Virtuális hálózati szolgáltatáscímkék

A szolgáltatáscímke egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelöli. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, ezzel minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét.

Szolgáltatáscímkék használatával hálózati hozzáférés-vezérlést határozhat meg a hálózati biztonsági csoportokon, a Azure Firewall és a felhasználó által megadott útvonalakon. Biztonsági szabályok és útvonalak létrehozásakor használjon szolgáltatáscímkéket adott IP-címek helyett. A biztonsági szabály megfelelő forrás- vagy célmezőjében a szolgáltatáscímke nevének (például ApiManagement) megadásával engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. Ha megadja a szolgáltatáscímke nevét egy útvonal címelőtagjában, a szolgáltatáscímke által beágyazott előtagok forgalmát a kívánt következő ugrási típusra irányíthatja.

Megjegyzés

2022 márciusától a szolgáltatáscímkék használata explicit címelőtagok helyett a felhasználó által megadott útvonalakon nem előzetes verziójú, és általánosan elérhető.

A szolgáltatáscímkék használatával hálózatelkülönítést érhet el, és megvédheti Azure-erőforrásait az általános internetről, miközben hozzáférhet a nyilvános végpontokkal rendelkező Azure-szolgáltatásokhoz. Hozzon létre bejövő/kimenő hálózati biztonságicsoport-szabályokat az internetről érkező és kimenő forgalom letiltásához, valamint az AzureCloudba vagy adott Azure-szolgáltatások más elérhető szolgáltatáscímkékbe irányuló és onnan érkező forgalom engedélyezéséhez.

Azure-szolgáltatások hálózatelkülönítése szolgáltatáscímkék használatával

Elérhető szolgáltatáscímkék

Az alábbi táblázat a hálózati biztonsági csoportok szabályaiban használható összes szolgáltatáscímkét tartalmazza.

Az oszlopok jelzik, hogy a címke:

  • A bejövő vagy kimenő forgalmat lefedő szabályokhoz alkalmas.
  • Támogatja a regionális hatókört.
  • A Azure Firewall szabályokban csak a bejövő vagy kimenő forgalom célszabályaként használható.

Alapértelmezés szerint a szolgáltatáscímkék a teljes felhő tartományait tükrözik. Egyes szolgáltatáscímkék részletesebb szabályozást is lehetővé teszik, mivel a megfelelő IP-címtartományokat egy adott régióra korlátozza. A Storage szolgáltatáscímke például az Azure Storage-ot jelöli a teljes felhőben, a Storage.WestUS azonban csak a WestUS-régió tárolási IP-címtartományára szűkíti a tartományt. Az alábbi táblázat azt jelzi, hogy az egyes szolgáltatáscímkék támogatják-e az ilyen regionális hatókört, és az egyes címkék iránya egy javaslat. Az AzureCloud-címke például a bejövő forgalom engedélyezésére használható. A legtöbb esetben nem javasoljuk az összes Azure IP-címről érkező forgalom engedélyezését, mivel a többi Azure-ügyfél által használt IP-címek a szolgáltatáscímke részét képezik.

Címke Cél Használhat bejövő vagy kimenő forgalmat? Lehet regionális? Használható Azure Firewall?
ActionGroup Műveletcsoport. Bejövő Nem Nem
ApiManagement Az Azure API Management dedikált üzemelő példányok felügyeleti forgalma.

Megjegyzés: Ez a címke az Azure API Management szolgáltatásvégpontot jelöli a vezérlősík régiónkénti beállításához. A címke lehetővé teszi az ügyfelek számára, hogy felügyeleti műveleteket hajtsanak végre az API Management szolgáltatásban konfigurált API-kon, műveleteken, szabályzatokon és NamedValuesen.
Bejövő Igen Igen
ApplicationInsightsAvailability Application Insights rendelkezésre állása. Bejövő Nem Nem
AppConfiguration App Configuration. Kimenő Nem Nem
AppService Azure App Service. Ez a címke webalkalmazásokra és függvényalkalmazásokra vonatkozó kimenő biztonsági szabályokhoz ajánlott.

