Blokowanie środowiska App Service Environment
Ważne
Ten artykuł dotyczy środowiska App Service Environment w wersji 2, który jest używany z planami izolowanej usługi App Service. Środowisko App Service Environment w wersji 1 i v2 jest wycofyzowane od 31 sierpnia 2024 r. Jest dostępna nowa wersja środowiska App Service Environment, która jest łatwiejsza do użycia i działa w bardziej wydajnej infrastrukturze. Aby dowiedzieć się więcej o nowej wersji, zacznij od wprowadzenia do środowiska App Service Environment. Jeśli obecnie używasz środowiska App Service Environment w wersji 1, wykonaj kroki opisane w tym artykule , aby przeprowadzić migrację do nowej wersji.
Od 31 sierpnia 2024 r. umowa dotycząca poziomu usług (SLA) i środki na usługi nie mają już zastosowania do obciążeń środowiska App Service Environment w wersji 1 i w wersji 2, które nadal znajdują się w środowisku produkcyjnym, ponieważ są wycofane produkty. Rozpoczęto likwidowanie sprzętu środowiska App Service Environment w wersji 1 i 2. Może to mieć wpływ na dostępność i wydajność aplikacji i danych.
Musisz natychmiast ukończyć migrację do środowiska App Service Environment w wersji 3 lub usunąć aplikacje i zasoby. Podejmiemy próbę automatycznej migracji wszystkich pozostałych środowisk App Service Environment w wersji 1 i 2 w oparciu o najlepsze rozwiązanie przy użyciu funkcji migracji w miejscu, ale firma Microsoft nie udziela żadnych oświadczeń ani gwarancji dotyczących dostępności aplikacji po migracji automatycznej. Może być konieczne wykonanie ręcznej konfiguracji w celu ukończenia migracji i zoptymalizowania wybranej jednostki SKU planu usługi App Service w celu spełnienia Twoich potrzeb. Jeśli automatyczna migracja nie jest wykonalna, zasoby i skojarzone dane aplikacji zostaną usunięte. Zdecydowanie zachęcamy do podjęcia działań, aby uniknąć jednego z tych ekstremalnych scenariuszy.
Jeśli potrzebujesz dodatkowego czasu, możemy zaoferować jednorazowy 30-dniowy okres prolongaty umożliwiający ukończenie migracji. Aby uzyskać więcej informacji i zażądać tego okresu prolongaty, zapoznaj się z omówieniem okresu prolongaty, a następnie przejdź do witryny Azure Portal i odwiedź blok Migracja dla każdego środowiska App Service Environment.
Aby uzyskać najbardziej aktualne informacje na temat wycofania środowiska App Service Environment w wersji 1/2, zobacz aktualizację wycofania środowiska App Service Environment w wersji 1 i 2.
Środowisko App Service Environment (ASE) ma wiele zależności zewnętrznych, do których wymaga dostępu w celu prawidłowego działania. Środowisko ASE mieszka w usłudze Azure Virtual Network klienta. Klienci muszą zezwolić na ruch zależności środowiska ASE, który jest problemem dla klientów, którzy chcą zablokować cały ruch wychodzący z sieci wirtualnej.
Istnieje wiele przychodzących punktów końcowych, które są używane do zarządzania programem ASE. Ruchu przychodzącego zarządzania nie można wysyłać za pośrednictwem urządzenia zapory. Adresy źródłowe dla tego ruchu są znane i publikowane w dokumencie Adresy zarządzania środowiska App Service Environment. Istnieje również tag usługi o nazwie AppServiceManagement, który może być używany z sieciowymi grupami zabezpieczeń do zabezpieczania ruchu przychodzącego.
Zależności wychodzące środowiska ASE są prawie całkowicie zdefiniowane za pomocą nazw FQDN, które nie mają za nimi statycznych adresów. Brak adresów statycznych oznacza, że sieciowe grupy zabezpieczeń nie mogą być używane do blokowania ruchu wychodzącego ze środowiska ASE. Adresy zmieniają się często na tyle, że nie można skonfigurować reguł na podstawie bieżącego rozwiązania i używać ich do tworzenia sieciowych grup zabezpieczeń.
