Endereços IP de entrada e saída no Serviço de Aplicações do Azure
Serviço de Aplicações do Azure é um serviço multi-inquilino, exceto para Ambientes de Serviço de Aplicações. As aplicações que não estão num ambiente Serviço de Aplicações (não no escalão Isolado) partilham a infraestrutura de rede com outras aplicações. Como resultado, os endereços IP de entrada e saída de uma aplicação podem ser diferentes e até podem ser alterados em determinadas situações.
Serviço de Aplicações Ambientes utilizam infraestruturas de rede dedicadas, para que as aplicações em execução num ambiente Serviço de Aplicações obtenham endereços IP estáticos e dedicados, tanto para ligações de entrada como de saída.
Como funcionam os endereços IP no Serviço de Aplicações
Uma aplicação Serviço de Aplicações é executada num plano de Serviço de Aplicações e Serviço de Aplicações planos são implementados numa das unidades de implementação na infraestrutura do Azure (internamente denominada espaço Web). É atribuído a cada unidade de implementação um conjunto de endereços IP virtuais, que inclui um endereço IP de entrada público e um conjunto de endereços IP de saída. Todos os Serviço de Aplicações planos na mesma unidade de implementação e as instâncias de aplicações que são executadas nos mesmos, partilham o mesmo conjunto de endereços IP virtuais. Para um Ambiente do Serviço de Aplicações (um plano de Serviço de Aplicações no escalão Isolado), o plano de Serviço de Aplicações é a própria unidade de implementação, pelo que os endereços IP virtuais são dedicados ao mesmo como resultado.
Uma vez que não tem permissão para mover um plano de Serviço de Aplicações entre unidades de implementação, os endereços IP virtuais atribuídos à sua aplicação permanecem normalmente iguais, mas existem exceções.
Quando o IP de entrada é alterado
Independentemente do número de instâncias aumentadas horizontalmente, cada aplicação tem um único endereço IP de entrada. O endereço IP de entrada pode ser alterado quando efetua uma das seguintes ações:
- Elimina uma aplicação e a recria noutro grupo de recursos (a unidade de implementação pode mudar).
- Elimine a última aplicação numa combinação de grupo de recursos e região e recrie-a (a unidade de implementação pode ser alterada).
- Elimine um enlace TLS/SSL baseado em IP existente, como durante a renovação do certificado (veja Renovar certificado).
Localizar o IP de entrada
Basta executar o seguinte comando num terminal local:
nslookup <app-name>.azurewebsites.net
Obter um IP de entrada estático
Por vezes, poderá querer um endereço IP estático dedicado para a sua aplicação. Para obter um endereço IP de entrada estático, tem de proteger um nome DNS personalizado com um enlace de certificado baseado em IP. Se não precisar realmente da funcionalidade TLS para proteger a sua aplicação, pode até carregar um certificado autoassinado para este enlace. Num enlace TLS baseado em IP, o certificado está vinculado ao próprio endereço IP, pelo que Serviço de Aplicações aprovisiona um endereço IP estático para o fazer acontecer.
Quando os IPs de saída são alterados
Independentemente do número de instâncias dimensionadas horizontalmente, cada aplicação tem um número definido de endereços IP de saída em qualquer momento. Qualquer ligação de saída da aplicação Serviço de Aplicações, como uma base de dados de back-end, utiliza um dos endereços IP de saída como o endereço IP de origem. O endereço IP a utilizar é selecionado aleatoriamente no runtime, pelo que o serviço de back-end tem de abrir a firewall a todos os endereços IP de saída à sua aplicação.
O conjunto de endereços IP de saída da sua aplicação é alterado quando efetua uma das seguintes ações:
- Elimina uma aplicação e a recria noutro grupo de recursos (a unidade de implementação pode mudar).
- Elimine a última aplicação numa combinação de grupo de recursos e região e recrie-a (a unidade de implementação pode ser alterada).
- Dimensione a aplicação entre os escalões mais baixos (Básico, Standard e Premium), o escalão PremiumV2 , o escalão PremiumV3 e as opções Pmv3 no escalão PremiumV3 (os endereços IP podem ser adicionados ou subtraídos do conjunto).
Pode encontrar o conjunto de todos os endereços IP de saída possíveis que a sua aplicação pode utilizar, independentemente dos escalões de preço, ao procurar a possibleOutboundIpAddresses propriedade ou no campo Endereços IP de Saída Adicionais no painel Propriedades no portal do Azure. Veja Localizar IPs de saída.
Tenha em atenção que o conjunto de todos os endereços IP de saída possíveis pode aumentar ao longo do tempo se Serviço de Aplicações adicionar novos escalões de preço ou opções a implementações de Serviço de Aplicações existentes. Por exemplo, se Serviço de Aplicações adicionar o escalão PremiumV3 a uma implementação de Serviço de Aplicações existente, o conjunto de todos os endereços IP de saída possíveis aumentará. Da mesma forma, se Serviço de Aplicações adicionar novas opções pmv3 a uma implementação que já suporta o escalão PremiumV3, o conjunto de todos os endereços IP de saída possíveis também aumentará. Isto não tem qualquer efeito imediato, uma vez que os endereços IP de saída para a execução de aplicações não são alterados quando um novo escalão de preço ou opção é adicionado a uma implementação Serviço de Aplicações. No entanto, se as aplicações mudarem para um novo escalão de preço ou opção que não estava disponível anteriormente, serão utilizados novos endereços de saída e os clientes terão de atualizar as regras de firewall a jusante e as restrições de endereços IP.
Localizar IPs de saída
Para encontrar os endereços IP de saída atualmente utilizados pela sua aplicação no portal do Azure, clique em Propriedades no painel de navegação esquerdo da sua aplicação. Estão listados no campo Endereços IP de Saída .
Pode encontrar as mesmas informações ao executar o seguinte comando no Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses
Para encontrar todos os endereços IP de saída possíveis para a sua aplicação, independentemente dos escalões de preço, clique em Propriedades no painel de navegação esquerdo da sua aplicação. Os endereços estão listados no campo Endereços IP de saída adicionais .
Pode encontrar as mesmas informações ao executar o seguinte comando no Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses
Obter um IP de saída estático
Pode controlar o endereço IP do tráfego de saída da sua aplicação através da integração de VNet regional em conjunto com um NAT Gateway de rede virtual para direcionar o tráfego através de um endereço IP público estático. A integração de VNet regional está disponível nos planos básico, Standard, Premium, PremiumV2 e PremiumV3 Serviço de Aplicações planos. Para saber mais sobre esta configuração, veja Integração do NAT Gateway.
Passos seguintes
Saiba como restringir o tráfego de entrada por endereços IP de origem.