Megjegyzés: Ez a címke nem tartalmazza az IP-alapú SSL (alkalmazás által hozzárendelt cím) használatakor hozzárendelt IP-címeket.
Kimenő Igen Igen
AppServiceManagement A App Service Environment dedikált üzemelő példányok felügyeleti forgalma. Mindkettő Nem Igen
AzureActiveDirectory Azure Active Directory. Kimenő Nem Igen
AzureActiveDirectoryDomainServices Az Azure Active Directory tartományi szolgáltatások dedikált üzemelő példányok felügyeleti forgalma. Mindkettő Nem Igen
AzureAdvancedThreatProtection Azure Advanced Threat Protection. Kimenő Nem Nem
AzureArcInfrastructure Azure Arc-kompatibilis kiszolgálók, Azure Arc-kompatibilis Kubernetes és vendégkonfigurációs forgalom.

Megjegyzés: Ez a címke függ az AzureActiveDirectory, az AzureTrafficManager és az AzureResourceManager címkékhez.
Kimenő Nem Igen
AzureAttestation Azure Attestation. Kimenő Nem Igen
AzureBackup Azure Backup.

Megjegyzés: Ez a címke függ a Storage és az AzureActiveDirectory címkéihez.
Kimenő Nem Igen
AzureBotService Azure Bot Service. Kimenő Nem Nem
AzureCloud Minden adatközpont nyilvános IP-címe. Mindkettő Igen Igen
AzureCognitiveSearch Azure Cognitive Search.

Ez a címke vagy a címke által lefedett IP-címek használatával biztonságos hozzáférést biztosíthat az indexelőknek az adatforrásokhoz. Az indexelőkkel kapcsolatos további információkért tekintse meg az indexelő kapcsolati dokumentációját.

Megjegyzés: A keresési szolgáltatás IP-címe nem szerepel a szolgáltatáscímke IP-címtartományainak listájában, és az adatforrások IP-tűzfalához is hozzá kell adni .
Bejövő Nem Nem
AzureConnectors Ez a címke azokat az IP-címeket jelöli, amelyeket felügyelt összekötők használnak, amelyek bejövő webhook-visszahívásokat hajtanak végre az Azure Logic Apps szolgáltatásba, és kimenő hívásokat a saját szolgáltatásaikhoz, például az Azure Storage-hoz vagy Azure Event Hubs. Mindkettő Igen Igen
AzureContainerRegistry Azure Container Registry. Kimenő Igen Igen
AzureCosmosDB Azure Cosmos DB. Kimenő Igen Igen
AzureDatabricks Azure Databricks. Mindkettő Nem Nem
AzureDataExplorerManagement Azure Data Explorer Management. Bejövő Nem Nem
AzureDataLake Azure Data Lake Storage Gen1. Kimenő Nem Igen
AzureDeviceUpdate Eszközfrissítés IoT Hub. Mindkettő Nem Igen
AzureDevSpaces Azure Dev Spaces. Kimenő Nem Nem
AzureDevOps Azure DevOps. Bejövő Igen Igen
AzureDigitalTwins Azure Digital Twins.

Megjegyzés: Ez a címke vagy a címke által lefedett IP-címek az eseményútvonalakhoz konfigurált végpontokhoz való hozzáférés korlátozására használhatók.
Bejövő Nem Igen
AzureEventGrid Azure Event Grid. Mindkettő Nem Nem
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Azure Front Door. Mindkettő Nem Nem
AzureHealthcareAPI-k A címke által lefedett IP-címek az Azure Health Data Serviceshez való hozzáférés korlátozására használhatók. Mindkettő Nem Igen
AzureInformationProtection Azure Information Protection.

Megjegyzés: Ez a címke az AzureActiveDirectory, az AzureFrontDoor.Frontend és az AzureFrontDoor.FirstParty címkék függőségével rendelkezik.
Kimenő Nem Nem
AzureIoTHub Azure IoT Hub. Kimenő Igen Nem
AzureKeyVault Azure Key Vault.

