Servicetags voor virtueel netwerk

Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels van een bepaalde Azure-service. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij als adressen veranderen, waardoor de complexiteit van frequente updates voor netwerkbeveiligingsregels wordt geminimaliseerd.

U kunt servicetags gebruiken om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen, Azure Firewall en door de gebruiker gedefinieerde routes. Gebruik servicetags in plaats van specifieke IP-adressen wanneer u beveiligingsregels en routes maakt. Door de naam van de servicetag op te geven, zoals ApiManagement, in het juiste bron - of doelveld van een beveiligingsregel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Door de naam van de servicetag op te geven in het adresvoorvoegsel van een route, kunt u verkeer routeren dat is bedoeld voor een van de voorvoegsels die zijn ingekapseld door de servicetag naar een gewenst volgend hoptype.

Notitie

Vanaf maart 2022 is het gebruik van servicetags in plaats van expliciete adresvoorvoegsels in door de gebruiker gedefinieerde routes buiten preview en algemeen beschikbaar.

U kunt servicetags gebruiken om netwerkisolatie te bereiken en uw Azure-resources te beveiligen tegen het algemene internet terwijl u toegang hebt tot Azure-services met openbare eindpunten. Maak regels voor binnenkomende/uitgaande netwerkbeveiligingsgroepen om verkeer naar/van internet te weigeren en verkeer naar/van AzureCloud of andere beschikbare servicetags van specifieke Azure-services toe te staan.

Netwerkisolatie van Azure-services met behulp van servicetags

Beschikbare servicetags

De volgende tabel bevat alle servicetags die beschikbaar zijn voor gebruik in regels voor netwerkbeveiligingsgroepen .

De kolommen geven aan of de tag:

  • Is geschikt voor regels die betrekking hebben op inkomend of uitgaand verkeer.
  • Ondersteunt regionaal bereik.
  • Kan alleen worden gebruikt in Azure Firewall regels als doelregel voor inkomend of uitgaand verkeer.

Servicetags weerspiegelen standaard de bereiken voor de hele cloud. Sommige servicetags bieden ook gedetailleerdere controle door de bijbehorende IP-bereiken te beperken tot een opgegeven regio. De servicetag Storage vertegenwoordigt bijvoorbeeld Azure Storage voor de hele cloud, maar Storage.WestUS beperkt het bereik tot alleen het IP-adresbereik van de opslag van de regio WestUS. De volgende tabel geeft aan of elke servicetag ondersteuning biedt voor een dergelijk regionaal bereik en de richting die voor elke tag wordt vermeld, is een aanbeveling. De AzureCloud-tag kan bijvoorbeeld worden gebruikt om inkomend verkeer toe te staan. In de meeste scenario's raden we u niet aan om verkeer van alle Azure-IP's toe te staan, omdat IP-adressen die door andere Azure-klanten worden gebruikt, worden opgenomen als onderdeel van de servicetag.

Tag Doel Kunt u inkomend of uitgaand gebruik maken? Kan het regionaal zijn? Kunt u deze gebruiken met Azure Firewall?
ActionGroup Actiegroep. Inkomend Nee Nee
ApiManagement Beheerverkeer voor Azure API Management-toegewezen implementaties.

Opmerking: deze tag vertegenwoordigt het Azure API Management-service-eindpunt voor het besturingsvlak per regio. Met de tag kunnen klanten beheerbewerkingen uitvoeren op de API's, Bewerkingen, Beleid, NamedValues die zijn geconfigureerd voor de API Management-service.
Inkomend Ja Ja
ApplicationInsightsAvailability Beschikbaarheid van Application Insights. Inkomend Nee Nee
AppConfiguration App Configuration. Uitgaand Nee Nee
AppService Azure App Service. Deze tag wordt aanbevolen voor uitgaande beveiligingsregels voor web-apps en functie-apps.

Opmerking: deze tag bevat geen IP-adressen die zijn toegewezen bij gebruik van OP IP gebaseerde SSL (app-toegewezen adres).
Uitgaand Ja Ja
AppServiceManagement Beheerverkeer voor implementaties die zijn toegewezen aan App Service Environment. Beide Nee Ja
AzureActiveDirectory Azure Active Directory. Uitgaand Nee Ja
AzureActiveDirectoryDomainServices Beheerverkeer voor implementaties die zijn toegewezen aan Azure Active Directory Domain Services. Beide Nee Ja
AzureAdvancedThreatProtection Azure Advanced Threat Protection. Uitgaand Nee Nee
AzureArcInfrastructure Servers met Azure Arc, Kubernetes met Azure Arc en gastconfiguratieverkeer.

