Tagi usługi sieci wirtualnej
Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci.
Tagi usługi umożliwiają definiowanie mechanizmów kontroli dostępu do sieci w sieciowych grupach zabezpieczeń, usłudze Azure Firewall i trasach zdefiniowanych przez użytkownika. Używaj tagów usług zamiast określonych adresów IP podczas tworzenia reguł zabezpieczeń i tras. Określając nazwę tagu usługi, taką jak ApiManagement, w odpowiednim polu źródłowym lub docelowym reguły zabezpieczeń, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować. Określając nazwę tagu usługi w prefiksie adresu trasy, można kierować ruch przeznaczony dla dowolnego z prefiksów hermetyzowanych przez tag usługi do żądanego typu następnego przeskoku.
Uwaga
Od marca 2022 r. używanie tagów usługi zamiast jawnych prefiksów adresów w trasach zdefiniowanych przez użytkownika nie jest dostępne w wersji zapoznawczej i ogólnie dostępne.
Za pomocą tagów usług można uzyskać izolację sieci i chronić zasoby platformy Azure przed ogólnym Internetem podczas uzyskiwania dostępu do usług platformy Azure, które mają publiczne punkty końcowe. Utwórz reguły sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego, aby blokować ruch do/z Internetu i zezwalać na ruch do/z usługi AzureCloud lub innych dostępnych tagów usług określonych usług platformy Azure.
Dostępne tagi usługi
Poniższa tabela zawiera wszystkie tagi usług dostępne do użycia w regułach sieciowej grupy zabezpieczeń.
Kolumny wskazują, czy tag:
- Jest odpowiedni dla reguł, które obejmują ruch przychodzący lub wychodzący.
- Obsługuje zakres regionalny .
- Można używać w regułach usługi Azure Firewall jako reguły docelowej tylko dla ruchu przychodzącego lub wychodzącego.
Domyślnie tagi usługi odzwierciedlają zakresy dla całej chmury. Niektóre tagi usługi umożliwiają również bardziej szczegółową kontrolę przez ograniczenie odpowiednich zakresów adresów IP do określonego regionu. Na przykład tag usługi Storage reprezentuje usługę Azure Storage dla całej chmury, ale storage.WestUS zawęża zakres tylko do zakresów adresów IP magazynu z regionu WestUS . Poniższa tabela wskazuje, czy każdy tag usługi obsługuje taki zakres regionalny, a kierunek wymieniony dla każdego tagu jest zaleceniem. Na przykład tag AzureCloud może służyć do zezwalania na ruch przychodzący. W większości scenariuszy nie zalecamy zezwalania na ruch ze wszystkich adresów IP platformy Azure, ponieważ adresy IP używane przez innych klientów platformy Azure są uwzględniane jako część tagu usługi.
| Tag | Purpose | Czy można używać ruchu przychodzącego lub wychodzącego? | Czy może być regionalny? | Czy można używać z usługą Azure Firewall? |
|---|---|---|---|---|
| ActionGroup | Grupa akcji. | Przychodzący | Nie. | Tak |
| ApiManagement | Ruch zarządzania dla wdrożeń dedykowanych usługi Azure API Management. Uwaga: ten tag reprezentuje punkt końcowy usługi Azure API Management dla płaszczyzny sterowania na region. Tag umożliwia klientom wykonywanie operacji zarządzania na interfejsach API, operacjach, zasadach, nazwachValues skonfigurowanych w usłudze API Management. |
Przychodzący | Tak | Tak |
| Application Szczegółowe informacje Availability | Dostępność Szczegółowe informacje aplikacji. | Przychodzący | Nie. | Tak |
| Konfiguracja aplikacji | Konfiguracja aplikacji. | Wychodzący | Nie. | Tak |