Megjegyzés: Ez a címke függ az AzureActiveDirectory címkéétől.
Kimenő Igen Igen
AzureLoadBalancer Az Azure-infrastruktúra terheléselosztója. A címke annak a gazdagépnek a virtuális IP-címére (168.63.129.16), ahonnan az Azure-állapotminták származnak. Ez csak a mintavételi forgalmat foglalja magában, a háttérerőforrás valós forgalmát nem. Ha nem Azure Load Balancer használ, felülbírálhatja ezt a szabályt. Mindkettő Nem Nem
AzureLoadTestingInstanceManagement Ez a szolgáltatáscímke az Azure Load Testing szolgáltatás és a privát terheléstesztelési forgatókönyvben a virtuális hálózatba injektált terhelésgenerálási példányok bejövő kapcsolataihoz használható.

Megjegyzés: Ezt a címkét Azure Firewall, NSG-ben, UDR-ben és minden más átjáróban kell használni a bejövő kapcsolatokhoz.
Nem Igen
AzureMachineLearning Azure Machine Learning. Mindkettő Nem Igen
AzureMonitor Log Analytics, Application Insights, AzMon és egyéni metrikák (GiG-végpontok).

Megjegyzés: A Log Analytics esetében a Storage címkére is szükség van. Linux-ügynökök használata esetén a GuestAndHybridManagement címkére is szükség van.
Kimenő Nem Igen
AzureOpenDatasets Azure Open Datasets.

Megjegyzés: Ez a címke függ az AzureFrontDoor.Frontend és a Storage címkéétől.
Kimenő Nem Nem
AzurePlatformDNS Az alapszintű infrastruktúra (alapértelmezett) DNS-szolgáltatás.

Ezzel a címkével letilthatja az alapértelmezett DNS-t. Legyen óvatos, ha ezt a címkét használja. Javasoljuk, hogy olvassa el az Azure platformmal kapcsolatos szempontokat. Azt is javasoljuk, hogy a címke használata előtt végezzen tesztelést.
Kimenő Nem Nem
AzurePlatformIMDS Az Azure Instance Metadata Service (IMDS) egy alapszintű infrastruktúra-szolgáltatás.

Ezzel a címkével letilthatja az alapértelmezett IMDS-t. Legyen óvatos, ha ezt a címkét használja. Javasoljuk, hogy olvassa el az Azure platformmal kapcsolatos szempontokat. Azt is javasoljuk, hogy a címke használata előtt végezzen tesztelést.
Kimenő Nem Nem
AzurePlatformLKM Windows-licencelési vagy kulcskezelési szolgáltatás.

Ezzel a címkével letilthatja a licencelés alapértelmezett beállításait. Legyen óvatos, ha ezt a címkét használja. Javasoljuk, hogy olvassa el az Azure platformmal kapcsolatos szempontokat. Azt is javasoljuk, hogy a címke használata előtt végezzen tesztelést.
Kimenő Nem Nem
AzureResourceManager Azure Resource Manager. Kimenő Nem Nem
AzureSignalR Azure SignalR. Kimenő Nem Nem
AzureSiteRecovery Azure Site Recovery.

Megjegyzés: Ez a címke függ az AzureActiveDirectory, az AzureKeyVault, az EventHub, a GuestAndHybridManagement és a Storage címkékétől.
Kimenő Nem Nem
AzureSphere Ez a címke vagy a címke által lefedett IP-címek az Azure Sphere Security Serviceshez való hozzáférés korlátozására használhatók. Mindkettő Nem Igen
AzureStack Azure Stack Bridge-szolgáltatások.
Ez a címke régiónként az Azure Stack Bridge szolgáltatásvégpontot jelöli.
Kimenő Nem Igen
AzureTrafficManager Az Azure Traffic Manager mintavételi IP-címei.

