Tagi usługi sieci wirtualnej

Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci.

Za pomocą tagów usługi można zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń, Azure Firewall i trasach zdefiniowanych przez użytkownika. Użyj tagów usługi zamiast określonych adresów IP podczas tworzenia reguł zabezpieczeń i tras. Określając nazwę tagu usługi, taką jak ApiManagement, w odpowiednim polu źródłowym lub docelowym reguły zabezpieczeń, można zezwolić lub odrzucić ruch dla odpowiedniej usługi. Określając nazwę tagu usługi w prefiksie adresu trasy, można kierować ruch przeznaczony dla dowolnego prefiksu hermetyzowanego przez tag usługi do żądanego typu następnego przeskoku.

Uwaga

Od marca 2022 r. używanie tagów usługi zamiast jawnych prefiksów adresów w trasach zdefiniowanych przez użytkownika jest poza wersją zapoznawcza i ogólnie dostępna.

Za pomocą tagów usługi można uzyskać izolację sieci i chronić zasoby platformy Azure przed ogólnym Internetem podczas uzyskiwania dostępu do usług platformy Azure, które mają publiczne punkty końcowe. Utwórz reguły sieciowej grupy zabezpieczeń ruchu przychodzącego/wychodzącego, aby blokować ruch do/z Internetu i zezwalać na ruch do/z usługi AzureCloud lub inne dostępne tagi usług określonych usług platformy Azure.

Izolacja sieciowa usług platformy Azure przy użyciu tagów usługi

Dostępne tagi usługi

Poniższa tabela zawiera wszystkie tagi usług dostępne do użycia w regułach sieciowej grupy zabezpieczeń .

Kolumny wskazują, czy tag:

  • Nadaje się do reguł, które obejmują ruch przychodzący lub wychodzący.
  • Obsługuje zakres regionalny .
  • Można go używać w regułach Azure Firewall jako reguły docelowej tylko dla ruchu przychodzącego lub wychodzącego.

Domyślnie tagi usług odzwierciedlają zakresy dla całej chmury. Niektóre tagi usługi umożliwiają również bardziej szczegółową kontrolę przez ograniczenie odpowiednich zakresów adresów IP do określonego regionu. Na przykład tag usługi Storage reprezentuje usługę Azure Storage dla całej chmury, ale storage.WestUS zawęża zakres tylko do zakresów adresów IP magazynu z regionu WestUS. Poniższa tabela wskazuje, czy każdy tag usługi obsługuje taki zakres regionalny, a kierunek wymieniony dla każdego tagu jest zaleceniem. Na przykład tag AzureCloud może służyć do zezwalania na ruch przychodzący. W większości scenariuszy nie zalecamy zezwalania na ruch ze wszystkich adresów IP platformy Azure, ponieważ adresy IP używane przez innych klientów platformy Azure są uwzględniane jako część tagu usługi.

Tag Przeznaczenie Czy można używać ruchu przychodzącego lub wychodzącego? Czy może być regionalny? Czy można używać z Azure Firewall?
ActionGroup Grupa akcji. Przychodzący Nie Nie
ApiManagement Ruch zarządzania wdrożeniami dedykowanymi na platformie Azure API Management.

Uwaga: ten tag reprezentuje punkt końcowy usługi Azure API Management dla płaszczyzny sterowania na region. Tag umożliwia klientom wykonywanie operacji zarządzania na interfejsach API, operacjach, zasadach, nazwachValues skonfigurowanych w usłudze API Management.
Przychodzący Tak Tak
ApplicationInsightsAvailability Dostępność usługi Application Insights. Przychodzący Nie Nie
Konfiguracja aplikacji App Configuration. Wychodzący Nie Nie
AppService Azure App Service. Ten tag jest zalecany dla reguł zabezpieczeń dla ruchu wychodzącego do aplikacji internetowych i aplikacji funkcji.

Uwaga: ten tag nie zawiera adresów IP przypisanych podczas korzystania z protokołu SSL opartego na protokole IP (adresu przypisanego przez aplikację).
Wychodzący Tak Tak
AppServiceManagement Ruch zarządzania wdrożeniami przeznaczonymi do App Service Environment. Oba Nie Tak
AzureActiveDirectory Azure Active Directory. Wychodzący Nie Tak
AzureActiveDirectoryDomainServices Ruch zarządzania wdrożeniami dedykowanymi do usługi Azure Active Directory Domain Services. Oba Nie Tak
AzureAdvancedThreatProtection Azure Advanced Threat Protection. Wychodzący Nie Nie
AzureArcInfrastructure Serwery z obsługą usługi Azure Arc, usługa Kubernetes z obsługą usługi Azure Arc i ruch konfiguracji gościa.

Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureTrafficManager i AzureResourceManager .
Wychodzący Nie Tak
AzureAttestation Azure Attestation. Wychodzący Nie Tak
AzureBackup Azure Backup.

Uwaga: ten tag ma zależność od tagów Storage i AzureActiveDirectory .
Wychodzący Nie Tak
AzureBotService Azure Bot Service. Wychodzący Nie Nie
AzureCloud Wszystkie publiczne adresy IP centrum danych. Oba Tak Tak
AzureCognitiveSearch Azure Cognitive Search.

Ten tag lub adresy IP objęte tym tagiem mogą służyć do udzielania indeksatorom bezpiecznego dostępu do źródeł danych. Aby uzyskać więcej informacji na temat indeksatorów, zobacz dokumentację połączenia indeksatora.

Uwaga: adres IP usługi wyszukiwania nie znajduje się na liście zakresów adresów IP dla tego tagu usługi, a także musi zostać dodany do zapory adresów IP źródeł danych.
Przychodzący Nie Nie
AzureConnectors Ten tag reprezentuje adresy IP używane w przypadku łączników zarządzanych, które tworzą przychodzące wywołania zwrotne elementu webhook do usługi Azure Logic Apps i wywołań wychodzących do odpowiednich usług, na przykład usługi Azure Storage lub Azure Event Hubs. Oba Tak Tak
AzureContainerRegistry Azure Container Registry. Wychodzący Tak Tak
AzureCosmosDB Azure Cosmos DB. Wychodzący Tak Tak
AzureDatabricks Azure Databricks. Oba Nie Nie
AzureDataExplorerManagement Azure Data Explorer Management. Przychodzący Nie Nie
AzureDataLake Azure Data Lake Storage Gen1. Wychodzący Nie Tak
AzureDeviceUpdate Aktualizacja urządzenia dla IoT Hub. Oba Nie Tak
AzureDevSpaces Azure Dev Spaces. Wychodzący Nie Nie
AzureDevOps Azure DevOps. Przychodzący Tak Tak
AzureDigitalTwins Azure Digital Twins.

Uwaga: ten tag lub adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do punktów końcowych skonfigurowanych dla tras zdarzeń.
Przychodzący Nie Tak
AzureEventGrid Azure Event Grid. Oba Nie Nie
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Azure Front Door. Oba Nie Nie
AzureHealthcareAPIs Adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do usług Azure Health Data Services. Oba Nie Tak
Moduł AzureInformationProtection Azure Information Protection.

Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureFrontDoor.Frontend i AzureFrontDoor.FirstParty .
Wychodzący Nie Nie
AzureIoTHub Azure IoT Hub. Wychodzący Tak Nie
AzureKeyVault Azure Key Vault.

Uwaga: ten tag ma zależność od tagu AzureActiveDirectory .
Wychodzący Tak Tak
AzureLoadBalancer Moduł równoważenia obciążenia infrastruktury platformy Azure. Tag tłumaczy się na wirtualny adres IP hosta (168.63.129.16), z którego pochodzą sondy kondycji platformy Azure. Obejmuje to tylko ruch sondy, a nie rzeczywisty ruch do zasobu zaplecza. Jeśli nie używasz Azure Load Balancer, możesz zastąpić tę regułę. Oba Nie Nie
AzureLoadTestingInstanceManagement Ten tag usługi jest używany do łączności przychodzącej z usługi Azure Load Testing do wystąpień generowania obciążenia wstrzykniętych do sieci wirtualnej w scenariuszu prywatnego testowania obciążenia.

Uwaga: Ten tag ma być używany w Azure Firewall, sieciowej grupie zabezpieczeń, trasa zdefiniowana przez użytkownika i wszystkie inne bramy na potrzeby łączności przychodzącej.
Nie Tak
AzureMachineLearning Azure Machine Learning. Oba Nie Tak
AzureMonitor Log Analytics, Application Insights, AzMon i metryki niestandardowe (punkty końcowe giG).

Uwaga: w przypadku usługi Log Analytics wymagany jest również tag magazynu . Jeśli są używane agenci systemu Linux, tag GuestAndHybridManagement jest również wymagany.
Wychodzący Nie Tak
AzureOpenDatasets Zestawy danych platformy Azure Open.