| AppService | Azure App Service. Ten tag jest zalecany w przypadku reguł zabezpieczeń dla ruchu wychodzącego do aplikacji internetowych i aplikacji funkcji. Uwaga: ten tag nie zawiera adresów IP przypisanych podczas korzystania z protokołu SSL opartego na protokole IP (adresu przypisanego przez aplikację). |
Wychodzące | Tak | Tak |
| AppServiceManagement | Ruch zarządzania wdrożeniami przeznaczonymi dla środowiska App Service Environment. | Obie | Nie. | Tak |
| AutonomousDevelopmentPlatform | Autonomiczna platforma deweloperów | Obie | Tak | Tak |
| AzureActiveDirectory | Microsoft Entra ID. | Wychodzący | Nie. | Tak |
| AzureActiveDirectoryDomainServices | Ruch zarządzania wdrożeniami dedykowanymi usługom Microsoft Entra Domain Services. | Obie | Nie. | Tak |
| AzureAdvancedThreatProtection | Azure Advanced Threat Protection. | Wychodzący | Nie. | Tak |
| AzureArcInfrastructure | Serwery z obsługą usługi Azure Arc, usługa Kubernetes z obsługą usługi Azure Arc i ruch konfiguracji gościa. Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureTrafficManager i AzureResourceManager. |
Wychodzący | Nie. | Tak |
| AzureAttestation | Zaświadczenie platformy Azure. | Wychodzący | Nie. | Tak |
| AzureBackup | Azure Backup. Uwaga: ten tag ma zależność od tagów Storage i AzureActiveDirectory . |
Wychodzący | Nie. | Tak |
| AzureBotService | Azure Bot Service. | Obie | Nie. | Tak |
| AzureCloud | Wszystkie publiczne adresy IP centrum danych. Obejmuje protokół IPv6. | Obie | Tak | Tak |
| AzureCognitiveSearch | Azure AI Search. Ten tag lub adresy IP objęte tym tagiem mogą służyć do udzielania indeksatorom bezpiecznego dostępu do źródeł danych. Aby uzyskać więcej informacji na temat indeksatorów, zobacz dokumentację połączenia indeksatora. Uwaga: adres IP usługi wyszukiwania nie znajduje się na liście zakresów adresów IP dla tego tagu usługi, a także musi zostać dodany do zapory adresów IP źródeł danych. |
Przychodzący | Nie. | Tak |
| Azure Połączenie ors | Ten tag reprezentuje adresy IP używane dla łączników zarządzanych, które tworzą przychodzące wywołania zwrotne elementu webhook do usługi Azure Logic Apps i wywołań wychodzących do odpowiednich usług, na przykład usługi Azure Storage lub Azure Event Hubs. | Obie | Tak | Tak |
| AzureContainerAppsService | Azure Container Apps Service | Obie | Tak | Nie. |
| AzureContainerRegistry | Azure Container Registry. | Wychodzące | Tak | Tak |
| AzureCosmosDB | Azure Cosmos DB. | Wychodzące | Tak | Tak |
| AzureDatabricks | Azure Databricks. | Obie | Nie. | Tak |
| AzureDataExplorerManagement | Zarządzanie usługą Azure Data Explorer. | Przychodzący | Nie. | Tak |
| AzureDataLake | Azure Data Lake Storage Gen1. | Wychodzący | Nie. | Tak |
| AzureDeviceUpdate | Aktualizacja urządzenia dla usługi IoT Hub. | Obie | Nie. | Tak |
| AzureDevSpaces | Azure Dev Spaces. | Wychodzący | Nie. | Tak |
| AzureDevOps | Azure DevOps. | Przychodzący | Tak | Tak |
| AzureDigitalTwins | Azure Digital Twins. Uwaga: ten tag lub adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do punktów końcowych skonfigurowanych dla tras zdarzeń. |
Przychodzący | Nie. | Tak |
| AzureEventGrid | Azure Event Grid. | Obie | Nie. | Tak |
| AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty |
Tag usługi frontonu zawiera adresy IP używane przez klientów do nawiązania połączenia z usługą Front Door. Możesz zastosować tag usługi AzureFrontDoor.Frontend , gdy chcesz kontrolować ruch wychodzący, który może łączyć się z usługami za usługą Azure Front Door. Tag usługi zaplecza zawiera adresy IP używane przez usługę Azure Front Door do uzyskiwania dostępu do źródeł. Ten tag usługi można zastosować podczas konfigurowania zabezpieczeń źródeł. FirstParty to specjalny tag zarezerwowany dla wybranej grupy usługi firmy Microsoft hostowanej w usłudze Azure Front Door. | Obie | Tak | Tak |
| AzureHealthcareAPIs | Adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do usług Azure Health Data Services. | Obie | Nie. | Tak |
| AzureInformationProtection | Azure Information Protection. Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureFrontDoor.Frontend i AzureFrontDoor.FirstParty . |
Wychodzący | Nie. | Tak |
| AzureIoTHub | Azure IoT Hub. | Wychodzące | Tak | Tak |
| AzureKeyVault | Azure Key Vault. Uwaga: ten tag ma zależność od tagu AzureActiveDirectory . |
Wychodzące | Tak | Tak |
| AzureLoadBalancer | Moduł równoważenia obciążenia infrastruktury platformy Azure. Tag przekłada się na wirtualny adres IP hosta (168.63.129.16), z którego pochodzą sondy kondycji platformy Azure. Obejmuje to tylko ruch sondy, a nie rzeczywisty ruch do zasobu zaplecza. Jeśli nie używasz usługi Azure Load Balancer, możesz zastąpić tę regułę. | Obie | Nie | Nie. |
| AzureLoadTestingInstanceManagement | Ten tag usługi jest używany do łączności przychodzącej z usługi Azure Load Testing do wystąpień generowania obciążenia wstrzykiwanych do sieci wirtualnej w scenariuszu testowania obciążenia prywatnego. Uwaga: ten tag ma być używany w usłudze Azure Firewall, sieciowej grupie zabezpieczeń, trasa zdefiniowana przez użytkownika i wszystkie inne bramy na potrzeby łączności przychodzącej. |
Przychodzący | Nie. | Tak |
| AzureMachine Edukacja | Usługa Azure Machine Edukacja. | Obie | Nie. | Tak |
| AzureMachine Edukacja Inference | Ten tag usługi służy do ograniczania ruchu przychodzącego sieci publicznej w scenariuszach wnioskowania zarządzanego przez sieć prywatną. | Przychodzący | Nie. | Tak |
| AzureManagedGrafana | Punkt końcowy wystąpienia zarządzanego narzędzia Grafana platformy Azure. | Wychodzący | Nie. | Tak |
| AzureMonitor | Log Analytics, Application Szczegółowe informacje, AzMon i metryki niestandardowe (punkty końcowe giG). Uwaga: w przypadku usługi Log Analytics wymagany jest również tag magazynu . Jeśli są używane agenci systemu Linux, wymagany jest również tag GuestAndHybridManagement . |
Wychodzący | Nie. | Tak |
| AzureOpenDatasets | Zestawy danych platformy Azure Open. Uwaga: ten tag ma zależność od tagu AzureFrontDoor.Frontend i Storage . |
Wychodzący | Nie. | Tak |
| AzurePlatformDNS | Podstawowa usługa DNS infrastruktury (domyślna). Możesz użyć tego tagu, aby wyłączyć domyślny system DNS. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu. |
Wychodzący | Nie | Nie. |
| AzurePlatformIMDS | Usługa Azure Instance Metadata Service (IMDS), która jest podstawową usługą infrastruktury. Możesz użyć tego tagu, aby wyłączyć domyślną usługę IMDS. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu. |
Wychodzący | Nie | Nie. |
| AzurePlatformLKM | Licencjonowanie systemu Windows lub usługa zarządzania kluczami. Możesz użyć tego tagu, aby wyłączyć ustawienia domyślne licencjonowania. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu. |
Wychodzący | Nie | Nie. |
| AzureResourceManager | W usłudze Azure Resource Manager. | Wychodzący | Nie. | Tak |
