Bejövő és kimenő IP-címek Azure App Service
Azure App Service több-bérlős szolgáltatás, kivéve a App Service-környezeteket. Azok az alkalmazások, amelyek nem App Service környezetben vannak (nem az izolált szinten), más alkalmazásokkal is megosztják a hálózati infrastruktúrát. Ennek eredményeképpen az alkalmazások bejövő és kimenő IP-címei eltérőek lehetnek, és bizonyos helyzetekben akár változhatnak is.
App Service Környezetek dedikált hálózati infrastruktúrát használnak, így az App Service környezetben futó alkalmazások statikus, dedikált IP-címeket kapnak a bejövő és kimenő kapcsolatokhoz is.
Az IP-címek működése App Service
A App Service-alkalmazások egy App Service csomagban futnak, és App Service csomagok az Azure-infrastruktúra egyik üzembehelyezési egységében (belsőleg webtérként) vannak üzembe helyezve. Minden üzembehelyezési egységhez virtuális IP-címek vannak hozzárendelve, amelyek egy nyilvános bejövő IP-címet és egy kimenő IP-címkészletet tartalmaznak. Az ugyanabban az üzembe helyezési egységben lévő összes App Service csomag és a bennük futó alkalmazáspéldányok ugyanazt a virtuális IP-címkészletet osztják meg. Egy App Service Environment (izolált szinten App Service csomag) esetén a App Service csomag maga az üzembe helyezési egység, így a virtuális IP-címek ennek eredményeképpen lesznek dedikáltak.
Mivel nem helyezhet át App Service csomagot az üzembehelyezési egységek között, az alkalmazáshoz rendelt virtuális IP-címek általában változatlanok maradnak, de vannak kivételek.
Bejövő IP-cím módosításakor
A kibővített példányok számától függetlenül minden alkalmazás egyetlen bejövő IP-címmel rendelkezik. A bejövő IP-cím megváltozhat az alábbi műveletek egyikének végrehajtásakor:
- Egy alkalmazás törlése, majd egy másik erőforráscsoportban történő újbóli létrehozása esetén (az üzemelő példány egysége módosulhat).
- Törölje az erőforráscsoport és a régió kombinációjának utolsó alkalmazását, és hozza létre újra (az üzembehelyezési egység változhat).
- Töröljön egy meglévő IP-alapú TLS-/SSL-kötést, például a tanúsítvány megújítása során (lásd: Tanúsítvány megújítása).
A bejövő IP-cím megkeresése
Futtassa a következő parancsot egy helyi terminálon:
nslookup <app-name>.azurewebsites.net
Statikus bejövő IP-cím lekérése
Előfordulhat, hogy dedikált, statikus IP-címet szeretne az alkalmazáshoz. Statikus bejövő IP-cím lekéréséhez ip-alapú tanúsítványkötéssel kell biztonságossá tenni egy egyéni DNS-nevet. Ha valójában nincs szüksége TLS-funkciókra az alkalmazás védelméhez, akár önaláírt tanúsítványt is feltölthet ehhez a kötéshez. Egy IP-alapú TLS-kötésben a tanúsítvány magához az IP-címhez van kötve, így App Service statikus IP-címet épít ki annak érdekében, hogy ez megtörténjen.
Kimenő IP-címek módosításakor
A horizontálisan felskálázott példányok számától függetlenül minden alkalmazás mindig meghatározott számú kimenő IP-címmel rendelkezik. Az App Service alkalmazásból, például egy háttéradatbázisba irányuló kimenő kapcsolat az egyik kimenő IP-címet használja forrás IP-címként. A használandó IP-cím futásidőben, véletlenszerűen van kiválasztva, tehát a háttérszolgáltatásnak meg kell nyitnia a tűzfalát az alkalmazás összes kimenő IP-címe számára.
Az alkalmazás kimenő IP-címeinek halmaza megváltozik az alábbi műveletek egyikének végrehajtásakor:
- Egy alkalmazás törlése, majd egy másik erőforráscsoportban történő újbóli létrehozása esetén (az üzemelő példány egysége módosulhat).
- Törölje az erőforráscsoport és a régió kombinációjának utolsó alkalmazását, és hozza létre újra (az üzembehelyezési egység változhat).
- Skálázza az alkalmazást az alacsonyabb szintek (Alapszintű, Standard és Prémium), a PremiumV2 szint, a PremiumV3 szint és a Pmv3 lehetőségek között a PremiumV3 szinten belül (az IP-címek hozzáadhatók a készlethez, vagy kivonhatók a készletből).
Az alkalmazás által használható összes lehetséges kimenő IP-cím készletét a tarifacsomagoktól függetlenül a tulajdonság megkeresésével possibleOutboundIpAddresses vagy a További kimenő IP-címek mezőben találja a Azure Portal Tulajdonságok paneljén. Lásd: Kimenő IP-címek keresése.
Vegye figyelembe, hogy az összes lehetséges kimenő IP-címkészlet idővel növekedhet, ha App Service új tarifacsomagokat vagy beállításokat ad hozzá a meglévő App Service üzemelő példányokhoz. Ha például App Service hozzáadja a PremiumV3 szintet egy meglévő App Service üzemelő példányhoz, akkor az összes lehetséges kimenő IP-cím halmaza nőni fog. Hasonlóképpen, ha App Service új Pmv3-beállításokat ad hozzá egy olyan üzemelő példányhoz, amely már támogatja a PremiumV3 szintet, akkor az összes lehetséges kimenő IP-cím készlete is nőni fog. Ennek nincs azonnali hatása, mivel az alkalmazások futtatására szolgáló kimenő IP-címek nem változnak, amikor új tarifacsomagot vagy lehetőséget adnak hozzá egy App Service üzemelő példányhoz. Ha azonban az alkalmazások olyan új tarifacsomagra vagy beállításra váltanak, amely korábban nem volt elérhető, akkor a rendszer új kimenő címeket használ, és az ügyfeleknek frissítenie kell az alsóbb rétegbeli tűzfalszabályokat és az IP-címkorlátozásokat.
Kimenő IP-címek keresése
Ha meg szeretné keresni az alkalmazás által jelenleg használt kimenő IP-címeket a Azure Portal, kattintson a Tulajdonságok elemre az alkalmazás bal oldali navigációs sávján. Ezek a Kimenő IP-címek mezőben jelennek meg.
Ugyanezeket az információkat az alábbi parancs futtatásával találhatja meg a Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses
Az alkalmazás összes lehetséges kimenő IP-címének megkereséséhez a tarifacsomagoktól függetlenül kattintson a Tulajdonságok elemre az alkalmazás bal oldali navigációs sávján. Ezek a További kimenő IP-címek mezőben vannak felsorolva.
Ugyanezeket az információkat az alábbi parancs futtatásával találhatja meg a Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses
Statikus kimenő IP-cím lekérése
Az alkalmazásból kimenő forgalom IP-címét a regionális VNet-integráció és egy virtuális hálózati NAT-átjáró használatával szabályozhatja, hogy a forgalmat statikus nyilvános IP-címen keresztül irányítsa. A regionális VNet-integrációalapszintű, Standard, Prémium, PremiumV2 és PremiumV3 App Service csomagokban érhető el. További információ erről a beállításról: NAT Gateway-integráció.
Következő lépések
Megtudhatja, hogyan korlátozhatja a bejövő forgalmat forrás IP-címek szerint.