Inkomende en uitgaande IP-adressen in Azure App Service
Azure-app Service is een multitenant-service, met uitzondering van App Service Environments. Apps die zich niet in een App Service-omgeving bevinden (niet in de geïsoleerde laag) delen de netwerkinfrastructuur met andere apps. Als gevolg hiervan kunnen de binnenkomende en uitgaande IP-adressen van een app verschillen en zelfs in bepaalde situaties veranderen.
App Service Environments maken gebruik van toegewezen netwerkinfrastructuren , zodat apps die worden uitgevoerd in een App Service-omgeving statische, toegewezen IP-adressen krijgen voor binnenkomende en uitgaande verbindingen.
Hoe IP-adressen werken in App Service
Een App Service-app wordt uitgevoerd in een App Service-plan en App Service-plannen worden geïmplementeerd in een van de implementatie-eenheden in de Azure-infrastructuur (intern een webruimte genoemd). Aan elke implementatie-eenheid wordt een set virtuele IP-adressen toegewezen, waaronder één openbaar binnenkomende IP-adres en een set uitgaande IP-adressen. Alle App Service-plannen in dezelfde implementatie-eenheid en app-exemplaren die in deze worden uitgevoerd, delen dezelfde set virtuele IP-adressen. Voor een App Service-omgeving (een App Service-plan in de geïsoleerde laag) is het App Service-plan de implementatie-eenheid zelf, zodat de virtuele IP-adressen er als gevolg van zijn toegewezen.
Omdat u geen App Service-plan tussen implementatie-eenheden mag verplaatsen, blijven de virtuele IP-adressen die aan uw app zijn toegewezen, meestal hetzelfde, maar er zijn uitzonderingen.
Wanneer binnenkomend IP-adres wordt gewijzigd
Ongeacht het aantal uitgeschaalde exemplaren heeft elke app één binnenkomend IP-adres. Het binnenkomende IP-adres kan veranderen wanneer u een van de volgende acties uitvoert:
- Verwijder een app en maak die opnieuw in een andere resourcegroep (implementatie-eenheid kan veranderen).
- Verwijder de laatste app in een resourcegroep en regiocombinatie en maak deze opnieuw (implementatie-eenheid kan veranderen).
- Verwijder een bestaande TLS/SSL-binding op basis van IP, zoals tijdens het vernieuwen van het certificaat (zie Certificaat vernieuwen).
Het binnenkomende IP-adres zoeken
Voer de volgende opdracht uit in een lokale terminal:
nslookup <app-name>.azurewebsites.net
Een statisch binnenkomend IP-adres ophalen
Soms wilt u mogelijk een toegewezen, statisch IP-adres voor uw app. Als u een statisch binnenkomende IP-adres wilt ophalen, moet u een aangepaste DNS-naam beveiligen met een IP-certificaatbinding. Als u geen TLS-functionaliteit nodig hebt om uw app te beveiligen, kunt u zelfs een zelfondertekend certificaat voor deze binding uploaden. In een TLS-binding op basis van IP is het certificaat gebonden aan het IP-adres zelf, zodat App Service een statisch IP-adres maakt om dit te laten gebeuren.
Wanneer uitgaande IP-adressen veranderen
Ongeacht het aantal uitgeschaalde exemplaren heeft elke app op een bepaald moment een vast aantal IP-adressen voor uitgaand verkeer. Elke uitgaande verbinding van de App Service-app, zoals naar een back-enddatabase, gebruikt een van de uitgaande IP-adressen als het oorspronkelijke IP-adres. Het te gebruiken IP-adres wordt willekeurig geselecteerd tijdens runtime, dus de back-endservice moet de firewall openen naar alle uitgaande IP-adressen voor uw app.
De set uitgaande IP-adressen voor uw app wordt gewijzigd wanneer u een van de volgende acties uitvoert:
- Verwijder een app en maak die opnieuw in een andere resourcegroep (implementatie-eenheid kan veranderen).
- Verwijder de laatste app in een resourcegroep en regiocombinatie en maak deze opnieuw (implementatie-eenheid kan veranderen).
- Schaal uw app tussen de lagere lagen (Basic, Standard en Premium), de PremiumV2-laag, de PremiumV3-laag en de Pmv3-opties binnen de PremiumV3-laag (IP-adressen kunnen worden toegevoegd aan of afgetrokken van de set).