Rozwiązaniem do zabezpieczania adresów wychodzących jest użycie urządzenia zapory, które może kontrolować ruch wychodzący na podstawie nazw domen. Usługa Azure Firewall może ograniczyć wychodzący ruch HTTP i HTTPS na podstawie nazwy FQDN miejsca docelowego.
Architektura systemu
Wdrożenie środowiska ASE z ruchem wychodzącym przechodzącym przez urządzenie zapory wymaga zmiany tras w podsieci środowiska ASE. Trasy działają na poziomie adresu IP. Jeśli nie jesteś ostrożny podczas definiowania tras, możesz wymusić ruch odpowiedzi TCP do źródła z innego adresu. Gdy adres odpowiedzi różni się od ruchu adresowego, do którego został wysłany, problem jest nazywany routingiem asymetrycznym i przerywa protokół TCP.
Należy zdefiniować trasy, aby ruch przychodzący do środowiska ASE mógł odpowiadać w taki sam sposób, w jaki ruch przyszedł. Trasy muszą być zdefiniowane dla żądań zarządzania przychodzącego i dla żądań aplikacji przychodzących.
Ruch do i z środowiska ASE musi przestrzegać następujących konwencji
- Ruch do usług Azure SQL, Storage i Event Hubs nie jest obsługiwany przy użyciu urządzenia zapory. Ten ruch musi być wysyłany bezpośrednio do tych usług. Sposobem, aby tak się stało, jest skonfigurowanie punktów końcowych usługi dla tych trzech usług.
- Reguły tabeli tras muszą być zdefiniowane, które wysyłają ruch przychodzący do zarządzania z powrotem, z którego pochodzi.
- Reguły tabeli tras muszą być zdefiniowane, które wysyłają ruch przychodzący aplikacji z powrotem z miejsca, z którego pochodzi.
- Cały inny ruch opuszczający usługę ASE może być wysyłany do urządzenia zapory z regułą tabeli tras.
Blokowanie ruchu przychodzącego zarządzania
Jeśli podsieć środowiska ASE nie ma jeszcze przypisanej sieciowej grupy zabezpieczeń, utwórz ją. W sieciowej grupie zabezpieczeń ustaw pierwszą regułę zezwalaną na ruch z tagu usługi o nazwie AppServiceManagement na portach 454, 455. Reguła zezwalania na dostęp z tagu AppServiceManagement jest jedyną rzeczą, która jest wymagana z publicznych adresów IP do zarządzania środowiskom ASE. Adresy, które znajdują się za tym tagiem usługi, są używane tylko do administrowania usługą aplikacja systemu Azure Service. Ruch zarządzania, który przepływa przez te połączenia, jest szyfrowany i zabezpieczony za pomocą certyfikatów uwierzytelniania. Typowy ruch w tym kanale obejmuje takie elementy jak polecenia inicjowane przez klienta i sondy kondycji.
Środowiska ASE wykonywane za pośrednictwem portalu z nową podsiecią są tworzone z sieciową grupą zabezpieczeń zawierającą regułę zezwalania dla tagu AppServiceManagement.
Usługa ASE musi również zezwalać na żądania przychodzące z tagu modułu równoważenia obciążenia na porcie 16001. Żądania modułu równoważenia obciążenia na porcie 16001 są nadal aktywne między modułem równoważenia obciążenia a frontonami środowiska ASE. Jeśli port 16001 jest zablokowany, stan środowiska ASE będzie w złej kondycji.
Konfigurowanie usługi Azure Firewall przy użyciu środowiska ASE
Kroki blokowania ruchu wychodzącego z istniejącego środowiska ASE za pomocą usługi Azure Firewall są następujące:
Włącz punkty końcowe usługi w usługach SQL, Storage i Event Hubs w podsieci środowiska ASE. Aby włączyć punkty końcowe usługi, przejdź do podsieci portalu > sieciowego i wybierz pozycję Microsoft.EventHub, Microsoft.SQL i Microsoft.Storage z listy rozwijanej Punkty końcowe usługi. Po włączeniu punktów końcowych usługi w usłudze Azure SQL wszystkie zależności usługi Azure SQL, które mają aplikacje, muszą być również skonfigurowane z punktami końcowymi usługi.