A Traffic Manager mintavételi IP-címével kapcsolatos további információkért tekintse meg az Azure Traffic Manager gyakori kérdéseit.
Bejövő Nem Igen
AzureUpdateDelivery A Windows Frissítések eléréséhez.

Megjegyzés: Ez a címke hozzáférést biztosít Windows Update metaadat-szolgáltatásokhoz. A frissítések sikeres letöltéséhez engedélyeznie kell az AzureFrontDoor.FirstParty szolgáltatáscímkét, és konfigurálnia kell a kimenő biztonsági szabályokat az alábbiak szerint meghatározott protokollal és porttal:
  • AzureUpdateDelivery: TCP, 443-os port
  • AzureFrontDoor.FirstParty: TCP, 80-os port
Kimenő Nem Nem
BatchNodeManagement A Azure Batch dedikált üzemelő példányok felügyeleti forgalma. Mindkettő Nem Igen
CognitiveServicesManagement Az Azure Cognitive Services-forgalom címtartományai. Mindkettő Nem Nem
DataFactory Azure Data Factory Mindkettő Nem Nem
DataFactoryManagement A Azure Data Factory felügyeleti forgalma. Kimenő Nem Nem
Dynamics365ForMarketingEmail A Dynamics 365 marketinges e-mail szolgáltatásának címtartományai. Kimenő Igen Nem
EOPExternalPublishedIPs Ez a címke a Security & Compliance Center PowerShellhez használt IP-címeket jelöli. További részletekért tekintse meg a Connect to Security & Compliance Center PowerShellt az EXO V2 modullal. Mindkettő Nem Igen
EventHub Azure Event Hubs. Kimenő Igen Igen
GatewayManager Az Azure VPN Gateway és Application Gateway dedikált üzemelő példányok felügyeleti forgalma. Bejövő Nem Nem
GuestAndHybridManagement Azure Automation és vendégkonfiguráció. Kimenő Nem Igen
HDInsight Azure HDInsight. Bejövő Igen Nem
Internet A virtuális hálózaton kívül eső, a nyilvános internet által elérhető IP-címtér.

A címtartomány tartalmazza az Azure tulajdonában lévő nyilvános IP-címteret.
Mindkettő Nem Nem
LogicApps Logic Apps. Mindkettő Nem Nem
LogicAppsManagement A Logic Apps felügyeleti forgalma. Bejövő Nem Nem
M365ManagementActivityApi A Office 365 Felügyeleti tevékenység API különböző felhasználói, rendszergazdai, rendszer- és szabályzatműveletekről és eseményekről nyújt információkat Office 365 és az Azure Active Directory tevékenységnaplóiból. Az ügyfelek és partnerek ezeket az információkat felhasználhatják új üzemeltetési, biztonsági és megfelelőségi monitorozási megoldások létrehozására vagy továbbfejlesztésére a vállalat számára.

Megjegyzés: Ez a címke függőséggel rendelkezik az AzureActiveDirectory címkéhez.
Kimenő Igen Nem
M365ManagementActivityApiWebhook Az új tartalom elérhetővé válásakor a rendszer értesítéseket küld az előfizetés konfigurált webhookjának. Bejövő Igen Nem
MicrosoftAzureFluidRelay Ez a címke az Azure Microsoft Fluid Relay-kiszolgálóhoz használt IP-címeket jelöli. Kimenő Nem Nem
MicrosoftCloudAppSecurity Microsoft Defender for Cloud Apps. Kimenő Nem Nem
MicrosoftContainerRegistry Tárolóregisztrációs adatbázis a Microsoft tárolórendszerképekhez.

Megjegyzés: Ez a címke függőségi viszonyban van az AzureFrontDoor.FirstParty címkével.
Kimenő Igen Igen
PowerBI forrásjelentéssel. Mindkettő Nem Nem
PowerPlatformInfra Ez a címke az infrastruktúra által a Power Platform-szolgáltatások üzemeltetéséhez használt IP-címeket jelöli. Kimenő Igen Igen
PowerPlatformPlex Ez a címke azokat az IP-címeket jelöli, amelyeket az infrastruktúra a Power Platform-bővítmény végrehajtásának az ügyfél nevében történő futtatásához használ. Bejövő Igen Igen
PowerQueryOnline Power Query Online. Mindkettő Nem Nem
ServiceBus Azure Service Bus prémium szolgáltatási szintet használó forgalom. Kimenő Igen Igen
ServiceFabric Azure Service Fabric.