Opmerking: deze tag heeft een afhankelijkheid van de tags AzureActiveDirectory, AzureTrafficManager en AzureResourceManager .
Uitgaand Nee Ja
AzureAttestation Azure Attestation. Uitgaand Nee Ja
AzureBackup Azure Backup.

Opmerking: deze tag heeft een afhankelijkheid van de tags Storage en AzureActiveDirectory .
Uitgaand Nee Ja
AzureBotService Azure Bot Service. Uitgaand Nee Nee
AzureCloud Alle openbare IP-adressen van datacenters. Beide Ja Ja
AzureCognitiveSearch Azure Cognitive Search.

Deze tag of de IP-adressen die door deze tag worden gedekt, kunnen worden gebruikt om indexeerfuncties beveiligde toegang tot gegevensbronnen te verlenen. Zie de documentatie over de indexeerfunctieverbinding voor meer informatie over indexeerfuncties.

Opmerking: het IP-adres van de zoekservice is niet opgenomen in de lijst met IP-bereiken voor deze servicetag en moet ook worden toegevoegd aan de IP-firewall van gegevensbronnen.
Inkomend Nee Nee
AzureConnectors Deze tag vertegenwoordigt de IP-adressen die worden gebruikt voor beheerde connectors die binnenkomende webhook-callbacks maken naar de Azure Logic Apps-service en uitgaande aanroepen naar hun respectieve services, bijvoorbeeld Azure Storage of Azure Event Hubs. Beide Ja Ja
AzureContainerRegistry Azure Container Registry. Uitgaand Ja Ja
AzureCosmosDB Azure Cosmos DB. Uitgaand Ja Ja
AzureDatabricks Azure Databricks. Beide Nee Nee
AzureDataExplorerManagement Azure Data Explorer Management. Inkomend Nee Nee
AzureDataLake Azure Data Lake Storage Gen1. Uitgaand Nee Ja
AzureDeviceUpdate Apparaatupdate voor IoT Hub. Beide Nee Ja
AzureDevSpaces Azure Dev Spaces. Uitgaand Nee Nee
AzureDevOps Azure DevOps. Inkomend Ja Ja
AzureDigitalTwins Azure Digital Twins.

Opmerking: deze tag of de IP-adressen die door deze tag worden gedekt, kunnen worden gebruikt om de toegang tot eindpunten te beperken die zijn geconfigureerd voor gebeurtenisroutes.
Inkomend Nee Ja
AzureEventGrid Azure Event Grid. Beide Nee Nee
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Azure Front Door. Beide Nee Nee
AzureHealthcareAPIs De IP-adressen die door deze tag worden gedekt, kunnen worden gebruikt om de toegang tot Azure Health Data Services te beperken. Beide Nee Ja
AzureInformationProtection Azure Information Protection.

Opmerking: deze tag is afhankelijk van de tags AzureActiveDirectory, AzureFrontDoor.Frontend en AzureFrontDoor.FirstParty .
Uitgaand Nee Nee
AzureIoTHub Azure IoT Hub. Uitgaand Ja Nee
AzureKeyVault Azure Key Vault.

Opmerking: deze tag heeft een afhankelijkheid van de Tag AzureActiveDirectory .
Uitgaand Ja Ja
AzureLoadBalancer De load balancer van de Azure-infrastructuur. De tag wordt omgezet in het virtuele IP-adres van de host (168.63.129.16) waar de Statustests van Azure afkomstig zijn. Dit omvat alleen testverkeer, niet echt verkeer naar uw back-endresource. Als u geen Azure Load Balancer gebruikt, kunt u deze regel overschrijven. Beide Nee Nee
AzureLoadTestingInstanceManagement Deze servicetag wordt gebruikt voor binnenkomende connectiviteit van de Azure Load Testing-service naar de exemplaren van het genereren van belasting die zijn geïnjecteerd in uw virtuele netwerk in het scenario voor het testen van privébelastingen.

Opmerking: Deze tag is bedoeld voor gebruik in Azure Firewall, NSG, UDR en alle andere gateways voor binnenkomende connectiviteit.
Nee Ja
AzureMachineLearning Azure Machine Learning. Beide Nee Ja
AzureMonitor Log Analytics, Application Insights, AzMon en aangepaste metrische gegevens (GiG-eindpunten).

Opmerking: Voor Log Analytics is ook de opslagtag vereist. Als Linux-agents worden gebruikt, is de tag GuestAndHybridManagement ook vereist.
Uitgaand Nee Ja
AzureOpenDatasets Azure Open Datasets.

