, Osten japaneast 52.140.232.160/28
20.43.70.224/29
Japan, Westen japanwest 20.189.194.102/31

Korea Korea, Mitte koreacentral 20.41.69.24/29

Norwegen Norwegen, Osten norwayeast 51.120.235.248/29

Norwegen, Westen norwaywest 51.13.143.48/31

Katar Katar, Mitte qatarcentral 20.21.39.224/29

Südafrika Südafrika, Norden southafricanorth 102.133.219.136/29

Schweiz Schweiz, Norden switzerlandnorth 51.107.52.200/29

Schweiz, Westen switzerlandwest 51.107.148.8/29

Vereinigte Arabische Emirate Vereinigte Arabische Emirate, Norden uaenorth 20.38.143.44/31
40.120.87.204/31
United Kingdom UK, Süden uksouth 51.105.9.128/28
51.104.30.160/29
UK, Westen ukwest 20.40.104.96/28
51.137.164.200/29
USA USA (Mitte) centralus 13.86.97.224/28
20.40.206.232/29
East US eastus 20.42.35.32/28
20.49.111.32/29
USA (Ost) 2 eastus2 20.49.102.24/29

USA Nord Mitte northcentralus 23.100.224.16/28
20.49.114.40/29
USA Süd Mitte southcentralus 20.45.5.160/28
13.73.253.112/29
USA (Westen) westus 40.91.82.48/28
52.250.228.8/29
USA, Westen 2 westus2 40.64.134.128/29

USA, Westen 3 westus3 20.150.241.64/29

Bevorstehende Regionen (Azure Public Cloud)

Hinweis

Die folgenden Regionen werden noch nicht unterstützt, werden aber in naher Zukunft hinzugefügt.

Kontinent/Land Region Unterdomäne IP
Canada Kanada, Osten TBD 52.242.40.208/31

Deutschland Deutschland, Norden TBD 51.116.75.92/31

Indien Indien, Westen TBD 20.192.84.164/31

Jio Indien, Mitte TBD 20.192.50.200/29

Jio Indien, Westen TBD 20.193.194.32/29

Israel Israel, Mitte TBD 20.217.44.250/31

Polen Polen, Mitte TBD 20.215.4.250/31

Südafrika Südafrika, Westen TBD 102.37.86.196/31

Schweden Schweden, Mitte TBD 51.12.25.192/29

Schweden, Süden TBD 51.12.17.128/29

Taiwan Taiwan, Norden TBD 51.53.28.214/31

Taiwan Northwest TBD 51.53.172.214/31

Vereinigte Arabische Emirate VAE, Mitte TBD 20.45.95.68/31

USA USA, Westen-Mitte TBD 52.150.154.24/29

Ermittlungs-API

Sie können die aktuelle Liste der Diensttags zusammen mit Details zum IP-Adressbereich auch programmgesteuert abrufen.

Application Insights- und Log Analytics-APIs

Zweck URI IP Ports
API api.applicationinsights.io
api1.applicationinsights.io
api2.applicationinsights.io
api3.applicationinsights.io
api4.applicationinsights.io
api5.applicationinsights.io
dev.applicationinsights.io
dev.applicationinsights.microsoft.com
dev.aisvc.visualstudio.com
www.applicationinsights.io
www.applicationinsights.microsoft.com
www.aisvc.visualstudio.com
api.loganalytics.io
*.api.loganalytics.io
dev.loganalytics.io
docs.loganalytics.io
www.loganalytics.io
20.37.52.188
20.37.53.231
20.36.47.130
20.40.124.0
20.43.99.158
20.43.98.234
13.70.127.61
40.81.58.225
20.40.160.120
23.101.225.155
52.139.8.32
13.88.230.43
52.230.224.237
52.242.230.209
52.173.249.138
52.229.218.221
52.229.225.6
23.100.94.221
52.188.179.229
52.226.151.250
52.150.36.187
40.121.135.131
20.44.73.196
20.41.49.208
40.70.23.205
20.40.137.91
20.40.140.212
40.89.189.61
52.155.118.97
52.156.40.142
23.102.66.132
52.231.111.52
52.231.108.46
52.231.64.72
52.162.87.50
23.100.228.32
40.127.144.141
52.155.162.238
137.116.226.81
52.185.215.171
40.119.4.128
52.171.56.178
20.43.152.45
20.44.192.217
13.67.77.233
51.104.255.249
51.104.252.13
51.143.165.22
13.78.151.158
51.105.248.23
40.74.36.208
40.74.59.40
13.93.233.49
52.247.202.90
80, 443
Azure-Erweiterung für Pipelineanmerkungen aigs1.aisvc.visualstudio.com dynamisch 443

Application Insights-Analyse

Zweck URI IP Ports
Analytics-Portal analytics.applicationinsights.io dynamisch 80, 443
CDN applicationanalytics.azureedge.net dynamisch 80, 443
Medien-CDN applicationanalyticsmedia.azureedge.net dynamisch 80, 443

Für die Domäne „*.applicationinsights.io“ ist das Application Insights-Team zuständig.

