Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci.
Ważne
Chociaż tagi usługi upraszczają możliwość włączania list kontroli dostępu opartej na protokole IP (ACL), same tagi usług nie są wystarczające do zabezpieczenia ruchu bez uwzględniania charakteru usługi i wysyłanego ruchu. Aby uzyskać więcej informacji na temat list ACL opartych na adresach IP, zobacz Co to jest lista kontroli dostępu oparta na adresach IP (ACL)?.
Dodatkowe informacje o charakterze ruchu można znaleźć w dalszej części tego artykułu dla każdej usługi i ich tagu. Ważne jest, aby upewnić się, że znasz ruch dozwolony podczas korzystania z tagów usług dla list kontrolnych dostępu (ACL) opartych na adresach IP. Rozważ dodanie poziomów zabezpieczeń w celu ochrony środowiska.
Tagi usługi umożliwiają definiowanie mechanizmów kontroli dostępu do sieci w sieciowych grupach zabezpieczeń, usłudze Azure Firewall i trasach zdefiniowanych przez użytkownika. Używaj tagów usług zamiast określonych adresów IP podczas tworzenia reguł zabezpieczeń i tras. Określając nazwę tagu usługi, taką jak ApiManagement, w odpowiednim polu źródłowym lub docelowym reguły zabezpieczeń, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować. Określając nazwę tagu usługi w prefiksie adresu trasy, można kierować ruch przeznaczony dla dowolnego z prefiksów objętych przez znacznik usługi do określonego typu następnego przeskoku.
Za pomocą tagów usług można uzyskać izolację sieci i chronić zasoby platformy Azure przed ogólnym Internetem podczas uzyskiwania dostępu do usług platformy Azure, które mają publiczne punkty końcowe. Utwórz reguły sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego, aby blokować ruch do/z Internetu i zezwalać na ruch do/z usługi AzureCloud lub innych dostępnych tagów usług określonych usług platformy Azure.
Dostępne tagi usługi
Poniższa tabela zawiera wszystkie tagi usług dostępne do użycia w regułach sieciowej grupy zabezpieczeń.
Kolumny wskazują, czy dany tag:
- Jest odpowiedni dla reguł, które obejmują ruch przychodzący lub wychodzący.
- Obsługuje zakres regionalny .
- Można używać w regułach usługi Azure Firewall jako reguły docelowej tylko dla ruchu przychodzącego lub wychodzącego.
Domyślnie tagi usługi odzwierciedlają zakresy dla całej chmury. Niektóre tagi usługi umożliwiają również bardziej szczegółową kontrolę przez ograniczenie odpowiednich zakresów adresów IP do określonego regionu. Na przykład tag Storage reprezentuje Azure Storage dla całej chmury, ale Storage.WestUS ogranicza się tylko do zakresów adresów IP storage z regionu WestUS. Poniższa tabela wskazuje, czy każdy tag usługi obsługuje taki zakres regionalny, a kierunek wymieniony dla każdego tagu jest zaleceniem. Na przykład tag AzureCloud może służyć do zezwalania na ruch przychodzący. W większości scenariuszy nie zalecamy zezwalania na ruch ze wszystkich adresów IP platformy Azure, ponieważ adresy IP używane przez innych klientów platformy Azure są uwzględniane jako część tagu usługi.