Utwórz podsieć o nazwie AzureFirewallSubnet w sieci wirtualnej, w której istnieje środowisko ASE. Postępuj zgodnie z instrukcjami w dokumentacji usługi Azure Firewall, aby utworzyć usługę Azure Firewall.
W kolekcji reguł > interfejsu użytkownika > usługi Azure Firewall wybierz pozycję Dodaj kolekcję reguł aplikacji. Podaj nazwę, priorytet i ustaw opcję Zezwalaj. W sekcji Tagi nazwy FQDN podaj nazwę, ustaw adresy źródłowe na * i wybierz tag FQDN środowiska App Service Environment i usługę Windows Update.
W kolekcji reguł > interfejsu użytkownika > usługi Azure Firewall wybierz pozycję Dodaj kolekcję reguł sieciowych. Podaj nazwę, priorytet i ustaw opcję Zezwalaj. W sekcji Reguły w obszarze Adresy IP podaj nazwę, wybierz protokół Dowolny, ustaw wartość * na adresy źródłowe i docelowe, a następnie ustaw porty na 123. Ta reguła umożliwia systemowi wykonywanie synchronizacji zegara przy użyciu NTP. Utwórz inną regułę tak samo jak w przypadku portu 12000, aby ułatwić klasyfikację problemów z systemem.
W kolekcji reguł > interfejsu użytkownika > usługi Azure Firewall wybierz pozycję Dodaj kolekcję reguł sieciowych. Podaj nazwę, priorytet i ustaw opcję Zezwalaj. W sekcji Reguły w obszarze Tagi usługi podaj nazwę, wybierz protokół Dowolny, ustaw wartość * na adresy źródłowe, wybierz tag usługi AzureMonitor i ustaw porty na 80, 443. Ta reguła umożliwia systemowi dostarczanie usługi Azure Monitor z informacjami o kondycji i metrykach.
Utwórz tabelę tras z trasą dla tagu usługi AppServiceManagement z następnym przeskokiem Internetu. Ten wpis tabeli tras jest wymagany, aby uniknąć problemów z routingiem asymetrycznym. Dodaj trasę urządzenia wirtualnego do tabeli tras dla 0.0.0.0/0 z następnym przeskokiem prywatnym adresem IP usługi Azure Firewall. Należy użyć tagu usługi zamiast adresów IP, aby uniknąć konieczności aktualizowania tabeli tras po zmianie adresów zarządzania. Jeśli jednak musisz użyć adresów zarządzania, możesz pobrać plik referencyjny tagu usługi dla chmury, której używasz, z adresów zarządzania środowiska App Service Environment i utworzyć trasy na podstawie tych adresów .
Przypisz utworzoną tabelę tras do podsieci środowiska ASE.
Wdrażanie środowiska ASE za zaporą
Kroki wdrażania środowiska ASE za zaporą są takie same jak konfigurowanie istniejącego środowiska ASE za pomocą usługi Azure Firewall, z wyjątkiem konieczności utworzenia podsieci środowiska ASE, a następnie wykonania poprzednich kroków. Aby utworzyć środowiska ASE w istniejącej podsieci, należy użyć szablonu usługi Resource Manager zgodnie z opisem w dokumencie dotyczącym tworzenia środowiska ASE przy użyciu szablonu usługi Resource Manager.
Ruch aplikacji
Powyższe kroki umożliwiają działanie środowiska ASE bez problemów. Nadal musisz skonfigurować elementy, aby dostosować je do potrzeb aplikacji. Istnieją dwa problemy dotyczące aplikacji w środowisku ASE skonfigurowanym za pomocą usługi Azure Firewall.