| AzureSentinel | Microsoft Sentinel. | Przychodzący | Nie. | Tak |
| AzureSignalR | Azure SignalR. | Wychodzący | Nie. | Tak |
| AzureSiteRecovery | Azure Site Recovery. Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureKeyVault, EventHub,GuestAndHybridManagement i Storage. |
Wychodzący | Nie. | Tak |
| AzureSphere | Ten tag lub adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do usług zabezpieczeń Azure Sphere. | Obie | Nie. | Tak |
| AzureSpringCloud | Zezwalaj na ruch do aplikacji hostowanych w usłudze Azure Spring Apps. | Wychodzący | Nie. | Tak |
| AzureStack | Usługi Azure Stack Bridge. Ten tag reprezentuje punkt końcowy usługi Azure Stack Bridge na region. |
Wychodzący | Nie. | Tak |
| AzureTrafficManager | Adresy IP sondy usługi Azure Traffic Manager. Aby uzyskać więcej informacji na temat adresów IP sondy usługi Traffic Manager, zobacz Często zadawane pytania dotyczące usługi Azure Traffic Manager. |
Przychodzący | Nie. | Tak |
| AzureUpdateDelivery | Aby uzyskać dostęp do Aktualizacje systemu Windows. Uwaga: ten tag zapewnia dostęp do usług metadanych Windows Update. Aby pomyślnie pobrać aktualizacje, należy również włączyć tag usługi AzureFrontDoor.FirstParty i skonfigurować reguły zabezpieczeń ruchu wychodzącego przy użyciu protokołu i portu zdefiniowanego w następujący sposób:
|
Wychodzący | Nie. | Tak |
| AzureWebPubSub | AzureWebPubSub | Obie | Tak | Tak |
| BatchNodeManagement | Ruch zarządzania dla wdrożeń dedykowanych usłudze Azure Batch. | Obie | Tak | Tak |
| ChaosStudio | Azure Chaos Studio. Uwaga: jeśli włączono integrację aplikacji Szczegółowe informacje z agentem chaosu, wymagany jest również tag AzureMonitor. |
Obie | Nie. | Tak |
| CognitiveServicesFrontend | Zakresy adresów dla ruchu dla portali frontonu usług Azure AI. | Obie | Nie. | Tak |
| CognitiveServicesManagement | Zakresy adresów dla ruchu dla usług Azure AI. | Obie | Nie. | Tak |
| DataFactory | Azure Data Factory | Obie | Tak | Tak |
| DataFactoryManagement | Ruch zarządzania dla usługi Azure Data Factory. | Wychodzący | Nie. | Tak |
| Dynamics365ForMarketingEmail | Zakresy adresów dla marketingowej usługi poczty e-mail usługi Dynamics 365. | Obie | Tak | Tak |
| Dynamics365BusinessCentral | Ten tag lub adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu z/do usług Dynamics 365 Business Central Services. | Obie | Nie. | Tak |
| EOPExternalPublishedIPs | Ten tag reprezentuje adresy IP używane w programie PowerShell centrum zabezpieczeń i zgodności. Aby uzyskać więcej informacji, zapoznaj się z modułem Połączenie Security & Compliance Center powerShell using the EXO V2 module (Centrum zabezpieczeń i zgodności przy użyciu modułu EXO V2). | Obie | Nie. | Tak |
| EventHub | Azure Event Hubs. | Wychodzące | Tak | Tak |
| GatewayManager | Ruch zarządzania dla wdrożeń dedykowanych usługom Azure VPN Gateway i Application Gateway. | Przychodzący | Nie | Nie. |
| GuestAndHybridManagement | Usługa Azure Automation i konfiguracja gościa. | Wychodzący | Nie. | Tak |
| HDInsight | Azure HDInsight. | Przychodzący | Tak | Tak |
| Internet | Przestrzeń adresowa IP, która znajduje się poza siecią wirtualną i jest osiągalna przez publiczny Internet. Zakres adresów obejmuje publiczną przestrzeń adresów IP należącą do platformy Azure. |
Obie | Nie | Nie. |
| KustoAnalytics | Kusto Analytics. | Obie | Nie | Nie. |
| LogicApps | Usługa Logic Apps. | Obie | Nie. | Tak |