| Etykieta | Cel | Czy można używać ruchu przychodzącego albo wychodzącego? | Czy może być regionalny? | Czy można używać z usługą Azure Firewall? |
|---|---|---|---|---|
| ActionGroup | Grupa akcji. | Przychodzący | Nie. | Tak |
| ApiManagement | Zarządzanie ruchem dla dedykowanych wdrożeń Azure API Management. Uwaga: ten tag reprezentuje punkt końcowy usługi Azure API Management dla płaszczyzny sterowania w każdym regionie. Znacznik umożliwia użytkownikom wykonywanie operacji zarządzania na interfejsach API, operacjach, zasadach, wartościach nazw skonfigurowanych w usłudze Zarządzania API. |
Przychodzący | Tak | Tak |
| ApplicationInsightsDostępność | Dostępność usługi Application Insights. | Przychodzący | Nie. | Tak |
| Konfiguracja aplikacji | Konfiguracja aplikacji. | Wychodzący | Nie. | Tak |
| AppService | Azure App Service. Ten tag jest zalecany w przypadku reguł zabezpieczeń dla ruchu wychodzącego do aplikacji webowych i aplikacji funkcjonalnych. Uwaga: ten tag nie zawiera adresów IP przypisanych podczas korzystania z protokołu SSL opartego na protokole IP (adresu przypisanego przez aplikację). |
Wychodzący | Tak | Tak |
| AppServiceManagement | Zarządzanie ruchem dla wdrożeń dedykowanych dla środowiska App Service Environment. | Oba | Nie. | Tak |
| AzureActiveDirectory (usługa AzureActiveDirectory) | Microsoft Entra ID Services. Ten tag obejmuje logowanie, program MS Graph i inne usługi Entra, które nie zostały specjalnie wymienione w tej tabeli | Wychodzący | Nie. | Tak |
| AzureActiveDirectoryDomainServices | Zarządzanie ruchem dla wdrożeń dedykowanych Microsoft Entra Domain Services. | Oba | Nie. | Tak |
| AzureAdvancedThreatProtection | Microsoft Defender for Identity. | Wychodzący | Nie. | Tak |
| AzureArcInfrastructure | Serwery z obsługą Azure Arc, Kubernetes z obsługą Azure Arc i ruch dotyczący konfiguracji gościa. Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureTrafficManager i AzureResourceManager. |
Wychodzący | Nie. | Tak |
| AzureAttestation | Zaświadczenie platformy Azure. | Wychodzący | Nie. | Tak |
| AzureBackup | Azure Backup. Uwaga: ten tag ma zależność od tagów Storage i AzureActiveDirectory . |
Wychodzący | Nie. | Tak |
| AzureBotService | Azure Bot Service. | Oba | Nie. | Tak |
| AzureCloud | Wszystkie publiczne adresy IP centrum danych. Ten tag nie zawiera protokołu IPv6. | Oba | Tak | Tak |
| AzureCognitiveSearch | Azure AI Search. Ten tag określa zakresy adresów IP wielodostępnych środowisk wykonawczych używanych przez usługę wyszukiwania do indeksowania opartego na indeksatorze. Uwaga: adres IP samej usługi wyszukiwania nie jest objęty tym tagiem usługi. W konfiguracji zapory zasobu platformy Azure należy określić tag usługi, a także określony adres IP samej usługi wyszukiwania. |
Przychodzący | Nie. | Tak |
| AzureConnectors | Ten znacznik reprezentuje adresy IP używane dla zarządzanych łączników, które obsługują przychodzące wywołania zwrotne webhook do usługi Azure Logic Apps oraz wywołania wychodzące do odpowiednich usług, na przykład Azure Storage lub Azure Event Hubs. | Oba | Tak | Tak |
| AzureContainerRegistry | Azure Container Registry. | Wychodzący | Tak | Tak |
| AzureCosmosDB | Azure Cosmos DB. | Wychodzący | Tak | Tak |
| AzureDatabricks | Azure Databricks. | Oba | Nie. | Tak |
| AzureDataExplorerManagement | Zarządzanie usługą Azure Data Explorer. | Przychodzący | Nie. | Tak |
| AzureDeviceUpdate | Aktualizacja urządzenia dla usługi IoT Hub. | Oba | Nie. | Tak |
| AzureDevOps | Azure DevOps. | Przychodzący | Tak | Tak |
| AzureDigitalTwins | Azure Digital Twins. Uwaga: ten tag lub adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do punktów końcowych skonfigurowanych dla tras zdarzeń. |
Przychodzący | Nie. | Tak |
| AzureEventGrid | Azure Event Grid. | Oba | Nie. | Tak |
|
AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty AzureFrontDoor.MicrosoftSecurity |