- Zależności aplikacji należy dodać do usługi Azure Firewall lub tabeli tras.
- Aby uniknąć problemów z routingiem asymetrycznym, należy utworzyć trasy dla ruchu aplikacji
Jeśli aplikacje mają zależności, należy je dodać do usługi Azure Firewall. Utwórz reguły aplikacji, aby zezwolić na ruch HTTP/HTTPS i reguły sieci dla wszystkich innych elementów.
Gdy znasz zakres adresów, z którego pochodzi ruch żądania aplikacji, możesz dodać go do tabeli tras przypisanej do podsieci środowiska ASE. Jeśli zakres adresów jest duży lub nieokreślony, możesz użyć urządzenia sieciowego, takiego jak usługa Application Gateway, aby nadać jeden adres do dodania do tabeli tras. Aby uzyskać szczegółowe informacje na temat konfigurowania usługi Application Gateway przy użyciu środowiska ASE z wewnętrznym modułem równoważenia obciążenia, przeczytaj Integrowanie środowiska ASE z wewnętrznym modułem równoważenia obciążenia przy użyciu usługi Application Gateway
To użycie usługi Application Gateway jest tylko jednym z przykładów sposobu konfigurowania systemu. Jeśli wykonano tę ścieżkę, musisz dodać trasę do tabeli tras podsieci środowiska ASE, aby ruch odpowiedzi wysyłany do usługi Application Gateway był bezpośrednio tam kierowany.
Rejestrowanie
Usługa Azure Firewall może wysyłać dzienniki do dzienników usługi Azure Storage, usługi Event Hubs lub usługi Azure Monitor. Aby zintegrować aplikację z dowolnym obsługiwanym miejscem docelowym, przejdź do dzienników diagnostycznych portalu > usługi Azure Firewall i włącz dzienniki dla żądanego miejsca docelowego. Jeśli integrujesz się z dziennikami usługi Azure Monitor, możesz zobaczyć rejestrowanie dla dowolnego ruchu wysyłanego do usługi Azure Firewall. Aby wyświetlić blokowany ruch, otwórz dzienniki portalu > obszaru roboczego usługi Log Analytics i wprowadź zapytanie, takie jak
AzureDiagnostics | where msg_s contains "Deny" | where TimeGenerated >= ago(1h)
Zintegrowanie usługi Azure Firewall z dziennikami usługi Azure Monitor jest przydatne podczas pierwszego uzyskiwania aplikacji działającej, gdy nie znasz wszystkich zależności aplikacji. Aby dowiedzieć się więcej na temat dzienników usługi Azure Monitor, zobacz Analizowanie danych dziennika w usłudze Azure Monitor.
Konfigurowanie zapory innej firmy przy użyciu środowiska ASE
Poniższe informacje są wymagane tylko w przypadku skonfigurowania urządzenia zapory innego niż usługa Azure Firewall. W przypadku usługi Azure Firewall zobacz sekcję powyżej.
Podczas wdrażania zapory innej firmy przy użyciu środowiska ASE należy wziąć pod uwagę następujące zależności:
- Usługi obsługujące punkt końcowy usługi należy skonfigurować przy użyciu punktów końcowych usługi.
- Zależności adresów IP dotyczą ruchu innego niż HTTP/S (ruch TCP i UDP)
- Punkty końcowe HTTP/HTTPS nazwy FQDN można umieścić na urządzeniu zapory.
- Wieloznaczne punkty końcowe HTTP/HTTPS są zależnościami, które mogą się różnić w zależności od środowiska ASE na podstawie wielu kwalifikatorów.
- Zależności systemu Linux są problemem tylko w przypadku wdrażania aplikacji systemu Linux w środowisku ASE. Jeśli nie wdrażasz aplikacji systemu Linux w środowisku ASE, te adresy nie muszą być dodawane do zapory.