Opmerking: deze tag heeft een afhankelijkheid van de Tag AzureFrontDoor.Frontend en Storage .
Uitgaand Nee Nee
AzurePlatformDNS De basisinfrastructuur (standaard) DNS-service.

U kunt deze tag gebruiken om de standaard-DNS uit te schakelen. Wees voorzichtig wanneer u deze tag gebruikt. We raden u aan overwegingen voor Het Azure-platform te lezen. U wordt ook aangeraden tests uit te voeren voordat u deze tag gebruikt.
Uitgaand Nee Nee
AzurePlatformIMDS Azure Instance Metadata Service (IMDS), een basisinfrastructuurservice.

U kunt deze tag gebruiken om de standaard-IMDS uit te schakelen. Wees voorzichtig wanneer u deze tag gebruikt. We raden u aan overwegingen voor Het Azure-platform te lezen. U wordt ook aangeraden tests uit te voeren voordat u deze tag gebruikt.
Uitgaand Nee Nee
AzurePlatformLKM Windows-licentie- of sleutelbeheerservice.

U kunt deze tag gebruiken om de standaardinstellingen voor licenties uit te schakelen. Wees voorzichtig wanneer u deze tag gebruikt. We raden u aan overwegingen voor Het Azure-platform te lezen. U wordt ook aangeraden tests uit te voeren voordat u deze tag gebruikt.
Uitgaand Nee Nee
AzureResourceManager Azure Resource Manager. Uitgaand Nee Nee
AzureSignalR Azure SignalR. Uitgaand Nee Nee
AzureSiteRecovery Azure Site Recovery.

Opmerking: deze tag heeft een afhankelijkheid van de tags AzureActiveDirectory, AzureKeyVault, EventHub, GuestAndHybridManagement en Storage .
Uitgaand Nee Nee
AzureSphere Deze tag of de IP-adressen die door deze tag worden gedekt, kunnen worden gebruikt om de toegang tot Azure Sphere Security Services te beperken. Beide Nee Ja
AzureStack Azure Stack Bridge-services.
Deze tag vertegenwoordigt het service-eindpunt van Azure Stack Bridge per regio.
Uitgaand Nee Ja
AzureTrafficManager IP-adressen van Azure Traffic Manager-tests.

Zie de veelgestelde vragen over Azure Traffic Manager voor meer informatie over ip-adressen van Traffic Manager-tests.
Inkomend Nee Ja
AzureUpdateDelivery Voor toegang tot Windows Updates.

Opmerking: deze tag biedt toegang tot Windows Update metagegevensservices. Als u updates wilt downloaden, moet u ook de AzureFrontDoor.FirstParty-servicetag inschakelen en uitgaande beveiligingsregels configureren met het protocol en de poort die als volgt zijn gedefinieerd:
  • AzureUpdateDelivery: TCP, poort 443
  • AzureFrontDoor.FirstParty: TCP, poort 80
Uitgaand Nee Nee
BatchNodeManagement Beheerverkeer voor implementaties die zijn toegewezen aan Azure Batch. Beide Nee Ja
CognitiveServicesManagement De adresbereiken voor verkeer voor Azure Cognitive Services. Beide Nee Nee
Datafactory Azure Data Factory Beide Nee Nee
DataFactoryManagement Beheerverkeer voor Azure Data Factory. Uitgaand Nee Nee
Dynamics365ForMarketingEmail De adresbereiken voor de marketing-e-mailservice van Dynamics 365. Uitgaand Ja Nee
EOPExternalPublishedIPs Deze tag vertegenwoordigt de IP-adressen die worden gebruikt voor Security & Compliance Center PowerShell. Raadpleeg de PowerShell connect to Security & Compliance Center met behulp van de EXO V2-module voor meer informatie. Beide Nee Ja
EventHub Azure Event Hubs. Uitgaand Ja Ja
GatewayManager Beheerverkeer voor implementaties die zijn toegewezen aan Azure VPN Gateway en Application Gateway. Inkomend Nee Nee
GuestAndHybridManagement Azure Automation en gastconfiguratie. Uitgaand Nee Ja
HDInsight Azure HDInsight. Inkomend Ja Nee
Internet De IP-adresruimte buiten het virtuele netwerk en bereikbaar via het openbare internet.

Het adresbereik bevat de openbare IP-adresruimte van Azure.
Beide Nee Nee
LogicApps Logic Apps. Beide Nee Nee
LogicAppsManagement Beheerverkeer voor Logic Apps. Inkomend Nee Nee
M365ManagementActivityApi De OFFICE 365 Management Activity-API biedt informatie over verschillende activiteitenlogboeken voor gebruikers, beheerders, systemen en beleidsregels uit Office 365- en Azure Active Directory-activiteitenlogboeken. Klanten en partners kunnen deze informatie gebruiken om nieuwe bewerkingen, beveiliging en nalevingsbewakingsoplossingen voor de onderneming te maken of te verbeteren.