| LogicAppsManagement | Ruch zarządzania dla usługi Logic Apps. | Przychodzący | Nie. | Tak |
| Marketplace | Reprezentuje cały pakiet usług platformy Azure "Komercyjna platforma handlowa". | Obie | Nie. | Tak |
| M365ManagementActivityApi | Interfejs API działań usługi Office 365 Management zawiera informacje o różnych akcjach użytkownika, administratora, systemie i zasadach oraz zdarzeniach z dzienników aktywności usługi Office 365 i firmy Microsoft Entra. Klienci i partnerzy mogą korzystać z tych informacji, aby tworzyć nowe lub ulepszać istniejące rozwiązania do obsługi operacji, zabezpieczeń i monitorowania zgodności dla przedsiębiorstwa. Uwaga: ten tag ma zależność od tagu AzureActiveDirectory . |
Wychodzące | Tak | Tak |
| M365ManagementActivityApiWebhook | Powiadomienia są wysyłane do skonfigurowanego elementu webhook dla subskrypcji, ponieważ nowa zawartość stanie się dostępna. | Przychodzący | Tak | Tak |
| MicrosoftAzureFluidRelay | Ten tag reprezentuje adresy IP używane dla usługi Azure Microsoft Fluid Relay Server. Uwaga: ten tag ma zależność od tagu AzureFrontDoor.Frontend . | Wychodzący | Nie. | Tak |
| MicrosoftCloudAppSecurity | Microsoft Defender dla Chmury Apps. | Wychodzący | Nie. | Tak |
| MicrosoftContainerRegistry | Rejestr kontenerów dla obrazów kontenerów firmy Microsoft. Uwaga: ten tag ma zależność od tagu AzureFrontDoor.FirstParty . |
Wychodzące | Tak | Tak |
| MicrosoftDefenderForEndpoint | Usługa Microsoft Defender dla punktu końcowego. Ten tag usługi jest dostępny w publicznej wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Dołączanie urządzeń przy użyciu uproszczonej łączności dla Ochrona punktu końcowego w usłudze Microsoft Defender | Obie | Nie. | Tak |
| MicrosoftPurviewPolicyDistribution | Ten tag powinien być używany w regułach zabezpieczeń ruchu wychodzącego dla źródła danych (np. wystąpienia zarządzanego usługi Azure SQL) skonfigurowanego przy użyciu prywatnego punktu końcowego do pobierania zasad z usługi Microsoft Purview | Wychodzący | Nie | Nie. |
| Power BI | Usługi zaplecza i punkty końcowe interfejsu API platformy Power BI. Uwaga: w tej chwili nie zawiera punktów końcowych frontonu (np. app.powerbi.com). Dostęp do punktów końcowych frontonu powinien być udostępniany za pośrednictwem tagu AzureCloud (ruch wychodzący, HTTPS, może być regionalny). |
Obie | Nie. | Tak |
| PowerPlatformInfra | Ten tag reprezentuje adresy IP używane przez infrastrukturę do hostowania usług platformy Power Platform. | Obie | Tak | Tak |
| PowerPlatformPlex | Ten tag reprezentuje adresy IP używane przez infrastrukturę do hostowania wykonywania rozszerzenia platformy Power Platform w imieniu klienta. | Obie | Tak | Tak |
| PowerQueryOnline | Power Query Online. | Obie | Nie. | Tak |
| Scuba | Łączniki danych dla produktów zabezpieczeń firmy Microsoft (Sentinel, Defender itp.). | Przychodzący | Nie | Nie. |
| SerialConsole | Ogranicz dostęp do kont magazynu diagnostyki rozruchu tylko z tagu usługi konsoli szeregowej | Przychodzący | Nie. | Tak |
| ServiceBus | Ruch usługi Azure Service Bus korzystający z warstwy usługi Premium. | Wychodzące | Tak | Tak |
| ServiceFabric | Azure Service Fabric. Uwaga: ten tag reprezentuje punkt końcowy usługi Service Fabric dla płaszczyzny sterowania na region. Dzięki temu klienci mogą wykonywać operacje zarządzania dla swoich klastrów usługi Service Fabric z punktu końcowego sieci wirtualnej. (Na przykład https:// westus.servicefabric.azure.com). |