Tag usługi Frontend zawiera adresy IP używane przez klientów do nawiązania połączenia z Front Door. Możesz zastosować tag usługi AzureFrontDoor.Frontend, gdy chcesz kontrolować ruch wychodzący, który może łączyć się z usługami za pomocą Azure Front Door. Tag usługi Backend zawiera adresy IP, z których korzysta Azure Front Door, aby uzyskać dostęp do Twoich źródeł. Ten tag usługi można zastosować podczas konfigurowania zabezpieczeń źródeł. FirstParty i MicrosoftSecurity to specjalne tagi zarezerwowane dla wybranej grupy usług firmy Microsoft hostowanych w usłudze Azure Front Door. Tag usługi FirstParty jest dostępny tylko w chmurze publicznej, podczas gdy inne tagi usługi są dostępne w chmurach publicznych i rządowych. | Oba | Tak | Tak |
| AzureHealthcareAPIs | Adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do usług Azure Health Data Services. | Oba | Nie. | Tak |
| AzureInformationProtection | Azure Information Protection. Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureFrontDoor.Frontend i AzureFrontDoor.FirstParty . |
Wychodzący | Nie. | Tak |
| AzureIoTHub | Azure IoT Hub. | Wychodzący | Tak | Tak |
| AzureKeyVault | Azure Key Vault. Uwaga: ten tag ma zależność od tagu AzureActiveDirectory . |
Wychodzący | Tak | Tak |
| AzureLoadBalancer | Moduł równoważenia obciążenia infrastruktury platformy Azure. Tag przekłada się na wirtualny adres IP hosta (168.63.129.16), z którego pochodzą sondy kondycji platformy Azure. Obejmuje to tylko ruch sondy, a nie rzeczywisty ruch do zasobu w tle. Jeśli nie używasz usługi Azure Load Balancer, możesz zastąpić tę regułę. | Oba | Nie. | Nie. |
| AzureMachineLearningInference | Ten tag usługi służy do ograniczania ruchu przychodzącego z sieci publicznej w scenariuszach wnioskowania zarządzanych w ramach sieci prywatnej. | Przychodzący | Nie. | Tak |
| AzureManagedGrafana | Punkt końcowy zarządzanej instancji Grafana na platformie Azure. | Wychodzący | Nie. | Tak |
| AzureMonitor | Log Analytics, Application Insights, Obszar roboczy Azure Monitor, AzMon i metryki niestandardowe (punkty końcowe GiG). Uwaga: w przypadku agenta usługi Azure Monitor wymagany jest również element AzureResourceManager . W przypadku agenta Log Analytics wymagany jest również tag Storage. Jeśli są używane agenci usługi Log Analytics systemu Linux, wymagany jest również tag GuestAndHybridManagement . (Starsza wersja Agent usługi Log Analytics została przestarzała od 31 sierpnia 2024 r.) |
Wychodzący | Nie. | Tak |
| AzureOpenDatasets | Zestawy danych platformy Azure Open. Uwaga: ten tag ma zależność od tagu AzureFrontDoor.Frontend i Storage . |
Wychodzący | Nie. | Tak |
| AzurePlatformDNS | Domyślna usługa DNS podstawowej infrastruktury. Możesz użyć tego tagu, aby wyłączyć domyślny system DNS. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu. |
Wychodzący | Nie. | Nie. |
| AzurePlatformIMDS | Usługa Azure Instance Metadata Service (IMDS), która jest podstawową usługą infrastruktury. Możesz użyć tego tagu, aby wyłączyć domyślną usługę IMDS. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu. |
Wychodzący | Nie. | Nie. |
| AzurePlatformLKM | Licencjonowanie systemu Windows lub usługa zarządzania kluczami. Możesz użyć tego tagu, aby wyłączyć ustawienia domyślne licencjonowania. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu. |
Wychodzący | Nie. | Nie. |
| AzureResourceManager | Azure Resource Manager. | Wychodzący | Nie. | Tak |
| AzureSentinel | Microsoft Sentinel. | Przychodzący | Nie. | Tak |
| AzureSignalR | Azure SignalR. | Wychodzący | Nie. | Tak |
| AzureSiteRecovery | Azure Site Recovery. Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureKeyVault, EventHub,GuestAndHybridManagement i Storage. |
Wychodzący | Nie. | Tak |
| AzureSphere | Ten tag lub adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do usług zabezpieczeń Azure Sphere. | Oba | Nie. | Tak |
| AzureSpringCloud | Zezwalaj na ruch do aplikacji hostowanych w usłudze Azure Spring Apps. | Wychodzący | Nie. | Tak |
| AzureStack | Usługi Azure Stack Bridge. Ten tag reprezentuje punkt końcowy usługi Azure Stack Bridge na region. |
Wychodzący | Nie. | Tak |
| AzureTrafficManager | Adresy IP sond usługi Traffic Manager Azure. Aby uzyskać więcej informacji na temat adresów IP sondy usługi Traffic Manager, zobacz Często zadawane pytania dotyczące usługi Azure Traffic Manager. |
Przychodzący | Nie. | Tak |
| AzureUpdateDelivery | Tag usługi Azure Update Delivery używany do uzyskiwania dostępu do aktualizacji systemu Windows jest przestarzały.