Log Analytics-Portal

Zweck URI IP Ports
Portal portal.loganalytics.io dynamisch 80, 443
CDN applicationanalytics.azureedge.net dynamisch 80, 443

Für die Domäne „*.loganalytics.io“ ist das Log Analytics-Team zuständig.

Azure-Portalerweiterung für Application Insights

Zweck URI IP Ports
Application Insights-Erweiterung stamp2.app.insightsportal.visualstudio.com dynamisch 80, 443
Erweiterungs-CDN für Application Insights insightsportal-prod2-cdn.aisvc.visualstudio.com
insightsportal-prod2-asiae-cdn.aisvc.visualstudio.com
insightsportal-cdn-aimon.applicationinsights.io
dynamisch 80, 443

SDKs für Application Insights

Zweck URI IP Ports
JS-SDK-CDN für Application Insights az416426.vo.msecnd.net
js.monitor.azure.com
dynamisch 80, 443

Webhooks für Aktionsgruppen

Sie können die Liste der IP-Adressen, die von Aktionsgruppen verwendet werden, mithilfe des PowerShell-Befehls „Get-AzNetworkServiceTag“ abfragen.

Diensttag für Aktionsgruppen

Die Verwaltung von Änderungen der Quell-IP-Adressen kann zeitaufwändig sein. Bei Verwendung von Diensttags müssen Sie die Konfiguration nicht aktualisieren. Ein Diensttag stellt eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts dar. Microsoft verwaltet die IP-Adressen und aktualisiert automatisch das Diensttag, wenn sich Adressen ändern, sodass die Netzwerksicherheitsregeln für eine Aktionsgruppe nicht aktualisiert werden müssen.

  1. Suchen Sie im Azure-Portal unter Azure-Dienste nach Netzwerksicherheitsgruppe.

  2. Wählen Sie Hinzufügen aus, und erstellen Sie eine Netzwerksicherheitsgruppe:

    1. Fügen Sie den Ressourcengruppennamen hinzu, und geben Sie Instanzdetails ein.
    2. Klicken Sie auf Review + Create (Überprüfen und erstellen) und dann auf Create (Erstellen).

    Screenshot, der zeigt, wie eine Netzwerksicherheitsgruppe erstellt wird.

  3. Navigieren Sie zu Ressourcengruppe, und wählen Sie anschließend die erstellte Netzwerksicherheitsgruppe aus:

    1. Klicken Sie auf Eingangssicherheitsregeln.
    2. Wählen Sie Hinzufügen.

    Screenshot: Eingehende Sicherheitsregel hinzufügen.

  4. Im rechten Bereich wird ein neues Fenster geöffnet:

    1. Geben Sie unter Quelle die Zeichenfolge Diensttag ein.
    2. Geben Sie unter Quelldiensttag die Zeichenfolge ActionGroup ein.
    3. Wählen Sie Hinzufügen.

    Screenshot: Servicetag hinzufügen.

Profiler

Zweck URI IP Ports
Agent agent.azureserviceprofiler.net
*.agent.azureserviceprofiler.net
20.190.60.38
20.190.60.32
52.173.196.230
52.173.196.209
23.102.44.211
23.102.45.216
13.69.51.218
13.69.51.175
138.91.32.98
138.91.37.93
40.121.61.208
40.121.57.2
51.140.60.235
51.140.180.52
52.138.31.112
52.138.31.127
104.211.90.234
104.211.91.254
13.70.124.27
13.75.195.15
52.185.132.101
52.185.132.170
20.188.36.28
40.89.153.171
52.141.22.239
52.141.22.149
102.133.162.233
102.133.161.73
191.232.214.6
191.232.213.239
443
Portal gateway.azureserviceprofiler.net dynamisch 443
Storage *.core.windows.net dynamisch 443

Debuggen von Momentaufnahmen

Hinweis

Profiler und Momentaufnahmedebugger teilen sich den gleichen Satz von IP-Adressen.

Zweck URI IP Ports
Agent agent.azureserviceprofiler.net
*.agent.azureserviceprofiler.net
20.190.60.38
20.190.60.32
52.173.196.230
52.173.196.209
23.102.44.211
23.102.45.216
13.69.51.218
13.69.51.175
138.91.32.98
138.91.37.93
40.121.61.208
40.121.57.2
51.140.60.235
51.140.180.52
52.138.31.112
52.138.31.127
104.211.90.234
104.211.91.254
13.70.124.27
13.75.195.15
52.185.132.101
52.185.132.170
20.188.36.28
40.89.153.171
52.141.22.239
52.141.22.149
102.133.162.233
102.133.161.73
191.232.214.6
191.232.213.239
443
Portal gateway.azureserviceprofiler.net dynamisch 443
Storage *.core.windows.net dynamisch 443