Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure-app Service is een multitenant-service, met uitzondering van App Service Environments. Apps die zich niet in een App Service-omgeving bevinden (niet in de geïsoleerde laag) delen de netwerkinfrastructuur met andere apps. Als gevolg hiervan kunnen de binnenkomende en uitgaande IP-adressen van een app verschillen en zelfs in bepaalde situaties veranderen.
App Service Environments maken gebruik van toegewezen netwerkinfrastructuren , zodat apps die worden uitgevoerd in een App Service-omgeving statische, toegewezen IP-adressen krijgen voor binnenkomende en uitgaande verbindingen.
Hoe IP-adressen werken in App Service
Een App Service-app wordt uitgevoerd in een App Service-plan en App Service-plannen worden geïmplementeerd in een van de implementatie-eenheden in de Azure-infrastructuur (intern een webruimte genoemd). Aan elke implementatie-eenheid wordt een set virtuele IP-adressen toegewezen, waaronder één openbaar binnenkomende IP-adres en een set uitgaande IP-adressen. Alle App Service-plannen in dezelfde implementatie-eenheid en app-exemplaren die in deze worden uitgevoerd, delen dezelfde set virtuele IP-adressen. Voor een App Service-omgeving (een App Service-plan in de geïsoleerde laag) is het App Service-plan de implementatie-eenheid zelf, zodat de virtuele IP-adressen er als gevolg van zijn toegewezen.
Omdat u geen App Service-plan tussen implementatie-eenheden mag verplaatsen, blijven de virtuele IP-adressen die aan uw app zijn toegewezen, meestal hetzelfde, maar er zijn uitzonderingen.
Notitie
De Premium V4-laag biedt geen stabiele set uitgaande IP-adressen. Dit gedrag is opzettelijk. Hoewel toepassingen die worden uitgevoerd op de Premium V4-laag uitgaande aanroepen naar internetgerichte eindpunten kunnen uitvoeren, biedt het App Service-platform geen stabiele set uitgaande IP-adressen voor de Premium V4-laag. Dit is een wijziging in gedrag ten opzichte van eerdere App Service-prijscategorieën. In de portal wordt "Dynamisch" weergegeven voor uitgaande IP-adressen, evenals aanvullende informatie over deze adressen voor toepassingen die gebruikmaken van Premium V4. ARM- en CLI-aanroepen retourneren lege tekenreeksen voor de waarden van uitgaandeIpAddresses en possibleOutboundIpAddresses. Als toepassingen die worden uitgevoerd op Premium V4 een stabiel uitgaand IP-adres(en) vereisen, moeten ontwikkelaars een oplossing zoals Azure NAT Gateway gebruiken om een voorspelbaar IP-adres te krijgen voor uitgaand internetverkeer.
Wanneer binnenkomend IP-adres wordt gewijzigd
Ongeacht het aantal uitgeschaalde exemplaren heeft elke app één binnenkomend IP-adres. Het binnenkomende IP-adres kan veranderen wanneer u een van de volgende acties uitvoert:
- Verwijder een app en maak die opnieuw in een andere resourcegroep (implementatie-eenheid kan veranderen).
- Verwijder de laatste app in een resourcegroep en regiocombinatie en maak deze opnieuw (implementatie-eenheid kan veranderen).
- Verwijder een bestaande TLS-binding op basis van IP, bijvoorbeeld tijdens het vernieuwen van het certificaat (zie Certificaat vernieuwen).
Het binnenkomende IP-adres zoeken
Voer de volgende opdracht uit in een lokale terminal:
nslookup <app-name>.azurewebsites.net
Een statisch binnenkomend IP-adres ophalen
Soms wilt u mogelijk een toegewezen, statisch IP-adres voor uw app. Als u een statisch binnenkomende IP-adres wilt ophalen, moet u een aangepaste DNS-naam beveiligen met een IP-certificaatbinding. Als u geen TLS-functionaliteit nodig hebt om uw app te beveiligen, kunt u zelfs een zelfondertekend certificaat voor deze binding uploaden. In een TLS-binding op basis van IP is het certificaat gebonden aan het IP-adres zelf, zodat App Service een statisch IP-adres maakt om dit te laten gebeuren.
Wanneer uitgaande IP-adressen veranderen
Ongeacht het aantal uitgeschaalde exemplaren heeft elke app op een bepaald moment een vast aantal IP-adressen voor uitgaand verkeer. Elke uitgaande verbinding van de App Service-app, zoals naar een back-enddatabase, gebruikt een van de uitgaande IP-adressen als het oorspronkelijke IP-adres. Het te gebruiken IP-adres wordt willekeurig geselecteerd tijdens runtime, dus de back-endservice moet de firewall openen naar alle uitgaande IP-adressen voor uw app.
De set uitgaande IP-adressen voor uw app wordt gewijzigd wanneer u een van de volgende acties uitvoert:
- Verwijder een app en maak die opnieuw in een andere resourcegroep (implementatie-eenheid kan veranderen).
- Verwijder de laatste app in een resourcegroep en regiocombinatie en maak deze opnieuw (implementatie-eenheid kan veranderen).
- Schaal uw app tussen de lagere lagen (Basic, Standard en Premium), de PremiumV2-laag, de PremiumV3-laag en de Pmv3-opties binnen de PremiumV3-laag (IP-adressen kunnen worden toegevoegd aan of afgetrokken van de set).
U vindt de set van alle mogelijke uitgaande IP-adressen die uw app kan gebruiken, ongeacht de prijscategorieën, door te zoeken naar de possibleOutboundIpAddresses eigenschap of in het veld Aanvullende uitgaande IP-adressen op de pagina Eigenschappen in Azure Portal. Zie Uitgaande IP-adressen zoeken.