Zaleca się, aby klienci nie polegali na tym tagu usługi i dla klientów, którzy już go używają, zaleca się migrację do jednej z następujących opcji: Skonfiguruj Azure Firewall dla urządzeń z systemem Windows 10/11 zgodnie z dokumentacją: • Zarządzanie punktami końcowymi połączeń dla systemu Windows 11 Enterprise • Zarządzanie punktami końcowymi połączeń dla systemu Windows 10 Enterprise w wersji 21H2 Wdrażanie usługi Windows Server Update Services (WSUS) Zaplanuj wdrożenie aktualizacji maszyn wirtualnych z systemem Windows na platformie Azure a następnie przejdź do kroku 2: Skonfiguruj WSUS Aby uzyskać więcej informacji, zobacz Nadchodzące zmiany w tagu usługi Azure Update Delivery |
Wychodzący | Nie. | Tak |
| AzureWebPubSub | AzureWebPubSub | Oba | Tak | Tak |
| BatchNodeManagement | Zarządzanie ruchem sieciowym dla wdrożeń dedykowanych usłudze Azure Batch. | Oba | Tak | Tak |
| ChaosStudio | Azure Chaos Studio. Uwaga: jeśli włączono integrację usługi Application Insights z agentem chaosu, wymagany jest również tag AzureMonitor. |
Oba | Nie. | Tak |
| CognitiveServicesFrontend | Zakresy adresów dla ruchu sieciowego portali frontendowych usług Azure AI. | Oba | Nie. | Tak |
| CognitiveServicesManagement | Zakresy adresów ruchu dla usług Azure AI. | Oba | Nie. | Tak |
| DataFactory | Azure Data Factory | Oba | Tak | Tak |
| DataFactoryManagement | Zarządzanie ruchem dla Azure Data Factory. | Wychodzący | Nie. | Tak |
| Dynamics365ForMarketingEmail | Zakresy adresów dla usługi e-mail marketingu Dynamics 365. | Oba | Tak | Tak |
| Dynamics365BusinessCentral | Ten tag lub adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu z/do usług Dynamics 365 Business Central Services. | Oba | Nie. | Tak |
| EOPExternalPublishedIPs | Ten tag reprezentuje adresy IP używane w programie PowerShell centrum zabezpieczeń i zgodności. Aby uzyskać więcej informacji, zapoznaj się z modułem Connect to Security & Compliance Center PowerShell using the EXO V2 module (Nawiązywanie połączenia z centrum zabezpieczeń i zgodności przy użyciu modułu EXO V2). | Oba | Nie. | Tak |
| EventHub | Azure Event Hubs. | Wychodzący | Tak | Tak |
| GatewayManager | Zarządzanie ruchem dla wdrożeń dedykowanych usługom Azure VPN Gateway i Application Gateway. | Przychodzący | Nie. | Nie. |
| GuestAndHybridManagement | Usługa Azure Automation i Konfiguracja Gościa. | Wychodzący | Nie. | Tak |
| HDInsight | Azure HDInsight. | Przychodzący | Tak | Tak |
| Internet | Przestrzeń adresowa IP, która znajduje się poza siecią wirtualną i jest osiągalna przez publiczny Internet. Zakres adresów obejmuje publiczną przestrzeń adresów IP należącą do platformy Azure. |
Oba | Nie. | Nie. |
| KustoAnalytics | Kusto Analytics. | Oba | Nie. | Nie. |
| LogicApps | Usługa Logic Apps. | Oba | Nie. | Tak |
| LogicAppsManagement | Ruch administracyjny dla usługi Logic Apps. | Przychodzący | Nie. | Tak |