Zależności obsługujące punkt końcowy usługi
| Punkt końcowy |
|---|
| Azure SQL |
| Azure Storage |
| Azure Event Hubs |
Zależności adresów IP
| Punkt końcowy | Szczegóły |
|---|---|
| *:123 | Kontrola zegara NTP. Ruch jest sprawdzany w wielu punktach końcowych na porcie 123 |
| *:12000 | Ten port jest używany do monitorowania systemu. W przypadku zablokowania niektóre problemy są trudniejsze do klasyfikacji, ale usługa ASE nadal działa |
| 40.77.24.27:80 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
| 40.77.24.27:443 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
| 13.90.249.229:80 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
| 13.90.249.229:443 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
| 104.45.230.69:80 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
| 104.45.230.69:443 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
| 13.82.184.151:80 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
| 13.82.184.151:443 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
W przypadku usługi Azure Firewall automatycznie uzyskujesz następujące ustawienia przy użyciu tagów FQDN.
Zależności HTTP/HTTPS nazwy FQDN
| Punkt końcowy |
|---|
| graph.microsoft.com:443 |
| login.live.com:443 |
| login.windows.com:443 |
| login.windows.net:443 |
| login.microsoftonline.com:443 |
| *.login.microsoftonline.com:443 |
| *.login.microsoft.com:443 |
| client.wns.windows.com:443 |
| definitionupdates.microsoft.com:443 |
| go.microsoft.com:80 |
| go.microsoft.com:443 |
| www.microsoft.com:80 |
| www.microsoft.com:443 |
| wdcpalt.microsoft.com:443 |
| wdcp.microsoft.com:443 |
| ocsp.msocsp.com:443 |
| ocsp.msocsp.com:80 |
| oneocsp.microsoft.com:80 |
| oneocsp.microsoft.com:443 |
| mscrl.microsoft.com:443 |
| mscrl.microsoft.com:80 |
| crl.microsoft.com:443 |
| crl.microsoft.com:80 |
| www.thawte.com:443 |
| crl3.digicert.com:80 |
| ocsp.digicert.com:80 |
| ocsp.digicert.com:443 |
| csc3-2009-2.crl.verisign.com:80 |
| crl.verisign.com:80 |
| ocsp.verisign.com:80 |
| cacerts.digicert.com:80 |
| azperfcounters1.blob.core.windows.net:443 |
| azurewatsonanalysis-prod.core.windows.net:443 |
| global.metrics.nsatc.net:80 |
| global.metrics.nsatc.net:443 |
| az-prod.metrics.nsatc.net:443 |
| antares.metrics.nsatc.net:443 |
| azglobal-black.azglobal.metrics.nsatc.net:443 |
| azglobal-red.azglobal.metrics.nsatc.net:443 |
| antares-black.antares.metrics.nsatc.net:443 |
| antares-red.antares.metrics.nsatc.net:443 |
| prod.microsoftmetrics.com:443 |
| maupdateaccount.blob.core.windows.net:443 |
| clientconfig.passport.net:443 |
| packages.microsoft.com:443 |
| schemas.microsoft.com:80 |
| schemas.microsoft.com:443 |
| management.core.windows.net:443 |
| management.core.windows.net:80 |
| management.azure.com:443 |
| www.msftconnecttest.com:80 |
| shavamanifestcdnprod1.azureedge.net:443 |
| validation-v2.sls.microsoft.com:443 |
| flighting.cp.wd.microsoft.com:443 |
| dmd.metaservices.microsoft.com:80 |
| admin.core.windows.net:443 |
| prod.warmpath.msftcloudes.com:443 |
| prod.warmpath.msftcloudes.com:80 |
| gcs.prod.monitoring.core.windows.net:80 |
| gcs.prod.monitoring.core.windows.net:443 |
| azureprofileruploads.blob.core.windows.net:443 |
| azureprofileruploads2.blob.core.windows.net:443 |