Uwaga: ten tag ma zależność od tagu AzureFrontDoor.Frontend i Storage .
Wychodzący Nie Nie
AzurePlatformDNS Podstawowa infrastruktura (domyślna) usługa DNS.

Możesz użyć tego tagu, aby wyłączyć domyślny system DNS. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu.
Wychodzący Nie Nie
AzurePlatformIMDS Azure Instance Metadata Service (IMDS), która jest podstawową usługą infrastruktury.

Możesz użyć tego tagu, aby wyłączyć domyślną usługę IMDS. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu.
Wychodzący Nie Nie
AzurePlatformLKM Licencjonowanie systemu Windows lub usługa zarządzania kluczami.

Możesz użyć tego tagu, aby wyłączyć wartości domyślne licencjonowania. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu.
Wychodzący Nie Nie
AzureResourceManager W usłudze Azure Resource Manager. Wychodzący Nie Nie
AzureSignalR Azure SignalR. Wychodzący Nie Nie
AzureSiteRecovery Azure Site Recovery.

Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureKeyVault, EventHub,GuestAndHybridManagement i Storage.
Wychodzący Nie Nie
AzureSphere Ten tag lub adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do usług zabezpieczeń Azure Sphere. Oba Nie Tak
AzureStack Usługi Azure Stack Bridge.
Ten tag reprezentuje punkt końcowy usługi Azure Stack Bridge na region.
Wychodzący Nie Tak
AzureTrafficManager Adresy IP sondy usługi Azure Traffic Manager.

Aby uzyskać więcej informacji na temat adresów IP sondy usługi Traffic Manager, zobacz Azure Traffic Manager FAQ (Często zadawane pytania dotyczące usługi Azure Traffic Manager).
Przychodzący Nie Tak
AzureUpdateDelivery Aby uzyskać dostęp do Aktualizacje systemu Windows.

Uwaga: ten tag zapewnia dostęp do usług Windows Update metadanych. Aby pomyślnie pobrać aktualizacje, należy również włączyć tag usługi AzureFrontDoor.FirstParty i skonfigurować reguły zabezpieczeń ruchu wychodzącego przy użyciu protokołu i portu zdefiniowanego w następujący sposób:
  • AzureUpdateDelivery: TCP, port 443
  • AzureFrontDoor.FirstParty: TCP, port 80
Wychodzący Nie Nie
BatchNodeManagement Ruch zarządzania dla wdrożeń przeznaczonych do Azure Batch. Oba Nie Tak
CognitiveServicesManagement Zakresy adresów dla ruchu w usługach Azure Cognitive Services. Oba Nie Nie
DataFactory Azure Data Factory Oba Nie Nie
DataFactoryManagement Ruch zarządzania dla Azure Data Factory. Wychodzący Nie Nie
Dynamics365ForMarketingEmail Zakresy adresów usługi marketingowej poczty e-mail usługi Dynamics 365. Wychodzący Tak Nie
EOPExternalPublishedIPs Ten tag reprezentuje adresy IP używane na potrzeby programu PowerShell centrum zgodności zabezpieczeń & . Aby uzyskać więcej informacji, zapoznaj się z modułem Connect to Security Compliance Center PowerShell using the EXO V2 (Nawiązywanie połączenia z usługą Security & Compliance Center przy użyciu modułu EXO V2). Oba Nie Tak
EventHub Azure Event Hubs. Wychodzący Tak Tak
GatewayManager Ruch zarządzania dla wdrożeń przeznaczonych dla VPN Gateway platformy Azure i Application Gateway. Przychodzący Nie Nie
GuestAndHybridManagement Azure Automation i konfiguracja gościa. Wychodzący Nie Tak
HDInsight Azure HDInsight. Przychodzący Tak Nie
Internet Przestrzeń adresowa IP spoza sieci wirtualnej i osiągalna przez publiczny Internet.

Zakres adresów obejmuje publiczną przestrzeń adresów IP należącą do platformy Azure.
Oba Nie Nie
LogicApps Logic Apps. Oba Nie Nie
LogicAppsManagement Ruch związany z zarządzaniem dla usługi Logic Apps. Przychodzący Nie Nie
M365ManagementActivityApi Interfejs API działań zarządzania Office 365 zawiera informacje o różnych akcjach użytkownika, administratora, systemie i zasadach oraz zdarzeniach z dzienników aktywności usługi Office 365 i Azure Active Directory. Klienci i partnerzy mogą używać tych informacji do tworzenia nowych lub ulepszania istniejących rozwiązań do obsługi operacji, zabezpieczeń i monitorowania zgodności dla przedsiębiorstwa.