Megjegyzés: Ez a címke régiónkénti vezérlősíkhoz tartozó Service Fabric szolgáltatásvégpontot jelöli. Ez lehetővé teszi az ügyfelek számára, hogy felügyeleti műveleteket hajtsanak végre a Service Fabric-fürtökhöz a VNET-végpontjukról. (Például https:// westus.servicefabric.azure.com).
Mindkettő Nem Nem
Sql Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Database for MariaDB és Azure Synapse Analytics.

Megjegyzés: Ez a címke a szolgáltatást jelöli, de a szolgáltatás adott példányait nem. Például a címke az Azure SQL Database szolgáltatást jelöli, de nem egy adott SQL-adatbázist vagy -kiszolgálót. Ez a címke nem vonatkozik a felügyelt SQL-példányra.
Kimenő Igen Igen
SqlManagement Dedikált SQL-alapú üzemelő példányok felügyeleti forgalma. Mindkettő Nem Igen
Storage Azure Storage.

Megjegyzés: Ez a címke a szolgáltatást jelöli, de a szolgáltatás adott példányait nem. Például a címke az Azure Storage szolgáltatást jelöli, de nem egy adott Azure Storage-fiókot.
Kimenő Igen Igen
StorageSyncService Társzinkronizálási szolgáltatás. Mindkettő Nem Nem
WindowsAdminCenter Engedélyezze a Windows Admin Center háttérszolgáltatásnak, hogy kommunikáljon az ügyfelek Windows Admin Center telepítésével. Kimenő Nem Igen
WindowsVirtualDesktop Azure Virtual Desktop (korábbi nevén Windows Virtual Desktop). Mindkettő Nem Igen
VirtualNetwork A virtuális hálózati címtér (a virtuális hálózathoz definiált összes IP-címtartomány), az összes csatlakoztatott helyszíni címtér, a társhálózati virtuális hálózatok, a virtuális hálózati átjáróhoz csatlakoztatott virtuális hálózatok, a gazdagép virtuális IP-címe és afelhasználó által megadott útvonalakon használt címelőtagok. Ez a címke alapértelmezett útvonalakat is tartalmazhat. Mindkettő Nem Nem

Megjegyzés

  • Ha szolgáltatáscímkéket használ Azure Firewall, csak a bejövő és kimenő forgalom célszabályai hozhatók létre. A forrásszabályok nem támogatottak. További információt a Azure Firewall Szolgáltatáscímkék dokumentációban talál.

  • Az Azure-szolgáltatások szolgáltatáscímkék a használt felhő címelőtagját jelölik. Az Azure nyilvános felhőben az SQL-címke értékének megfelelő mögöttes IP-tartományok például eltérnek az Azure China-felhő mögöttes tartományaitól.

  • Ha virtuális hálózati szolgáltatásvégpontot implementál egy szolgáltatáshoz, például az Azure Storage-hoz vagy Azure SQL Database-hez, az Azure hozzáad egy útvonalat a szolgáltatás virtuális hálózati alhálózatához. Az útvonal címelőtagjai ugyanazok a címelőtagok vagy CIDR-tartományok, mint a megfelelő szolgáltatáscímke.

A klasszikus üzemi modellben támogatott címkék

A klasszikus üzemi modell (az Azure Resource Manager előtt) az előző táblázatban felsorolt címkék egy kis részét támogatja. A klasszikus üzemi modell címkéi másképp vannak beírva, ahogy az alábbi táblázatban látható:

Resource Manager címke A klasszikus üzemi modell megfelelő címkéje
AzureLoadBalancer AZURE_LOADBALANCER
Internet INTERNET
VirtualNetwork VIRTUAL_NETWORK

Szolgáltatáscímkék a helyszínen

A helyszíni tűzfal konfigurációinak részeként beszerezheti az aktuális szolgáltatáscímkét és tartományadatokat. Ez az információ az egyes szolgáltatáscímkéknek megfelelő IP-tartományok aktuális időponthoz kötött listája. Az információkat programozott módon vagy egy JSON-fájl letöltésével szerezheti be, az alábbi szakaszokban leírtak szerint.