Opmerking: deze tag heeft een afhankelijkheid van de AzureActiveDirectory-tag .
Uitgaand Ja Nee
M365ManagementActivityApiWebhook Meldingen worden verzonden naar de geconfigureerde webhook voor een abonnement zodra er nieuwe inhoud beschikbaar komt. Inkomend Ja Nee
MicrosoftAzureFluidRelay Deze tag vertegenwoordigt de IP-adressen die worden gebruikt voor Azure Fluid Relay Server. Uitgaand Nee Nee
MicrosoftCloudAppSecurity Microsoft Defender for Cloud Apps. Uitgaand Nee Nee
MicrosoftContainerRegistry Containerregister voor Microsoft-containerinstallatiekopieën.

Opmerking: deze tag heeft een afhankelijkheid van de tag AzureFrontDoor.FirstParty .
Uitgaand Ja Ja
PowerBI Power BI. Beide Nee Nee
PowerPlatformInfra Deze tag vertegenwoordigt de IP-adressen die door de infrastructuur worden gebruikt voor het hosten van Power Platform-services. Uitgaand Ja Ja
PowerPlatformPlex Deze tag vertegenwoordigt de IP-adressen die door de infrastructuur worden gebruikt voor het hosten van power Platform-extensie-uitvoering namens de klant. Inkomend Ja Ja
PowerQueryOnline Power Query Online. Beide Nee Nee
ServiceBus Azure Service Bus verkeer dat gebruikmaakt van de Premium-servicelaag. Uitgaand Ja Ja
ServiceFabric Azure Service Fabric.

Opmerking: deze tag vertegenwoordigt het Service Fabric-service-eindpunt voor het besturingsvlak per regio. Hierdoor kunnen klanten beheerbewerkingen uitvoeren voor hun Service Fabric-clusters vanaf hun VNET-eindpunt. (Bijvoorbeeld https:// westus.servicefabric.azure.com).
Beide Nee Nee
Sql Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Database for MariaDB en Azure Synapse Analytics.

Opmerking: deze tag vertegenwoordigt de service, maar niet specifieke exemplaren van de service. De tag vertegenwoordigt bijvoorbeeld de service Azure SQL Database, maar geen specifieke SQL-database of -server. Deze tag is niet van toepassing op sql Managed Instance.
Uitgaand Ja Ja
SqlManagement Beheerverkeer voor sql-toegewezen implementaties. Beide Nee Ja
Storage Azure Storage.

Opmerking: deze tag vertegenwoordigt de service, maar niet specifieke exemplaren van de service. De tag vertegenwoordigt bijvoorbeeld de service Azure Storage, maar geen specifiek Azure Storage-account.
Uitgaand Ja Ja
StorageSyncService Opslagsynchronisatieservice. Beide Nee Nee
WindowsAdminCenter Sta de Windows Admin Center back-endservice toe om te communiceren met de installatie van Windows Admin Center van klanten. Uitgaand Nee Ja
WindowsVirtualDesktop Azure Virtual Desktop (voorheen Windows Virtual Desktop). Beide Nee Ja
VirtualNetwork De adresruimte van het virtuele netwerk (alle IP-adresbereiken die zijn gedefinieerd voor het virtuele netwerk), alle verbonden on-premises adresruimten, gekoppelde virtuele netwerken, virtuele netwerken die zijn verbonden met een virtuele netwerkgateway, het virtuele IP-adres van de host en adresvoorvoegsels die worden gebruikt op door de gebruiker gedefinieerde routes. Deze tag kan ook standaardroutes bevatten. Beide Nee Nee

Notitie

  • Wanneer u servicetags met Azure Firewall gebruikt, kunt u alleen doelregels maken voor binnenkomend en uitgaand verkeer. Bronregels worden niet ondersteund. Zie het document Azure Firewall Servicetags voor meer informatie.

  • Servicetags van Azure-services geven de adresvoorvoegsels van de specifieke cloud aan die worden gebruikt. De onderliggende IP-bereiken die overeenkomen met de sql-tagwaarde in de openbare Azure-cloud, verschillen bijvoorbeeld van de onderliggende bereiken in de Azure China-cloud.

  • Als u een service-eindpunt voor een virtueel netwerk implementeert voor een service, zoals Azure Storage of Azure SQL Database, voegt Azure een route toe aan een subnet van een virtueel netwerk voor de service. De adresvoorvoegsels in de route zijn dezelfde adresvoorvoegsels, of CIDR-bereiken, als die van de bijbehorende servicetag.