| azureprofileruploads3.blob.core.windows.net:443 |
| azureprofileruploads4.blob.core.windows.net:443 |
| azureprofileruploads5.blob.core.windows.net:443 |
| azperfmerges.blob.core.windows.net:443 |
| azprofileruploads1.blob.core.windows.net:443 |
| azprofileruploads10.blob.core.windows.net:443 |
| azprofileruploads2.blob.core.windows.net:443 |
| azprofileruploads3.blob.core.windows.net:443 |
| azprofileruploads4.blob.core.windows.net:443 |
| azprofileruploads6.blob.core.windows.net:443 |
| azprofileruploads7.blob.core.windows.net:443 |
| azprofileruploads8.blob.core.windows.net:443 |
| azprofileruploads9.blob.core.windows.net:443 |
| azureprofilerfrontdoor.cloudapp.net:443 |
| settings-win.data.microsoft.com:443 |
| maupdateaccount2.blob.core.windows.net:443 |
| maupdateaccount3.blob.core.windows.net:443 |
| dc.services.visualstudio.com:443 |
| gmstorageprodsn1.blob.core.windows.net:443 |
| gmstorageprodsn1.file.core.windows.net:443 |
| gmstorageprodsn1.queue.core.windows.net:443 |
| gmstorageprodsn1.table.core.windows.net:443 |
| rteventservice.trafficmanager.net:443 |
| ctldl.windowsupdate.com:80 |
| ctldl.windowsupdate.com:443 |
| global-dsms.dsms.core.windows.net:443 |
Zależności HTTP/HTTPS z symbolami wieloznacznymi
| Punkt końcowy |
|---|
| gr-prod-*.cloudapp.net:443 |
| gr-prod-*.azurewebsites.windows.net:443 |
| *.management.azure.com:443 |
| *.update.microsoft.com:443 |
| *.windowsupdate.microsoft.com:443 |
| *.identity.azure.net:443 |
| *.ctldl.windowsupdate.com:80 |
| *.ctldl.windowsupdate.com:443 |
| *.prod.microsoftmetrics.com:443 |
| *.dsms.core.windows.net:443 |
| *.prod.warm.ingest.monitor.core.windows.net:443 |
Zależności systemu Linux
| Punkt końcowy |
|---|
| wawsinfraprodbay063.blob.core.windows.net:443 |
| registry-1.docker.io:443 |
| auth.docker.io:443 |
| production.cloudflare.docker.com:443 |
| download.docker.com:443 |
| us.archive.ubuntu.com:80 |
| download.mono-project.com:80 |
| packages.treasuredata.com:80 |
| security.ubuntu.com:80 |
| oryx-cdn.microsoft.io:443 |
| *.cdn.mscr.io:443 |
| *.data.mcr.microsoft.com:443 |
| mcr.microsoft.com:443 |
| *.data.mcr.microsoft.com:443 |
| packages.fluentbit.io:80 |
| packages.fluentbit.io:443 |
| apt-mo.trafficmanager.net:80 |
| apt-mo.trafficmanager.net:443 |
| azure.archive.ubuntu.com:80 |
| azure.archive.ubuntu.com:443 |
| changelogs.ubuntu.com:80 |
| 13.74.252.37:11371 |
| 13.75.127.55:11371 |
| 13.76.190.189:11371 |
| 13.80.10.205:11371 |
| 13.91.48.226:11371 |
| 40.76.35.62:11371 |
| 104.215.95.108:11371 |
Konfigurowanie zapory przy użyciu środowiska ASE w regionach US Gov
W przypadku środowiska ASE w regionach US Gov postępuj zgodnie z instrukcjami w sekcji Konfigurowanie usługi Azure Firewall przy użyciu środowiska ASE tego dokumentu, aby skonfigurować usługę Azure Firewall przy użyciu środowiska ASE.
Jeśli chcesz użyć zapory innej firmy w us Gov, należy wziąć pod uwagę następujące zależności:
- Usługi obsługujące punkt końcowy usługi należy skonfigurować przy użyciu punktów końcowych usługi.
- Punkty końcowe HTTP/HTTPS nazwy FQDN można umieścić na urządzeniu zapory.
- Wieloznaczne punkty końcowe HTTP/HTTPS są zależnościami, które mogą się różnić w zależności od środowiska ASE na podstawie wielu kwalifikatorów.