| M365ManagementActivityApi | Interfejs API działań usługi Office 365 Management zawiera informacje o różnych akcjach użytkownika, administratora, systemie i zasadach oraz zdarzeniach z dzienników aktywności usługi Office 365 i firmy Microsoft Entra. Klienci i partnerzy mogą korzystać z tych informacji, aby tworzyć nowe lub ulepszać istniejące rozwiązania do obsługi operacji, zabezpieczeń i monitorowania zgodności dla przedsiębiorstwa. Uwaga: ten tag ma zależność od tagu AzureActiveDirectory . |
Wychodzący | Tak | Tak |
| M365ManagementActivityApiWebhook | Powiadomienia są wysyłane do skonfigurowanego webhooka dla subskrypcji, gdy nowa zawartość staje się dostępna. | Przychodzący | Tak | Tak |
| MicrosoftAzureFluidRelay | Ten tag reprezentuje adresy IP używane dla usługi Azure Microsoft Fluid Relay Server.
Uwaga: ten tag ma zależność od tagu AzureFrontDoor.Frontend. |
Oba | Nie. | Tak |
| MicrosoftCloudAppSecurity | Microsoft Defender dla Aplikacji w Chmurze. | Oba | Nie. | Tak |
| MicrosoftDefenderForEndpoint | Podstawowe usługi Microsoft Defender for Endpoint. Uwaga: aby można było używać tego tagu usługi, należy dołączyć urządzenia z usprawnionym połączeniem i spełnić wymagania. Defender for Endpoint/Server wymaga dodatkowych znaczników usług, takich jak OneDSCollector, aby obsługiwać wszystkie funkcje. Aby uzyskać więcej informacji, zobacz Dołączanie urządzeń przy użyciu uproszczonej łączności dla Microsoft Defender for Endpoint |
Oba | Nie. | Tak |
| Power BI | Usługi backendowe platformy Power BI oraz punkty końcowe interfejsu API. |
Oba | Tak | Tak |
| PowerPlatformInfra | Ten tag reprezentuje adresy IP używane przez infrastrukturę do hostowania usług platformy Power Platform. | Oba | Tak | Tak |
| PowerPlatformPlex | Ten tag reprezentuje adresy IP używane przez infrastrukturę do hostowania wykonywania rozszerzenia platformy Power Platform w imieniu klienta. | Oba | Tak | Tak |
| PowerQueryOnline | Power Query Online. | Oba | Nie. | Tak |
| Scuba | Łączniki danych dla produktów zabezpieczeń firmy Microsoft (Sentinel, Defender itp.). | Przychodzący | Nie. | Nie. |
| SerialConsole | Ogranicz dostęp do kont magazynowych diagnostyki rozruchu wyłącznie poprzez tag usługi konsoli szeregowej. | Przychodzący | Nie. | Tak |
| ServiceBus | Ruch usługi Azure Service Bus. | Wychodzący | Tak | Tak |
| ServiceFabric | Azure Service Fabric. Uwaga: ten tag reprezentuje punkt końcowy usługi Service Fabric dla płaszczyzny kontrolnej w danym regionie. Dzięki temu klienci mogą wykonywać operacje zarządzania dla swoich klastrów usługi Service Fabric z punktu końcowego sieci wirtualnej. (Na przykład https:// westus.servicefabric.azure.com). |
Oba | Nie. | Tak |
| SQL | Usługi Azure SQL Database, Azure Database for MariaDB i Azure Synapse Analytics. Uwaga: ten tag reprezentuje usługę, ale nie określone wystąpienia usługi. Na przykład tag reprezentuje usługę Azure SQL Database, ale nie konkretną bazę danych lub serwer SQL. Ten tag nie ma zastosowania do wystąpienia zarządzanego SQL. |
Wychodzący | Tak | Tak |