Obie | Nie. | Tak |
| Sql | Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Database for MariaDB i Azure Synapse Analytics. Uwaga: ten tag reprezentuje usługę, ale nie określone wystąpienia usługi. Na przykład tag reprezentuje usługę Azure SQL Database, ale nie konkretną bazę danych lub serwer SQL. Ten tag nie ma zastosowania do wystąpienia zarządzanego SQL. |
Wychodzące | Tak | Tak |
| SqlManagement | Ruch zarządzania dla wdrożeń dedykowanych SQL. | Obie | Nie. | Tak |
| Storage | Azure Storage. Uwaga: ten tag reprezentuje usługę, ale nie określone wystąpienia usługi. Na przykład tag reprezentuje usługę Azure Storage, ale nie konkretne konto usługi Azure Storage. |
Wychodzące | Tak | Tak |
| StorageSyncService | Usługa synchronizacji magazynu. | Obie | Nie. | Tak |
| Tryb StorageMover | Magazyn Mover. | Wychodzące | Tak | Tak |
| Windows Administracja Center | Zezwól usłudze zaplecza Centrum Administracja Windows na komunikację z instalacją centrum windows Administracja Center klientów. | Wychodzący | Nie. | Tak |
| WindowsVirtualDesktop | Azure Virtual Desktop (dawniej Windows Virtual Desktop). | Obie | Nie. | Tak |
| VideoIndexer | Video Indexer. Służy do umożliwienia klientom otwierania sieciowej grupy zabezpieczeń do usługi Video Indexer i odbierania wywołań zwrotnych do swojej usługi. | Obie | Nie. | Tak |
| Sieć wirtualna | Przestrzeń adresowa sieci wirtualnej (wszystkie zakresy adresów IP zdefiniowane dla sieci wirtualnej), wszystkie połączone lokalne przestrzenie adresowe, równorzędne sieci wirtualne, sieci wirtualne połączone z bramą sieci wirtualnej, wirtualny adres IP hosta i prefiksy adresów używane na trasach zdefiniowanych przez użytkownika. Ten tag może również zawierać trasy domyślne. | Obie | Nie | Nr |
Uwaga
W przypadku używania tagów usługi z usługą Azure Firewall można tworzyć tylko reguły docelowe dla ruchu przychodzącego i wychodzącego. Reguły źródłowe nie są obsługiwane. Aby uzyskać więcej informacji, zobacz dokumentację tagów usługi Azure Firewall.
Tagi usług platformy Azure oznaczają prefiksy adresów z używanej chmury. Na przykład podstawowe zakresy adresów IP, które odpowiadają wartości tagu Sql w chmurze publicznej platformy Azure, będą się różnić od podstawowych zakresów platformy Microsoft Azure obsługiwanych przez chmurę 21Vianet.
W przypadku zaimplementowania punktu końcowego usługi dla sieci wirtualnej dla usługi takiej jak usługa Azure Storage lub Azure SQL Database, platforma Azure dodaje trasę do podsieci sieci wirtualnej dla usługi. Prefiksy adresów w trasie są tymi samymi prefiksami adresów lub zakresami CIDR, co te z odpowiedniego tagu usługi.
Tagi obsługiwane w klasycznym modelu wdrażania
Klasyczny model wdrażania (przed usługą Azure Resource Manager) obsługuje niewielki podzbiór tagów wymienionych w poprzedniej tabeli. Tagi w klasycznym modelu wdrażania są napisane inaczej, jak pokazano w poniższej tabeli:
| Tag usługi Resource Manager | Odpowiadający tag w klasycznym modelu wdrażania |
|---|---|
| AzureLoadBalancer | AZURE_LOADBALANCER |
| Internet | INTERNET |
| Sieć wirtualna | VIRTUAL_NETWORK |
Tagi nieobsługiwane dla tras zdefiniowanych przez użytkownika (UDR)
Poniżej znajduje się lista tagów, które nie są obecnie obsługiwane do użycia z trasami zdefiniowanymi przez użytkownika (UDR).