A Service Tag Discovery API használata

Programozott módon lekérheti a szolgáltatáscímkék aktuális listáját az IP-címtartomány részleteivel együtt:

A Storage Service Tag összes előtagjának lekéréséhez például használhatja a következő PowerShell-parancsmagokat:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Megjegyzés

  • Az API-adatok azokat a címkéket jelölik, amelyek az NSG-szabályokkal használhatók a régióban. Használja az API-adatokat az elérhető szolgáltatáscímkék igazságforrásaként, mivel az eltérhet a letölthető JSON-fájltól.
  • Akár 4 hétig is eltarthat, hogy az új szolgáltatáscímkék adatai propagáljanak az API-eredményekben az összes Azure-régióban. A folyamat miatt előfordulhat, hogy az API-adatok nem szinkronizálódnak a letölthető JSON-fájllal, mivel az API-adatok a jelenleg letölthető JSON-fájlban található címkék egy részét képviselik.
  • Hitelesítenie kell magát, és rendelkeznie kell olvasási engedélyekkel rendelkező szerepkörrel az aktuális előfizetéséhez.

Szolgáltatáscímkék felderítése letölthető JSON-fájlokkal

A szolgáltatáscímkék aktuális listáját tartalmazó JSON-fájlokat az IP-címtartomány részleteivel együtt töltheti le. Ezek a listák hetente frissülnek és közzé vannak téve. Az egyes felhők helyei a következők:

A fájlok IP-címtartományai CIDR-jelölést használnak.

A következő AzureCloud-címkék nem rendelkeznek a normál séma szerint formázott regionális névvel:

  • AzureCloud.centralfrance (FranceCentral)
  • AzureCloud.southfrance (FranceSouth)
  • AzureCloud.germanywc (GermanyWestCentral)
  • AzureCloud.germanyn (GermanyNorth)
  • AzureCloud.norwaye (NorwayEast)
  • AzureCloud.norwayw (NorwayWest)
  • AzureCloud.svájcn (SvájcNorth)
  • AzureCloud.svájcw (SvájcWest)
  • AzureCloud.usstagee (EastUSSTG)
  • AzureCloud.usstagec (SouthCentralUSSTG)

Megjegyzés

Ezen információk egy részhalmaza közzé lett téve az Azure Public, az Azure China és az Azure Germany XML-fájljaiban. Ezek az XML-letöltések 2020. június 30-ig elavultak lesznek, és a dátum után már nem lesznek elérhetők. Az előző szakaszokban ismertetett módon át kell telepítenie a Discovery API- vagy JSON-fájlletöltéseket.

Tipp

  • A frissítéseket az egyik kiadványtól a következőig észlelheti, ha a JSON-fájlban a megnövekedett changeNumber értékeket észleli. Minden alszakasz (például Storage.WestUS) saját changeNumber értékével rendelkezik, amely a változások bekövetkezésekor növekszik. A fájl changeNumber értékének legfelső szintje az alszakaszok bármelyikének módosításakor növekszik.

  • A szolgáltatáscímkék információinak elemzésére (például a WestUS-beli storage összes címtartományának lekérésére) vonatkozó példákért tekintse meg a Service Tag Discovery API PowerShell-dokumentációját .

  • Amikor új IP-címeket ad hozzá a szolgáltatáscímkékhez, azok legalább egy hétig nem lesznek használatban az Azure-ban. Ez időt biztosít a szolgáltatáscímkékhez társított IP-címek nyomon követéséhez szükséges rendszerek frissítésére.

Következő lépések