| SqlManagement | Ruch związany z zarządzaniem dla instalacji dedykowanych SQL. | Oba | Nie. | Tak |
| Przechowywanie | Azure Storage. Uwaga: ten tag reprezentuje usługę, ale nie określone wystąpienia usługi. Na przykład tag reprezentuje usługę Azure Storage, ale nie konkretne konto usługi Azure Storage. |
Wychodzący | Tak | Tak |
| StorageSyncService | Usługa synchronizacji magazynu. | Oba | Nie. | Tak |
| Tryb StorageMover | Przenośnik Zasobów. | Wychodzący | Tak | Tak |
| WindowsAdminCenter | Zezwól usłudze zaplecza Centrum administracyjnego systemu Windows na komunikację z instalacjami Centrum Administracyjnego systemu Windows u klientów. | Wychodzący | Nie. | Tak |
| WindowsVirtualDesktop | Azure Virtual Desktop (dawniej Windows Virtual Desktop). | Oba | Nie. | Tak |
| VideoIndexer | Video Indexer.
Służy do umożliwienia klientom otwierania swojej sieciowej grupy zabezpieczeń na usługę Video Indexer i odbierania wywołań zwrotnych do swojej usługi. |
Oba | Nie. | Tak |
| Sieć wirtualna | Przestrzeń adresowa sieci wirtualnej (wszystkie zakresy adresów IP zdefiniowane dla sieci wirtualnej), wszystkie połączone lokalne przestrzenie adresowe, równorzędne sieci wirtualne, sieci wirtualne połączone z bramą sieci wirtualnej, wirtualny adres IP hosta i prefiksy adresów używane na trasach zdefiniowanych przez użytkownika. Ten tag może również zawierać trasy domyślne. | Oba | Nie. | Nie. |
Uwaga
W przypadku używania tagów usługi z usługą Azure Firewall można tworzyć tylko reguły docelowe dla ruchu przychodzącego i wychodzącego. Reguły źródłowe nie są obsługiwane. Aby uzyskać więcej informacji, zobacz dokumentację tagów usługi Azure Firewall.
Tagi usług platformy Azure oznaczają prefiksy adresów z używanej chmury. Na przykład podstawowe zakresy adresów IP, które odpowiadają wartości tagu Sql w chmurze publicznej platformy Azure, będą się różnić od podstawowych zakresów platformy Microsoft Azure obsługiwanych przez chmurę 21Vianet.
W przypadku zaimplementowania punktu końcowego usługi dla sieci wirtualnej dla usługi takiej jak usługa Azure Storage lub Azure SQL Database, platforma Azure dodaje trasę do podsieci sieci wirtualnej dla usługi. Prefiksy adresów w trasie są tymi samymi prefiksami adresów lub zakresami CIDR, co te z odpowiedniego tagu usługi.
Tagi obsługiwane w klasycznym modelu wdrażania
Klasyczny model wdrażania (przed usługą Azure Resource Manager) obsługuje niewielki podzbiór tagów wymienionych w poprzedniej tabeli. Tagi w klasycznym modelu wdrażania są napisane inaczej, jak pokazano w poniższej tabeli:
| Tag Resource Manager | Odpowiadający tag w klasycznym modelu wdrażania |
|---|---|
| AzureLoadBalancer | Azure – równoważenie obciążenia |
| Internet | INTERNET |
| Sieć wirtualna | SIEĆ_WIRTUALNA |
Tagi nieobsługiwane dla tras zdefiniowanych przez użytkownika (UDR)
Poniżej znajduje się lista tagów, które nie są obecnie obsługiwane do użycia z trasami zdefiniowanymi przez użytkownika (UDR).