AzurePlatformDNS
AzurePlatformIMDS
AzurePlatformLKM
VirtualNetwork
AzureLoadBalancer
Internet
Tagi usług w środowisku lokalnym
Możesz uzyskać bieżący tag usługi i informacje o zakresie, które mają być uwzględnione w ramach lokalnych konfiguracji zapory. Te informacje są bieżącą listą zakresów adresów IP odpowiadających każdemu tagowi usługi. Informacje można uzyskać programowo lub za pośrednictwem pliku JSON, zgodnie z opisem w poniższych sekcjach.
Korzystanie z interfejsu API odnajdywania tagów usługi
Można programowo pobrać bieżącą listę tagów usługi wraz ze szczegółami zakresu adresów IP:
Aby na przykład pobrać wszystkie prefiksy tagu usługi magazynu, można użyć następujących poleceń cmdlet programu PowerShell:
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
Uwaga
- Dane interfejsu API reprezentują te tagi, które mogą być używane z regułami sieciowej grupy zabezpieczeń w Twoim regionie. Użyj danych interfejsu API jako źródła prawdy dla dostępnych tagów usługi, ponieważ może to być inne niż plik do pobrania JSON.
- Propagacja nowych danych tagu usługi we wszystkich regionach świadczenia usługi w wynikach interfejsu API trwa do 4 tygodni. W związku z tym procesem wyniki danych interfejsu API mogą nie być zsynchronizowane z plikiem JSON do pobrania, ponieważ dane interfejsu API reprezentują podzbiór tagów aktualnie w pliku JSON do pobrania.
- Musisz być uwierzytelniony i mieć rolę z uprawnieniami do odczytu dla bieżącej subskrypcji.
Odnajdywanie tagów usług przy użyciu plików JSON do pobrania
Możesz pobrać pliki JSON zawierające bieżącą listę tagów usług wraz ze szczegółami zakresu adresów IP. Te listy są aktualizowane i publikowane co tydzień. Lokalizacje dla każdej chmury to:
Zakresy adresów IP w tych plikach znajdują się w notacji CIDR.
Następujące tagi usługi AzureCloud nie mają nazw regionalnych sformatowanych zgodnie ze schematem normalnym:
AzureCloud.centralfrance (FranceCentral)
AzureCloud.southfrance (FranceSouth)
AzureCloud.germanywc (GermanyWestCentral)
AzureCloud.germanyn (NiemcyNorth)
AzureCloud.norwaye (NorwegiaEast)
AzureCloud.norwayw (NorwegiaWest)
AzureCloud.switzerlandn (SzwajcariaNorth)
AzureCloud.switzerlandw (SzwajcariaWest)
AzureCloud.usstagee (EastUSSTG)
AzureCloud.usstagec (SouthCentralUSSTG)
AzureCloud.brazilse (BrazilSoutheast)
Napiwek
Aktualizacje z jednej publikacji do następnej można wykryć, zauważając zwiększone wartości changeNumber w pliku JSON. Każda podsekcja (na przykład Storage.WestUS) ma własną wartość changeNumber , która jest zwiększana w miarę występowania zmian. Najwyższy poziom zmianyNumber pliku jest zwiększany po zmianie dowolnego z podsekcji.
Aby zapoznać się z przykładami analizowania informacji o tagu usługi (na przykład uzyskiwania wszystkich zakresów adresów dla usługi Storage w usłudze WestUS), zobacz dokumentację interfejsu API odnajdywania tagów usługi w programie PowerShell .
Po dodaniu nowych adresów IP do tagów usług nie będą one używane na platformie Azure przez co najmniej tydzień. Dzięki temu można zaktualizować wszystkie systemy, które mogą wymagać śledzenia adresów IP skojarzonych z tagami usług.
Następne kroki
- Dowiedz się, jak utworzyć sieciową grupę zabezpieczeń.