Uwaga: ten tag ma zależność od tagu AzureActiveDirectory .
Wychodzący Tak Nie
M365ManagementActivityApiWebhook Powiadomienia są wysyłane do skonfigurowanego elementu webhook dla subskrypcji w miarę udostępniania nowej zawartości. Przychodzący Tak Nie
MicrosoftAzureFluidRelay Ten tag reprezentuje adresy IP używane na potrzeby usługi Azure Fluid Relay Server. Wychodzący Nie Nie
MicrosoftCloudAppSecurity Microsoft Defender for Cloud Apps. Wychodzący Nie Nie
MicrosoftContainerRegistry Rejestr kontenerów dla obrazów kontenerów firmy Microsoft.

Uwaga: ten tag ma zależność od tagu AzureFrontDoor.FirstParty .
Wychodzący Tak Tak
Power BI w usłudze Power BI. Oba Nie Nie
PowerPlatformInfra Ten tag reprezentuje adresy IP używane przez infrastrukturę do hostowania usług platformy Power Platform. Wychodzący Tak Tak
PowerPlatformPlex Ten tag reprezentuje adresy IP używane przez infrastrukturę do hostowania wykonywania rozszerzenia platformy Power Platform w imieniu klienta. Przychodzący Tak Tak
PowerQueryOnline Power Query Online. Oba Nie Nie
ServiceBus Azure Service Bus ruchu korzystającego z warstwy usługi Premium. Wychodzący Tak Tak
ServiceFabric Azure Service Fabric.

Uwaga: ten tag reprezentuje punkt końcowy usługi Service Fabric dla płaszczyzny sterowania na region. Dzięki temu klienci mogą wykonywać operacje zarządzania klastrami usługi Service Fabric z punktu końcowego sieci wirtualnej. (Na przykład https:// westus.servicefabric.azure.com).
Oba Nie Nie
Sql Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Database for MariaDB i Azure Synapse Analytics.

Uwaga: ten tag reprezentuje usługę, ale nie określone wystąpienia usługi. Na przykład tag reprezentuje usługę Azure SQL Database, ale nie konkretną bazę danych lub serwer SQL. Ten tag nie ma zastosowania do wystąpienia zarządzanego SQL.
Wychodzący Tak Tak
SqlManagement Ruch zarządzania dla wdrożeń dedykowanych SQL. Oba Nie Tak
Storage Azure Storage.

Uwaga: ten tag reprezentuje usługę, ale nie określone wystąpienia usługi. Na przykład tag reprezentuje usługę Azure Storage, ale nie konkretne konto usługi Azure Storage.
Wychodzący Tak Tak
StorageSyncService Usługa synchronizacji magazynu. Oba Nie Nie
WindowsAdminCenter Zezwól usłudze zaplecza Windows Admin Center na komunikację z instalacją Windows Admin Center klientów. Wychodzący Nie Tak
WindowsVirtualDesktop Azure Virtual Desktop (dawniej Windows Virtual Desktop). Oba Nie Tak
VirtualNetwork Przestrzeń adresowa sieci wirtualnej (wszystkie zakresy adresów IP zdefiniowane dla sieci wirtualnej), wszystkie połączone lokalne przestrzenie adresowe, równorzędne sieci wirtualne, sieci wirtualne połączone z bramą sieci wirtualnej, wirtualny adres IP hosta i prefiksy adresów używane na trasach zdefiniowanych przez użytkownika. Ten tag może również zawierać trasy domyślne. Oba Nie Nie

Uwaga

  • W przypadku używania tagów usługi z Azure Firewall można tworzyć reguły docelowe tylko dla ruchu przychodzącego i wychodzącego. Reguły źródłowe nie są obsługiwane. Aby uzyskać więcej informacji, zobacz dokument dotyczący tagów usługi Azure Firewall.

  • Tagi usług platformy Azure oznaczają prefiksy adresów z używanej chmury. Na przykład podstawowe zakresy adresów IP odpowiadające wartości tagu Sql w chmurze publicznej platformy Azure będą się różnić od podstawowych zakresów w chmurze Azure — Chiny.

  • W przypadku zaimplementowania punktu końcowego usługi dla sieci wirtualnej dla usługi takiej jak usługa Azure Storage lub Azure SQL Database, platforma Azure dodaje trasę do podsieci sieci wirtualnej dla usługi. Prefiksy adresów w trasie są tymi samymi prefiksami adresów lub zakresami CIDR, co te z odpowiedniego tagu usługi.