Tags die worden ondersteund in het klassieke implementatiemodel

Het klassieke implementatiemodel (vóór Azure Resource Manager) ondersteunt een kleine subset van de tags die in de vorige tabel worden vermeld. De tags in het klassieke implementatiemodel zijn anders gespeld, zoals wordt weergegeven in de volgende tabel:

Resource Manager tag Bijbehorende tag in het klassieke implementatiemodel
AzureLoadBalancer AZURE_LOADBALANCER
Internet INTERNET
VirtualNetwork VIRTUAL_NETWORK

Servicetags on-premises

U kunt de huidige servicetag- en bereikgegevens verkrijgen die u wilt opnemen als onderdeel van uw on-premises firewallconfiguraties. Deze informatie is de huidige lijst met tijdstippen van de IP-bereiken die overeenkomen met elke servicetag. U kunt de informatie programmatisch verkrijgen of via een JSON-bestand downloaden, zoals beschreven in de volgende secties.

De Service Tag Discovery-API gebruiken

U kunt programmatisch de huidige lijst met servicetags ophalen, samen met details van IP-adresbereik:

Als u bijvoorbeeld alle voorvoegsels voor de opslagservicetag wilt ophalen, kunt u de volgende PowerShell-cmdlets gebruiken:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Notitie

  • De API-gegevens vertegenwoordigen de tags die kunnen worden gebruikt met NSG-regels in uw regio. Gebruik de API-gegevens als de bron van waarheid voor beschikbare servicetags, omdat deze mogelijk anders zijn dan het downloadbare JSON-bestand.
  • Het duurt maximaal 4 weken voordat nieuwe servicetaggegevens worden doorgegeven in de API-resultaten in alle Azure-regio's. Vanwege dit proces zijn uw API-gegevensresultaten mogelijk niet gesynchroniseerd met het downloadbare JSON-bestand, omdat de API-gegevens een subset van de tags vertegenwoordigen die momenteel in het downloadbare JSON-bestand staan.
  • U moet worden geverifieerd en een rol hebben met leesmachtigingen voor uw huidige abonnement.

Servicetags detecteren met behulp van downloadbare JSON-bestanden

U kunt JSON-bestanden downloaden die de huidige lijst met servicetags bevatten, samen met details van IP-adresbereik. Deze lijsten worden wekelijks bijgewerkt en gepubliceerd. Locaties voor elke cloud zijn:

De IP-adresbereiken in deze bestanden bevinden zich in CIDR-notatie.

De volgende AzureCloud-tags hebben geen regionale namen die zijn opgemaakt volgens het normale schema:

  • AzureCloud.centralfrance (FranceCentral)
  • AzureCloud.southfrance (FranceSouth)
  • AzureCloud.germanywc (GermanyWestCentral)
  • AzureCloud.germanyn (GermanyNorth)
  • AzureCloud.norwaye (NorwayEast)
  • AzureCloud.norwayw (NorwayWest)
  • AzureCloud.switzerlandn (ZwitserlandNorth)
  • AzureCloud.switzerlandw (ZwitserlandWest)
  • AzureCloud.usstagee (EastUSSTG)
  • AzureCloud.usstagec (SouthCentralUSSTG)

Notitie

Er is een subset van deze informatie gepubliceerd in XML-bestanden voor Azure Public, Azure China en Azure Duitsland. Deze XML-downloads worden afgeschaft op 30 juni 2020 en zijn na die datum niet meer beschikbaar. U moet migreren naar het gebruik van de Discovery-API of JSON-bestanddownloads, zoals beschreven in de vorige secties.

Tip

  • U kunt updates van de ene publicatie naar de volgende detecteren door verhoogde changeNumber-waarden in het JSON-bestand te noteren. Elke subsectie (bijvoorbeeld Storage.WestUS) heeft een eigen changeNumber dat wordt verhoogd wanneer er wijzigingen optreden. Het hoogste niveau van het changeNumber van het bestand wordt verhoogd wanneer een van de subsecties wordt gewijzigd.

  • Zie de PowerShell-documentatie voor servicetags voor voorbeelden van het parseren van de servicetaggegevens (bijvoorbeeld alle adresbereiken voor Opslag in WestUS ophalen).

  • Wanneer er nieuwe IP-adressen worden toegevoegd aan servicetags, worden deze gedurende ten minste één week niet in Azure gebruikt. Dit geeft u de tijd om alle systemen bij te werken die mogelijk de IP-adressen moeten bijhouden die zijn gekoppeld aan servicetags.

Volgende stappen