U vindt de set van alle mogelijke uitgaande IP-adressen die uw app kan gebruiken, ongeacht de prijscategorieën, door te zoeken naar de possibleOutboundIpAddresses eigenschap of in het veld Aanvullende uitgaande IP-adressen op de pagina Eigenschappen in Azure Portal. Zie Uitgaande IP-adressen zoeken.
De set van alle mogelijke uitgaande IP-adressen kan na verloop van tijd toenemen als App Service nieuwe prijscategorieën of opties toevoegt aan bestaande App Service-implementaties. Als App Service bijvoorbeeld de PremiumV3-laag toevoegt aan een bestaande App Service-implementatie, neemt de set van alle mogelijke uitgaande IP-adressen toe. Als App Service nieuwe Pmv3-opties toevoegt aan een implementatie die al ondersteuning biedt voor de PremiumV3-laag , neemt de set mogelijke uitgaande IP-adressen toe. Het toevoegen van IP-adressen aan een implementatie heeft geen direct effect omdat de uitgaande IP-adressen voor het uitvoeren van toepassingen niet veranderen wanneer een nieuwe prijscategorie of optie wordt toegevoegd aan een App Service-implementatie. Als toepassingen echter overschakelen naar een nieuwe prijscategorie of optie die nog niet eerder beschikbaar was, worden nieuwe uitgaande adressen gebruikt en moeten klanten downstreamfirewallregels en IP-adresbeperkingen bijwerken.
Uitgaande IP-adressen zoeken
Als u wilt zoeken naar de uitgaande IP-adressen die momenteel door uw app worden gebruikt in Azure Portal, selecteert u Eigenschappen in de linkernavigatiebalk van uw app. Ze worden weergegeven in het veld Uitgaande IP-adressen .
U kunt dezelfde informatie vinden door de volgende opdracht uit te voeren in Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses
Als u alle mogelijke uitgaande IP-adressen voor uw app wilt vinden, ongeacht de prijscategorieën, selecteert u Eigenschappen in de linkernavigatie van uw app. Deze worden weergegeven in het veld Extra uitgaande IP-adressen .
U kunt dezelfde informatie vinden door de volgende opdracht uit te voeren in Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses
Een statisch uitgaand IP-adres ophalen
U kunt het IP-adres van uitgaand verkeer vanuit uw app beheren met behulp van integratie van virtuele netwerken in combinatie met een NAT-gateway van een virtueel netwerk om verkeer via een statisch openbaar IP-adres te leiden. Integratie van virtuele netwerken is beschikbaar in De abonnementen Basic, Standard, Premium, PremiumV2 en PremiumV3 App Service. Zie NAT-gatewayintegratie voor meer informatie over deze installatie.
Servicetag
Met behulp van de AppService servicetag kunt u netwerktoegang definiëren voor de Azure-app Service-service zonder afzonderlijke IP-adressen op te geven. De servicetag is een groep IP-adresvoorvoegsels die u gebruikt om de complexiteit van het maken van beveiligingsregels te minimaliseren. Wanneer u servicetags gebruikt, worden de IP-adressen automatisch bijgewerkt wanneer deze voor de service worden gewijzigd. De servicetag is echter geen mechanisme voor beveiligingscontrole. De servicetag is slechts een lijst met IP-adressen.
De AppService servicetag bevat alleen de binnenkomende IP-adressen van multitenant-apps. Binnenkomende IP-adressen van apps die zijn geïmplementeerd in geïsoleerde apps (App Service Environment) en apps die gebruikmaken van TLS-bindingen op basis van IP, zijn niet opgenomen. Verder worden alle uitgaande IP-adressen die worden gebruikt in zowel multitenant als geïsoleerd, niet opgenomen in de tag.
De tag kan worden gebruikt om uitgaand verkeer in een netwerkbeveiligingsgroep (NSG) naar apps toe te staan. Als de app GEBRUIKMAAKT van TLS op basis van IP of de app wordt geïmplementeerd in de geïsoleerde modus, moet u in plaats daarvan het toegewezen IP-adres gebruiken.
Notitie
Met servicetag kunt u netwerktoegang definiëren, maar deze moet niet worden beschouwd als vervanging voor de juiste netwerkbeveiligingsmaatregelen, omdat deze geen gedetailleerde controle biedt over afzonderlijke IP-adressen.
Volgende stappen
- Meer informatie over het beperken van inkomend verkeer per bron-IP-adressen.
- Meer informatie over servicetags.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor