Udostępnij za pośrednictwem


Tagi usług sieci wirtualnej

Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci.

Ważne

Chociaż tagi usługi upraszczają możliwość włączania list kontroli dostępu opartej na protokole IP (ACL), same tagi usług nie są wystarczające do zabezpieczenia ruchu bez uwzględniania charakteru usługi i wysyłanego ruchu. Aby uzyskać więcej informacji na temat list ACL opartych na adresach IP, zobacz Co to jest lista kontroli dostępu oparta na adresach IP (ACL)?.

Dodatkowe informacje o charakterze ruchu można znaleźć w dalszej części tego artykułu dla każdej usługi i ich tagu. Ważne jest, aby upewnić się, że znasz ruch dozwolony podczas korzystania z tagów usług dla list kontrolnych dostępu (ACL) opartych na adresach IP. Rozważ dodanie poziomów zabezpieczeń w celu ochrony środowiska.

Tagi usługi umożliwiają definiowanie mechanizmów kontroli dostępu do sieci w sieciowych grupach zabezpieczeń, usłudze Azure Firewall i trasach zdefiniowanych przez użytkownika. Używaj tagów usług zamiast określonych adresów IP podczas tworzenia reguł zabezpieczeń i tras. Określając nazwę tagu usługi, taką jak ApiManagement, w odpowiednim polu źródłowym lub docelowym reguły zabezpieczeń, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować. Określając nazwę tagu usługi w prefiksie adresu trasy, można kierować ruch przeznaczony dla dowolnego z prefiksów objętych przez znacznik usługi do określonego typu następnego przeskoku.

Za pomocą tagów usług można uzyskać izolację sieci i chronić zasoby platformy Azure przed ogólnym Internetem podczas uzyskiwania dostępu do usług platformy Azure, które mają publiczne punkty końcowe. Utwórz reguły sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego, aby blokować ruch do/z Internetu i zezwalać na ruch do/z usługi AzureCloud lub innych dostępnych tagów usług określonych usług platformy Azure.

Izolacja sieciowa usług platformy Azure przy użyciu tagów usługi

Dostępne tagi usługi

Poniższa tabela zawiera wszystkie tagi usług dostępne do użycia w regułach sieciowej grupy zabezpieczeń.

Kolumny wskazują, czy dany tag:

Domyślnie tagi usługi odzwierciedlają zakresy dla całej chmury. Niektóre tagi usługi umożliwiają również bardziej szczegółową kontrolę przez ograniczenie odpowiednich zakresów adresów IP do określonego regionu. Na przykład tag Storage reprezentuje Azure Storage dla całej chmury, ale Storage.WestUS ogranicza się tylko do zakresów adresów IP storage z regionu WestUS. Poniższa tabela wskazuje, czy każdy tag usługi obsługuje taki zakres regionalny, a kierunek wymieniony dla każdego tagu jest zaleceniem. Na przykład tag AzureCloud może służyć do zezwalania na ruch przychodzący. W większości scenariuszy nie zalecamy zezwalania na ruch ze wszystkich adresów IP platformy Azure, ponieważ adresy IP używane przez innych klientów platformy Azure są uwzględniane jako część tagu usługi.

Etykieta Cel Czy można używać ruchu przychodzącego albo wychodzącego? Czy może być regionalny? Czy można używać z usługą Azure Firewall?
ActionGroup Grupa akcji. Przychodzący Nie. Tak
ApiManagement Zarządzanie ruchem dla dedykowanych wdrożeń Azure API Management.

Uwaga: ten tag reprezentuje punkt końcowy usługi Azure API Management dla płaszczyzny sterowania w każdym regionie. Znacznik umożliwia użytkownikom wykonywanie operacji zarządzania na interfejsach API, operacjach, zasadach, wartościach nazw skonfigurowanych w usłudze Zarządzania API.
Przychodzący Tak Tak
ApplicationInsightsDostępność Dostępność usługi Application Insights. Przychodzący Nie. Tak
Konfiguracja aplikacji Konfiguracja aplikacji. Wychodzący Nie. Tak
AppService Azure App Service. Ten tag jest zalecany w przypadku reguł zabezpieczeń dla ruchu wychodzącego do aplikacji webowych i aplikacji funkcjonalnych.

Uwaga: ten tag nie zawiera adresów IP przypisanych podczas korzystania z protokołu SSL opartego na protokole IP (adresu przypisanego przez aplikację).
Wychodzący Tak Tak
AppServiceManagement Zarządzanie ruchem dla wdrożeń dedykowanych dla środowiska App Service Environment. Oba Nie. Tak
AzureActiveDirectory (usługa AzureActiveDirectory) Microsoft Entra ID Services. Ten tag obejmuje logowanie, program MS Graph i inne usługi Entra, które nie zostały specjalnie wymienione w tej tabeli Wychodzący Nie. Tak
AzureActiveDirectoryDomainServices Zarządzanie ruchem dla wdrożeń dedykowanych Microsoft Entra Domain Services. Oba Nie. Tak
AzureAdvancedThreatProtection Microsoft Defender for Identity. Wychodzący Nie. Tak
AzureArcInfrastructure Serwery z obsługą Azure Arc, Kubernetes z obsługą Azure Arc i ruch dotyczący konfiguracji gościa.

Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureTrafficManager i AzureResourceManager.
Wychodzący Nie. Tak
AzureAttestation Zaświadczenie platformy Azure. Wychodzący Nie. Tak
AzureBackup Azure Backup.

Uwaga: ten tag ma zależność od tagów Storage i AzureActiveDirectory .
Wychodzący Nie. Tak
AzureBotService Azure Bot Service. Oba Nie. Tak
AzureCloud Wszystkie publiczne adresy IP centrum danych. Ten tag nie zawiera protokołu IPv6. Oba Tak Tak
AzureCognitiveSearch Azure AI Search.

Ten tag określa zakresy adresów IP wielodostępnych środowisk wykonawczych używanych przez usługę wyszukiwania do indeksowania opartego na indeksatorze.

Uwaga: adres IP samej usługi wyszukiwania nie jest objęty tym tagiem usługi. W konfiguracji zapory zasobu platformy Azure należy określić tag usługi, a także określony adres IP samej usługi wyszukiwania.
Przychodzący Nie. Tak
AzureConnectors Ten znacznik reprezentuje adresy IP używane dla zarządzanych łączników, które obsługują przychodzące wywołania zwrotne webhook do usługi Azure Logic Apps oraz wywołania wychodzące do odpowiednich usług, na przykład Azure Storage lub Azure Event Hubs. Oba Tak Tak
AzureContainerRegistry Azure Container Registry. Wychodzący Tak Tak
AzureCosmosDB Azure Cosmos DB. Wychodzący Tak Tak
AzureDatabricks Azure Databricks. Oba Nie. Tak
AzureDataExplorerManagement Zarządzanie usługą Azure Data Explorer. Przychodzący Nie. Tak
AzureDeviceUpdate Aktualizacja urządzenia dla usługi IoT Hub. Oba Nie. Tak
AzureDevOps Azure DevOps. Przychodzący Tak Tak
AzureDigitalTwins Azure Digital Twins.

Uwaga: ten tag lub adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do punktów końcowych skonfigurowanych dla tras zdarzeń.
Przychodzący Nie. Tak
AzureEventGrid Azure Event Grid. Oba Nie. Tak
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
AzureFrontDoor.MicrosoftSecurity
Tag usługi Frontend zawiera adresy IP używane przez klientów do nawiązania połączenia z Front Door. Możesz zastosować tag usługi AzureFrontDoor.Frontend, gdy chcesz kontrolować ruch wychodzący, który może łączyć się z usługami za pomocą Azure Front Door. Tag usługi Backend zawiera adresy IP, z których korzysta Azure Front Door, aby uzyskać dostęp do Twoich źródeł. Ten tag usługi można zastosować podczas konfigurowania zabezpieczeń źródeł. FirstParty i MicrosoftSecurity to specjalne tagi zarezerwowane dla wybranej grupy usług firmy Microsoft hostowanych w usłudze Azure Front Door. Tag usługi FirstParty jest dostępny tylko w chmurze publicznej, podczas gdy inne tagi usługi są dostępne w chmurach publicznych i rządowych. Oba Tak Tak
AzureHealthcareAPIs Adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do usług Azure Health Data Services. Oba Nie. Tak
AzureInformationProtection Azure Information Protection.

Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureFrontDoor.Frontend i AzureFrontDoor.FirstParty .
Wychodzący Nie. Tak
AzureIoTHub Azure IoT Hub. Wychodzący Tak Tak
AzureKeyVault Azure Key Vault.

Uwaga: ten tag ma zależność od tagu AzureActiveDirectory .
Wychodzący Tak Tak
AzureLoadBalancer Moduł równoważenia obciążenia infrastruktury platformy Azure. Tag przekłada się na wirtualny adres IP hosta (168.63.129.16), z którego pochodzą sondy kondycji platformy Azure. Obejmuje to tylko ruch sondy, a nie rzeczywisty ruch do zasobu w tle. Jeśli nie używasz usługi Azure Load Balancer, możesz zastąpić tę regułę. Oba Nie. Nie.
AzureMachineLearningInference Ten tag usługi służy do ograniczania ruchu przychodzącego z sieci publicznej w scenariuszach wnioskowania zarządzanych w ramach sieci prywatnej. Przychodzący Nie. Tak
AzureManagedGrafana Punkt końcowy zarządzanej instancji Grafana na platformie Azure. Wychodzący Nie. Tak
AzureMonitor Log Analytics, Application Insights, Obszar roboczy Azure Monitor, AzMon i metryki niestandardowe (punkty końcowe GiG).

Uwaga: w przypadku agenta usługi Azure Monitor wymagany jest również element AzureResourceManager . W przypadku agenta Log Analytics wymagany jest również tag Storage. Jeśli są używane agenci usługi Log Analytics systemu Linux, wymagany jest również tag GuestAndHybridManagement . (Starsza wersja Agent usługi Log Analytics została przestarzała od 31 sierpnia 2024 r.)
Wychodzący Nie. Tak
AzureOpenDatasets Zestawy danych platformy Azure Open.

Uwaga: ten tag ma zależność od tagu AzureFrontDoor.Frontend i Storage .
Wychodzący Nie. Tak
AzurePlatformDNS Domyślna usługa DNS podstawowej infrastruktury.

Możesz użyć tego tagu, aby wyłączyć domyślny system DNS. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu.
Wychodzący Nie. Nie.
AzurePlatformIMDS Usługa Azure Instance Metadata Service (IMDS), która jest podstawową usługą infrastruktury.

Możesz użyć tego tagu, aby wyłączyć domyślną usługę IMDS. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu.
Wychodzący Nie. Nie.
AzurePlatformLKM Licencjonowanie systemu Windows lub usługa zarządzania kluczami.

Możesz użyć tego tagu, aby wyłączyć ustawienia domyślne licencjonowania. Zachowaj ostrożność podczas korzystania z tego tagu. Zalecamy zapoznanie się z zagadnieniami dotyczącymi platformy Azure. Zalecamy również przeprowadzenie testów przed użyciem tego tagu.
Wychodzący Nie. Nie.
AzureResourceManager Azure Resource Manager. Wychodzący Nie. Tak
AzureSentinel Microsoft Sentinel. Przychodzący Nie. Tak
AzureSignalR Azure SignalR. Wychodzący Nie. Tak
AzureSiteRecovery Azure Site Recovery.

Uwaga: ten tag ma zależność od tagów AzureActiveDirectory, AzureKeyVault, EventHub,GuestAndHybridManagement i Storage.
Wychodzący Nie. Tak
AzureSphere Ten tag lub adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu do usług zabezpieczeń Azure Sphere. Oba Nie. Tak
AzureSpringCloud Zezwalaj na ruch do aplikacji hostowanych w usłudze Azure Spring Apps. Wychodzący Nie. Tak
AzureStack Usługi Azure Stack Bridge.
Ten tag reprezentuje punkt końcowy usługi Azure Stack Bridge na region.
Wychodzący Nie. Tak
AzureTrafficManager Adresy IP sond usługi Traffic Manager Azure.

Aby uzyskać więcej informacji na temat adresów IP sondy usługi Traffic Manager, zobacz Często zadawane pytania dotyczące usługi Azure Traffic Manager.
Przychodzący Nie. Tak
AzureUpdateDelivery Tag usługi Azure Update Delivery używany do uzyskiwania dostępu do aktualizacji systemu Windows jest przestarzały.

Zaleca się, aby klienci nie polegali na tym tagu usługi i dla klientów, którzy już go używają, zaleca się migrację do jednej z następujących opcji:

Skonfiguruj Azure Firewall dla urządzeń z systemem Windows 10/11 zgodnie z dokumentacją:

Zarządzanie punktami końcowymi połączeń dla systemu Windows 11 Enterprise

Zarządzanie punktami końcowymi połączeń dla systemu Windows 10 Enterprise w wersji 21H2

Wdrażanie usługi Windows Server Update Services (WSUS)

Zaplanuj wdrożenie aktualizacji maszyn wirtualnych z systemem Windows na platformie Azure a następnie przejdź do
kroku 2: Skonfiguruj WSUS

Aby uzyskać więcej informacji, zobacz Nadchodzące zmiany w tagu usługi Azure Update Delivery
Wychodzący Nie. Tak
AzureWebPubSub AzureWebPubSub Oba Tak Tak
BatchNodeManagement Zarządzanie ruchem sieciowym dla wdrożeń dedykowanych usłudze Azure Batch. Oba Tak Tak
ChaosStudio Azure Chaos Studio.

Uwaga: jeśli włączono integrację usługi Application Insights z agentem chaosu, wymagany jest również tag AzureMonitor.
Oba Nie. Tak
CognitiveServicesFrontend Zakresy adresów dla ruchu sieciowego portali frontendowych usług Azure AI. Oba Nie. Tak
CognitiveServicesManagement Zakresy adresów ruchu dla usług Azure AI. Oba Nie. Tak
DataFactory Azure Data Factory Oba Tak Tak
DataFactoryManagement Zarządzanie ruchem dla Azure Data Factory. Wychodzący Nie. Tak
Dynamics365ForMarketingEmail Zakresy adresów dla usługi e-mail marketingu Dynamics 365. Oba Tak Tak
Dynamics365BusinessCentral Ten tag lub adresy IP objęte tym tagiem mogą służyć do ograniczania dostępu z/do usług Dynamics 365 Business Central Services. Oba Nie. Tak
EOPExternalPublishedIPs Ten tag reprezentuje adresy IP używane w programie PowerShell centrum zabezpieczeń i zgodności. Aby uzyskać więcej informacji, zapoznaj się z modułem Connect to Security & Compliance Center PowerShell using the EXO V2 module (Nawiązywanie połączenia z centrum zabezpieczeń i zgodności przy użyciu modułu EXO V2). Oba Nie. Tak
EventHub Azure Event Hubs. Wychodzący Tak Tak
GatewayManager Zarządzanie ruchem dla wdrożeń dedykowanych usługom Azure VPN Gateway i Application Gateway. Przychodzący Nie. Nie.
GuestAndHybridManagement Usługa Azure Automation i Konfiguracja Gościa. Wychodzący Nie. Tak
HDInsight Azure HDInsight. Przychodzący Tak Tak
Internet Przestrzeń adresowa IP, która znajduje się poza siecią wirtualną i jest osiągalna przez publiczny Internet.

Zakres adresów obejmuje publiczną przestrzeń adresów IP należącą do platformy Azure.
Oba Nie. Nie.
KustoAnalytics Kusto Analytics. Oba Nie. Nie.
LogicApps Usługa Logic Apps. Oba Nie. Tak
LogicAppsManagement Ruch administracyjny dla usługi Logic Apps. Przychodzący Nie. Tak
M365ManagementActivityApi Interfejs API działań usługi Office 365 Management zawiera informacje o różnych akcjach użytkownika, administratora, systemie i zasadach oraz zdarzeniach z dzienników aktywności usługi Office 365 i firmy Microsoft Entra. Klienci i partnerzy mogą korzystać z tych informacji, aby tworzyć nowe lub ulepszać istniejące rozwiązania do obsługi operacji, zabezpieczeń i monitorowania zgodności dla przedsiębiorstwa.

Uwaga: ten tag ma zależność od tagu AzureActiveDirectory .
Wychodzący Tak Tak
M365ManagementActivityApiWebhook Powiadomienia są wysyłane do skonfigurowanego webhooka dla subskrypcji, gdy nowa zawartość staje się dostępna. Przychodzący Tak Tak
MicrosoftAzureFluidRelay Ten tag reprezentuje adresy IP używane dla usługi Azure Microsoft Fluid Relay Server.
Uwaga: ten tag ma zależność od tagu AzureFrontDoor.Frontend.
Oba Nie. Tak
MicrosoftCloudAppSecurity Microsoft Defender dla Aplikacji w Chmurze. Oba Nie. Tak
MicrosoftDefenderForEndpoint Podstawowe usługi Microsoft Defender for Endpoint.

Uwaga: aby można było używać tego tagu usługi, należy dołączyć urządzenia z usprawnionym połączeniem i spełnić wymagania. Defender for Endpoint/Server wymaga dodatkowych znaczników usług, takich jak OneDSCollector, aby obsługiwać wszystkie funkcje.

Aby uzyskać więcej informacji, zobacz Dołączanie urządzeń przy użyciu uproszczonej łączności dla Microsoft Defender for Endpoint
Oba Nie. Tak
Power BI Usługi backendowe platformy Power BI oraz punkty końcowe interfejsu API.

Oba Tak Tak
PowerPlatformInfra Ten tag reprezentuje adresy IP używane przez infrastrukturę do hostowania usług platformy Power Platform. Oba Tak Tak
PowerPlatformPlex Ten tag reprezentuje adresy IP używane przez infrastrukturę do hostowania wykonywania rozszerzenia platformy Power Platform w imieniu klienta. Oba Tak Tak
PowerQueryOnline Power Query Online. Oba Nie. Tak
Scuba Łączniki danych dla produktów zabezpieczeń firmy Microsoft (Sentinel, Defender itp.). Przychodzący Nie. Nie.
SerialConsole Ogranicz dostęp do kont magazynowych diagnostyki rozruchu wyłącznie poprzez tag usługi konsoli szeregowej. Przychodzący Nie. Tak
ServiceBus Ruch usługi Azure Service Bus. Wychodzący Tak Tak
ServiceFabric Azure Service Fabric.

Uwaga: ten tag reprezentuje punkt końcowy usługi Service Fabric dla płaszczyzny kontrolnej w danym regionie. Dzięki temu klienci mogą wykonywać operacje zarządzania dla swoich klastrów usługi Service Fabric z punktu końcowego sieci wirtualnej. (Na przykład https:// westus.servicefabric.azure.com).
Oba Nie. Tak
SQL Usługi Azure SQL Database, Azure Database for MariaDB i Azure Synapse Analytics.

Uwaga: ten tag reprezentuje usługę, ale nie określone wystąpienia usługi. Na przykład tag reprezentuje usługę Azure SQL Database, ale nie konkretną bazę danych lub serwer SQL. Ten tag nie ma zastosowania do wystąpienia zarządzanego SQL.
Wychodzący Tak Tak
SqlManagement Ruch związany z zarządzaniem dla instalacji dedykowanych SQL. Oba Nie. Tak
Przechowywanie Azure Storage.

Uwaga: ten tag reprezentuje usługę, ale nie określone wystąpienia usługi. Na przykład tag reprezentuje usługę Azure Storage, ale nie konkretne konto usługi Azure Storage.
Wychodzący Tak Tak
StorageSyncService Usługa synchronizacji magazynu. Oba Nie. Tak
Tryb StorageMover Przenośnik Zasobów. Wychodzący Tak Tak
WindowsAdminCenter Zezwól usłudze zaplecza Centrum administracyjnego systemu Windows na komunikację z instalacjami Centrum Administracyjnego systemu Windows u klientów. Wychodzący Nie. Tak
WindowsVirtualDesktop Azure Virtual Desktop (dawniej Windows Virtual Desktop). Oba Nie. Tak
VideoIndexer Video Indexer.
Służy do umożliwienia klientom otwierania swojej sieciowej grupy zabezpieczeń na usługę Video Indexer i odbierania wywołań zwrotnych do swojej usługi.
Oba Nie. Tak
Sieć wirtualna Przestrzeń adresowa sieci wirtualnej (wszystkie zakresy adresów IP zdefiniowane dla sieci wirtualnej), wszystkie połączone lokalne przestrzenie adresowe, równorzędne sieci wirtualne, sieci wirtualne połączone z bramą sieci wirtualnej, wirtualny adres IP hosta i prefiksy adresów używane na trasach zdefiniowanych przez użytkownika. Ten tag może również zawierać trasy domyślne. Oba Nie. Nie.

Uwaga

  • W przypadku używania tagów usługi z usługą Azure Firewall można tworzyć tylko reguły docelowe dla ruchu przychodzącego i wychodzącego. Reguły źródłowe nie są obsługiwane. Aby uzyskać więcej informacji, zobacz dokumentację tagów usługi Azure Firewall.

  • Tagi usług platformy Azure oznaczają prefiksy adresów z używanej chmury. Na przykład podstawowe zakresy adresów IP, które odpowiadają wartości tagu Sql w chmurze publicznej platformy Azure, będą się różnić od podstawowych zakresów platformy Microsoft Azure obsługiwanych przez chmurę 21Vianet.

  • W przypadku zaimplementowania punktu końcowego usługi dla sieci wirtualnej dla usługi takiej jak usługa Azure Storage lub Azure SQL Database, platforma Azure dodaje trasę do podsieci sieci wirtualnej dla usługi. Prefiksy adresów w trasie są tymi samymi prefiksami adresów lub zakresami CIDR, co te z odpowiedniego tagu usługi.

Tagi obsługiwane w klasycznym modelu wdrażania

Klasyczny model wdrażania (przed usługą Azure Resource Manager) obsługuje niewielki podzbiór tagów wymienionych w poprzedniej tabeli. Tagi w klasycznym modelu wdrażania są napisane inaczej, jak pokazano w poniższej tabeli:

Tag Resource Manager Odpowiadający tag w klasycznym modelu wdrażania
AzureLoadBalancer Azure – równoważenie obciążenia
Internet INTERNET
Sieć wirtualna SIEĆ_WIRTUALNA

Tagi nieobsługiwane dla tras zdefiniowanych przez użytkownika (UDR)

Poniżej znajduje się lista tagów, które nie są obecnie obsługiwane do użycia z trasami zdefiniowanymi przez użytkownika (UDR).

  • AzurePlatformDNS

  • AzurePlatformIMDS

  • AzurePlatformLKM

  • Sieć wirtualna

  • AzureLoadBalancer (równoważnik obciążenia)

  • Internet

Tagi usług w środowisku lokalnym

Możesz uzyskać aktualny tag usługi i informacje o zakresie, które należy uwzględnić w ramach lokalnych konfiguracji zapory. Te informacje są bieżącą listą zakresów adresów IP odpowiadających każdemu tagowi usługi. Informacje należy uzyskać programowo lub za pośrednictwem pliku JSON, zgodnie z opisem w poniższych sekcjach.

Użyj interfejsu API odnajdywania tagów usługi

Można programowo pobrać bieżącą listę tagów usługi wraz ze szczegółami zakresu adresów IP:

Aby na przykład pobrać wszystkie prefiksy znacznika usługi Storage, można użyć następujących poleceń cmdlet programu PowerShell:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Uwaga

  • Dane interfejsu API reprezentują te tagi, które mogą być używane z regułami NSG (sieciowa grupa zabezpieczeń) w Twoim regionie. Użyj danych interfejsu API jako źródła prawdy dla dostępnych tagów usługi, ponieważ może to być inne niż plik do pobrania JSON.
  • Propagacja nowych danych tagu usługi we wszystkich regionach platformy Azure w wynikach interfejsu API trwa do 4 tygodni. W związku z tym procesem wyniki danych interfejsu API mogą nie być zsynchronizowane z plikiem JSON do pobrania, ponieważ dane interfejsu API reprezentują podzbiór tagów aktualnie w pliku JSON do pobrania.
  • Aby uzyskać dostęp do bieżącej subskrypcji, musisz być uwierzytelniony i posiadać rolę z uprawnieniami do odczytu.

Odnajdywanie tagów usług przy użyciu plików JSON do pobrania

Możesz pobrać pliki JSON zawierające bieżącą listę tagów usług wraz ze szczegółami zakresu adresów IP. Te listy są aktualizowane i publikowane co tydzień. Lokalizacje dla każdej chmury są następujące.

Zakresy adresów IP w tych plikach znajdują się w notacji CIDR.

Następujące tagi usługi AzureCloud nie mają nazw regionalnych sformatowanych zgodnie ze schematem normalnym:

  • AzureCloud.centralfrance (FranceCentral)

  • AzureCloud.southfrance (FranceSouth)

  • AzureCloud.germanywc (NiemcyZachodnioCentralne)

  • AzureCloud.germanyn (NiemcyPółnoc)

  • AzureCloud.norwaye (Norwegia-Wschód)

  • AzureCloud.norwayw (NorwegiaWest)

  • AzureCloud.switzerlandn (Szwajcaria Północ)

  • AzureCloud.switzerlandw (SzwajcariaWest)

  • AzureCloud.usstagee (EastUSSTG)

  • AzureCloud.usstagec (SouthCentralUSSTG)

  • AzureCloud.brazilse (BrazilSoutheast)

Napiwek

  • Aktualizacje z jednej publikacji do następnej można wykryć, zauważając zwiększone wartości changeNumber w pliku JSON. Każda podsekcja (na przykład Storage.WestUS) ma własną wartość changeNumber , która jest zwiększana w miarę występowania zmian. Główny poziom changeNumber pliku jest zwiększany, gdy którakolwiek z podsekcji zostanie zmieniona.

  • Aby zapoznać się z przykładami analizowania informacji o tagu usługi (na przykład uzyskiwania wszystkich zakresów adresów dla Storage w WestUS), zobacz dokumentację interfejsu API odnajdywania tagów usługi w programie PowerShell.

  • Po dodaniu nowych adresów IP do tagów usług nie będą one używane na platformie Azure przez co najmniej tydzień. Dzięki temu można zaktualizować wszystkie systemy, które mogą wymagać śledzenia adresów IP skojarzonych z tagami usług.

Następne kroki