System Linux nie jest dostępny w regionach US Gov i dlatego nie jest wymieniony jako opcjonalna konfiguracja.
Zależności obsługujące punkt końcowy usługi
| Punkt końcowy |
|---|
| Azure SQL |
| Azure Storage |
| Azure Event Hubs |
Zależności adresów IP
| Punkt końcowy | Szczegóły |
|---|---|
| *:123 | Kontrola zegara NTP. Ruch jest sprawdzany w wielu punktach końcowych na porcie 123 |
| *:12000 | Ten port jest używany do monitorowania systemu. W przypadku zablokowania niektóre problemy są trudniejsze do klasyfikacji, ale usługa ASE nadal działa |
| 40.77.24.27:80 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
| 40.77.24.27:443 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
| 13.90.249.229:80 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
| 13.90.249.229:443 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
| 104.45.230.69:80 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
| 104.45.230.69:443 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
| 13.82.184.151:80 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
| 13.82.184.151:443 | Wymagane do monitorowania i zgłaszania alertów dotyczących problemów ze środowiskaMI ASE |
Zależności HTTP/HTTPS nazwy FQDN
| Punkt końcowy |
|---|
| admin.core.usgovcloudapi.net:80 |
| azperfmerges.blob.core.windows.net:80 |
| azperfmerges.blob.core.windows.net:80 |
| azprofileruploads1.blob.core.windows.net:80 |
| azprofileruploads10.blob.core.windows.net:80 |
| azprofileruploads2.blob.core.windows.net:80 |
| azprofileruploads3.blob.core.windows.net:80 |
| azprofileruploads4.blob.core.windows.net:80 |
| azprofileruploads5.blob.core.windows.net:80 |
| azprofileruploads6.blob.core.windows.net:80 |
| azprofileruploads7.blob.core.windows.net:80 |
| azprofileruploads8.blob.core.windows.net:80 |
| azprofileruploads9.blob.core.windows.net:80 |
| azureprofilerfrontdoor.cloudapp.net:80 |
| azurewatsonanalysis.usgovcloudapp.net:80 |
| cacerts.digicert.com:80 |
| client.wns.windows.com:80 |
| crl.microsoft.com:80 |
| crl.verisign.com:80 |
| crl3.digicert.com:80 |
| csc3-2009-2.crl.verisign.com:80 |
| ctldl.windowsupdate.com:80 |
| definitionupdates.microsoft.com:80 |
| download.windowsupdate.com:80 |
| fairfax.warmpath.usgovcloudapi.net:80 |
| flighting.cp.wd.microsoft.com:80 |
| gcwsprodgmdm2billing.queue.core.usgovcloudapi.net:80 |
| gcwsprodgmdm2billing.table.core.usgovcloudapi.net:80 |
| global.metrics.nsatc.net:80 |
| go.microsoft.com:80 |
| gr-gcws-prod-bd3.usgovcloudapp.net:80 |
| gr-gcws-prod-bn1.usgovcloudapp.net:80 |
| gr-gcws-prod-dd3.usgovcloudapp.net:80 |
| gr-gcws-prod-dm2.usgovcloudapp.net:80 |
| gr-gcws-prod-phx20.usgovcloudapp.net:80 |
| gr-gcws-prod-sn5.usgovcloudapp.net:80 |
| login.live.com:80 |
| login.microsoftonline.us:80 |
| management.core.usgovcloudapi.net:80 |
| management.usgovcloudapi.net:80 |
| maupdateaccountff.blob.core.usgovcloudapi.net:80 |
| mscrl.microsoft.com:80 |
| ocsp.digicert.com:80 |
| ocsp.verisign.com:80 |
| rteventse.trafficmanager.net:80 |