AzurePlatformDNS
AzurePlatformIMDS
AzurePlatformLKM
Sieć wirtualna
AzureLoadBalancer (równoważnik obciążenia)
Internet
Tagi usług w środowisku lokalnym
Możesz uzyskać aktualny tag usługi i informacje o zakresie, które należy uwzględnić w ramach lokalnych konfiguracji zapory. Te informacje są bieżącą listą zakresów adresów IP odpowiadających każdemu tagowi usługi. Informacje należy uzyskać programowo lub za pośrednictwem pliku JSON, zgodnie z opisem w poniższych sekcjach.
Użyj interfejsu API odnajdywania tagów usługi
Można programowo pobrać bieżącą listę tagów usługi wraz ze szczegółami zakresu adresów IP:
Aby na przykład pobrać wszystkie prefiksy znacznika usługi Storage, można użyć następujących poleceń cmdlet programu PowerShell:
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
Uwaga
- Dane interfejsu API reprezentują te tagi, które mogą być używane z regułami NSG (sieciowa grupa zabezpieczeń) w Twoim regionie. Użyj danych interfejsu API jako źródła prawdy dla dostępnych tagów usługi, ponieważ może to być inne niż plik do pobrania JSON.
- Propagacja nowych danych tagu usługi we wszystkich regionach platformy Azure w wynikach interfejsu API trwa do 4 tygodni. W związku z tym procesem wyniki danych interfejsu API mogą nie być zsynchronizowane z plikiem JSON do pobrania, ponieważ dane interfejsu API reprezentują podzbiór tagów aktualnie w pliku JSON do pobrania.
- Aby uzyskać dostęp do bieżącej subskrypcji, musisz być uwierzytelniony i posiadać rolę z uprawnieniami do odczytu.
Odnajdywanie tagów usług przy użyciu plików JSON do pobrania
Możesz pobrać pliki JSON zawierające bieżącą listę tagów usług wraz ze szczegółami zakresu adresów IP. Te listy są aktualizowane i publikowane co tydzień. Lokalizacje dla każdej chmury są następujące.
Zakresy adresów IP w tych plikach znajdują się w notacji CIDR.
Następujące tagi usługi AzureCloud nie mają nazw regionalnych sformatowanych zgodnie ze schematem normalnym:
AzureCloud.centralfrance (FranceCentral)
AzureCloud.southfrance (FranceSouth)
AzureCloud.germanywc (NiemcyZachodnioCentralne)
AzureCloud.germanyn (NiemcyPółnoc)
AzureCloud.norwaye (Norwegia-Wschód)
AzureCloud.norwayw (NorwegiaWest)
AzureCloud.switzerlandn (Szwajcaria Północ)
AzureCloud.switzerlandw (SzwajcariaWest)
AzureCloud.usstagee (EastUSSTG)
AzureCloud.usstagec (SouthCentralUSSTG)
AzureCloud.brazilse (BrazilSoutheast)
Napiwek
Aktualizacje z jednej publikacji do następnej można wykryć, zauważając zwiększone wartości changeNumber w pliku JSON. Każda podsekcja (na przykład Storage.WestUS) ma własną wartość changeNumber , która jest zwiększana w miarę występowania zmian. Główny poziom changeNumber pliku jest zwiększany, gdy którakolwiek z podsekcji zostanie zmieniona.
Aby zapoznać się z przykładami analizowania informacji o tagu usługi (na przykład uzyskiwania wszystkich zakresów adresów dla Storage w WestUS), zobacz dokumentację interfejsu API odnajdywania tagów usługi w programie PowerShell.
Po dodaniu nowych adresów IP do tagów usług nie będą one używane na platformie Azure przez co najmniej tydzień. Dzięki temu można zaktualizować wszystkie systemy, które mogą wymagać śledzenia adresów IP skojarzonych z tagami usług.
Następne kroki
- Dowiedz się, jak utworzyć sieciową grupę zabezpieczeń.