De set van alle mogelijke uitgaande IP-adressen kan na verloop van tijd toenemen als App Service nieuwe prijscategorieën of opties toevoegt aan bestaande App Service-implementaties. Als App Service bijvoorbeeld de PremiumV3-laag toevoegt aan een bestaande App Service-implementatie, neemt de set van alle mogelijke uitgaande IP-adressen toe. Als App Service nieuwe Pmv3-opties toevoegt aan een implementatie die al ondersteuning biedt voor de PremiumV3-laag , neemt de set mogelijke uitgaande IP-adressen toe. Het toevoegen van IP-adressen aan een implementatie heeft geen direct effect omdat de uitgaande IP-adressen voor het uitvoeren van toepassingen niet veranderen wanneer een nieuwe prijscategorie of optie wordt toegevoegd aan een App Service-implementatie. Als toepassingen echter overschakelen naar een nieuwe prijscategorie of optie die nog niet eerder beschikbaar was, worden nieuwe uitgaande adressen gebruikt en moeten klanten downstreamfirewallregels en IP-adresbeperkingen bijwerken.
Uitgaande IP-adressen zoeken
Als u wilt zoeken naar de uitgaande IP-adressen die momenteel door uw app worden gebruikt in Azure Portal, selecteert u Eigenschappen in de linkernavigatiebalk van uw app. Ze worden weergegeven in het veld Uitgaande IP-adressen .
U kunt dezelfde informatie vinden door de volgende opdracht uit te voeren in Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses
Als u alle mogelijke uitgaande IP-adressen voor uw app wilt vinden, ongeacht de prijscategorieën, selecteert u Eigenschappen in de linkernavigatie van uw app. Deze worden weergegeven in het veld Extra uitgaande IP-adressen .
U kunt dezelfde informatie vinden door de volgende opdracht uit te voeren in Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses
Zie Uitgaande IP-adressen van functie-apps voor functie-apps.
Een statisch uitgaand IP-adres ophalen
U kunt het IP-adres van uitgaand verkeer vanuit uw app beheren met behulp van integratie van virtuele netwerken in combinatie met een NAT-gateway van een virtueel netwerk om verkeer via een statisch openbaar IP-adres te leiden. Integratie van virtuele netwerken is beschikbaar in De abonnementen Basic, Standard, Premium, PremiumV2 en PremiumV3 App Service. Zie NAT-gatewayintegratie voor meer informatie over deze installatie.
IP-adreseigenschappen in Azure Portal
IP-adressen worden weergegeven op meerdere plaatsen in Azure Portal. Op de eigenschappenpagina ziet u de onbewerkte uitvoer van inboundIpAddress, possibleInboundIpAddressesen outboundIpAddressespossibleOutboundIpAddresses. Op de overzichtspagina worden ook dezelfde waarden weergegeven, maar worden de mogelijke binnenkomende IP-adressen niet opgenomen.
Overzicht van netwerken toont de combinatie van inkomend IP-adres en eventuele IP-adressen van privé-eindpunten in het veld Binnenkomende adressen . Als openbare netwerktoegang is uitgeschakeld, wordt het openbare IP-adres niet weergegeven. Het veld Uitgaande adressen heeft een gecombineerde lijst met (mogelijke) uitgaande IP-adressen en als de app is geïntegreerd met een virtueel netwerk en al het verkeer routert en het subnet een NAT-gateway heeft gekoppeld, bevat het veld ook de IP-adressen van de NAT-gateway.
Servicetag
Met behulp van de AppService servicetag kunt u netwerktoegang definiëren voor de Azure-app Service-service zonder afzonderlijke IP-adressen op te geven. De servicetag is een groep IP-adresvoorvoegsels die u gebruikt om de complexiteit van het maken van beveiligingsregels te minimaliseren. Wanneer u servicetags gebruikt, worden de IP-adressen automatisch bijgewerkt wanneer deze voor de service worden gewijzigd. De servicetag is echter geen mechanisme voor beveiligingscontrole. De servicetag is slechts een lijst met IP-adressen.
De AppService servicetag bevat alleen de binnenkomende IP-adressen van multitenant-apps. Binnenkomende IP-adressen van apps die zijn geïmplementeerd in geïsoleerde apps (App Service Environment) en apps die gebruikmaken van TLS-bindingen op basis van IP, zijn niet opgenomen. Verder worden alle uitgaande IP-adressen die worden gebruikt in zowel multitenant als geïsoleerd, niet opgenomen in de tag.
De tag kan worden gebruikt om uitgaand verkeer in een netwerkbeveiligingsgroep (NSG) naar apps toe te staan. Als de app GEBRUIKMAAKT van TLS op basis van IP of de app wordt geïmplementeerd in de geïsoleerde modus, moet u in plaats daarvan het toegewezen IP-adres gebruiken. Omdat de tag alleen binnenkomende IP-adressen bevat, kan de tag niet worden gebruikt in toegangsbeperkingen om de toegang tot een app vanuit andere apps in App Service te beperken.
Notitie
Met servicetag kunt u netwerktoegang definiëren, maar deze moet niet worden beschouwd als vervanging voor de juiste netwerkbeveiligingsmaatregelen, omdat deze geen gedetailleerde controle biedt over afzonderlijke IP-adressen.
Volgende stappen
- Meer informatie over het beperken van inkomend verkeer per bron-IP-adressen.
- Meer informatie over servicetags.