Tagi obsługiwane w klasycznym modelu wdrażania

Klasyczny model wdrażania (przed usługą Azure Resource Manager) obsługuje niewielki podzbiór tagów wymienionych w poprzedniej tabeli. Tagi w klasycznym modelu wdrażania są pisane inaczej, jak pokazano w poniższej tabeli:

tag Resource Manager Odpowiadający tag w klasycznym modelu wdrażania
AzureLoadBalancer AZURE_LOADBALANCER
Internet INTERNET
Sieć wirtualna VIRTUAL_NETWORK

Tagi usług lokalnie

Możesz uzyskać bieżący tag usługi i informacje o zakresie, które mają być uwzględnione w ramach lokalnych konfiguracji zapory. Te informacje są bieżącą listą zakresów adresów IP odpowiadających każdemu tagowi usługi. Informacje można uzyskać programowo lub za pośrednictwem pliku JSON, zgodnie z opisem w poniższych sekcjach.

Korzystanie z interfejsu API odnajdywania tagów usługi

Możesz programowo pobrać bieżącą listę tagów usługi wraz ze szczegółami zakresu adresów IP:

Aby na przykład pobrać wszystkie prefiksy tagu usługi magazynu, można użyć następujących poleceń cmdlet programu PowerShell:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Uwaga

  • Dane interfejsu API reprezentują te tagi, które mogą być używane z regułami sieciowej grupy zabezpieczeń w Twoim regionie. Użyj danych interfejsu API jako źródła prawdy dla dostępnych tagów usług, ponieważ może to być inne niż plik do pobrania JSON.
  • Propagowanie nowych danych tagu usługi w wynikach interfejsu API we wszystkich regionach platformy Azure może potrwać do 4 tygodni. W związku z tym procesem wyniki danych interfejsu API mogą nie być zsynchronizowane z plikiem JSON do pobrania, ponieważ dane interfejsu API reprezentują podzbiór tagów aktualnie w pliku JSON do pobrania.
  • Musisz być uwierzytelniony i mieć rolę z uprawnieniami do odczytu dla bieżącej subskrypcji.

Odnajdywanie tagów usług przy użyciu plików JSON, które można pobrać

Możesz pobrać pliki JSON zawierające bieżącą listę tagów usług wraz ze szczegółami zakresu adresów IP. Te listy są aktualizowane i publikowane co tydzień. Lokalizacje dla każdej chmury to:

Zakresy adresów IP w tych plikach znajdują się w notacji CIDR.

Następujące tagi usługi AzureCloud nie mają nazw regionalnych sformatowanych zgodnie z normalnym schematem:

  • AzureCloud.centralfrance (FranceCentral)
  • AzureCloud.southfrance (FranceSouth)
  • AzureCloud.germanywc (GermanyWestCentral)
  • AzureCloud.germanyn (NiemcyNorth)
  • AzureCloud.norwaye (Norwegia)
  • AzureCloud.norwayw (NorwegiaWest)
  • AzureCloud.switzerlandn (SzwajcariaNorth)
  • AzureCloud.switzerlandw (SzwajcariaWest)
  • AzureCloud.usstagee (EastUSSTG)
  • AzureCloud.usstagec (SouthCentralUSSTG)

Uwaga

Podzestaw tych informacji został opublikowany w plikach XML dla usług Azure Public, Azure — Chiny i Azure (Niemcy). Te pliki do pobrania XML zostaną wycofane do 30 czerwca 2020 r. i nie będą już dostępne po tej dacie. Należy przeprowadzić migrację do korzystania z interfejsu API odnajdywania lub plików JSON do pobrania zgodnie z opisem w poprzednich sekcjach.

Porada

  • Aktualizacje z jednej publikacji do następnej można wykryć, zauważając zwiększone wartości changeNumber w pliku JSON. Każda podsekcja (na przykład Storage.WestUS) ma własną wartość changeNumber , która jest zwiększana w miarę występowania zmian. Najwyższy poziom zmianyNumber pliku jest zwiększany po zmianie dowolnej z podsekcji.

  • Aby zapoznać się z przykładami analizowania informacji o tagu usługi (na przykład uzyskiwania wszystkich zakresów adresów dla usługi Storage w regionie WestUS), zobacz dokumentację interfejsu API odnajdywania tagów usługi w programie PowerShell .

  • Po dodaniu nowych adresów IP do tagów usług nie będą one używane na platformie Azure przez co najmniej jeden tydzień. Dzięki temu można zaktualizować wszystkie systemy, które mogą wymagać śledzenia adresów IP skojarzonych z tagami usług.

Następne kroki