| settings-n.data.microsoft.com:80 |
| shavamafestcdnprod1.azureedge.net:80 |
| shavanifestcdnprod1.azureedge.net:80 |
| v10ortex-win.data.microsoft.com:80 |
| wp.microsoft.com:80 |
| dcpalt.microsoft.com:80 |
| www.microsoft.com:80 |
| www.msftconnecttest.com:80 |
| www.thawte.com:80 |
| admin.core.usgovcloudapi.net:443 |
| azperfmerges.blob.core.windows.net:443 |
| azperfmerges.blob.core.windows.net:443 |
| azprofileruploads1.blob.core.windows.net:443 |
| azprofileruploads10.blob.core.windows.net:443 |
| azprofileruploads2.blob.core.windows.net:443 |
| azprofileruploads3.blob.core.windows.net:443 |
| azprofileruploads4.blob.core.windows.net:443 |
| azprofileruploads5.blob.core.windows.net:443 |
| azprofileruploads6.blob.core.windows.net:443 |
| azprofileruploads7.blob.core.windows.net:443 |
| azprofileruploads8.blob.core.windows.net:443 |
| azprofileruploads9.blob.core.windows.net:443 |
| azureprofilerfrontdoor.cloudapp.net:443 |
| azurewatsonanalysis.usgovcloudapp.net:443 |
| cacerts.digicert.com:443 |
| client.wns.windows.com:443 |
| crl.microsoft.com:443 |
| crl.verisign.com:443 |
| crl3.digicert.com:443 |
| csc3-2009-2.crl.verisign.com:443 |
| ctldl.windowsupdate.com:443 |
| definitionupdates.microsoft.com:443 |
| download.windowsupdate.com:443 |
| fairfax.warmpath.usgovcloudapi.net:443 |
| gcs.monitoring.core.usgovcloudapi.net:443 |
| flighting.cp.wd.microsoft.com:443 |
| gcwsprodgmdm2billing.queue.core.usgovcloudapi.net:443 |
| gcwsprodgmdm2billing.table.core.usgovcloudapi.net:443 |
| global.metrics.nsatc.net:443 |
| prod.microsoftmetrics.com:443 |
| go.microsoft.com:443 |
| gr-gcws-prod-bd3.usgovcloudapp.net:443 |
| gr-gcws-prod-bn1.usgovcloudapp.net:443 |
| gr-gcws-prod-dd3.usgovcloudapp.net:443 |
| gr-gcws-prod-dm2.usgovcloudapp.net:443 |
| gr-gcws-prod-phx20.usgovcloudapp.net:443 |
| gr-gcws-prod-sn5.usgovcloudapp.net:443 |
| login.live.com:443 |
| login.microsoftonline.us:443 |
| management.core.usgovcloudapi.net:443 |
| management.usgovcloudapi.net:443 |
| maupdateaccountff.blob.core.usgovcloudapi.net:443 |
| mscrl.microsoft.com:443 |
| ocsp.digicert.com:443 |
| ocsp.msocsp.com:443 |
| ocsp.msocsp.com:80 |
| oneocsp.microsoft.com:80 |
| oneocsp.microsoft.com:443 |
| ocsp.verisign.com:443 |
| rteventservice.trafficmanager.net:443 |
| settings-win.data.microsoft.com:443 |
| shavamanifestcdnprod1.azureedge.net:443 |
| shavamanifestcdnprod1.azureedge.net:443 |
| v10.vortex-win.data.microsoft.com:443 |
| wdcp.microsoft.com:443 |
| wdcpalt.microsoft.com:443 |
| www.microsoft.com:443 |
| www.msftconnecttest.com:443 |
| www.thawte.com:443 |
| global-dsms.dsms.core.usgovcloudapi.net:443 |
Zależności HTTP/HTTPS z symbolami wieloznacznymi
| Punkt końcowy |
|---|
| *.ctldl.windowsupdate.com:80 |
| *.management.usgovcloudapi.net:80 |
| *.update.microsoft.com:80 |
| *ctldl.windowsupdate.com:443 |
| *.management.usgovcloudapi.net:443 |
| *.update.microsoft.com:443 |
| *.prod.microsoftmetrics.com:443 |
| *.prod.warm.ingest.monitor.core.usgovcloudapi.net:443 |