Теги службы виртуальной сети

Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности.

Теги службы можно использовать, чтобы определить элементы управления доступом к сети для групп безопасности сети, Брандмауэра Azure и определяемых пользователем маршрутов. Теги службы можно использовать вместо определенных IP-адресов при создании правил безопасности и маршрутов. Указав имя тега службы (например, ApiManagement) в соответствующем поле источника или назначения для правила безопасности, можно разрешить или запретить трафик для соответствующей службы. Указав имя тега службы в префиксе адреса маршрута, можно маршрутизировать трафик, предназначенный для любого из префиксов, инкапсулированных тегом службы, в нужный тип следующего прыжка.

Примечание

По состоянию на март 2022 г. возможность использования тегов службы вместо явных префиксов адресов в определяемых пользователем маршрутах предоставляется не в предварительной, а в общедоступной версии.

Теги службы можно использовать для обеспечения изоляции сети и защиты ресурсов Azure от общего доступа через Интернет при доступе к службам Azure, имеющим общедоступные конечные точки. Создайте правила группы безопасности сети для входящих и исходящих подключений, чтобы запретить передачу трафика Интернета и разрешить входящий и исходящий трафик AzureCloud или других доступных тегов служб Azure.

Сетевая изоляция служб Azure с помощью тегов служб

Доступные теги службы

В следующей таблице перечислены все теги службы, доступные для использования в правилах группы безопасности сети.

Столбцы указывают на следующее:

  • Подходит ли тег для правил, охватывающих входящий или исходящий трафик.
  • Поддерживает ли тег региональные области.
  • Можно ли использовать в правилах Брандмауэра Azure только в качестве правила назначения для входящего или исходящего трафика.

По умолчанию теги службы отображают диапазоны для всего облака. Некоторые теги службы также обеспечивают более детализированный контроль за счет запрета соответствующих диапазонов IP-адресов для указанного региона. Например, тег службы Storage представляет службу хранилища Azure для всего облака, тогда как тег Storage.WestUS ограничивает диапазон только диапазонами IP-адресов хранилища из региона WestUS. В приведенной ниже таблице показано, поддерживает ли каждый тег службы такую региональную область, а направление, указанное для каждого тега, является рекомендацией. Например, тег AzureCloud может использоваться для разрешения входящего трафика. В большинстве сценариев мы не рекомендуем разрешать трафик со всех IP-адресов Azure, так как IP-адреса, используемые другими клиентами Azure, включены в тег службы.

Тег Назначение Может ли использовать входящий или исходящий трафик? Может быть региональным? Можно ли использовать с Брандмауэром Azure?
ActionGroup Группа действий. Входящий трафик Нет Нет
ApiManagement Трафик управления для развертываний, выделенных для управления API Azure.

Примечание. Этот тег представляет конечную точку службы "Управление API Azure" для уровня управления для каждого региона. Тег позволяет клиентам выполнять операции управления с API-интерфейсами, операциями, политиками, именованными значениями, настроенными в службе "Управление API".
Входящий трафик Да Да
ApplicationInsightsAvailability Проверка доступности Application Insights. Входящий трафик Нет Нет
AppConfiguration Конфигурация приложений. Исходящие Нет Нет
AppService служба приложений Azure; Этот тег рекомендуется использовать в правилах безопасности исходящего трафика в веб-приложения и приложения-функции.

Примечание. Этот тег не включает IP-адреса, назначенные при использовании SSL на основе IP-адресов (адрес, назначенный приложению).
Исходящие Да Да
AppServiceManagement Трафик управления для развертываний, выделенных для Среды службы приложений. both Нет Да
AzureActiveDirectory Azure Active Directory; Исходящие Нет Да
AzureActiveDirectoryDomainServices Трафик управления для развертываний, выделенных для доменных служб Azure Active Directory. both Нет Да
AzureAdvancedThreatProtection Расширенная защита от угроз Azure Исходящие Нет Нет
AzureArcInfrastructure Серверы с поддержкой Azure Arc, Kubernetes с поддержкой Azure Arc и трафик гостевой конфигурации.

Примечание. Этот тег зависит от тегов AzureActiveDirectory, AzureTrafficManager и AzureResourceManager.
Исходящие Нет Да
AzureAttestation Аттестация Azure выполняет перечисленные ниже функции. Исходящие Нет Да
AzureBackup Azure Backup.

Примечание. Этот тег зависит от тегов Storage и AzureActiveDirectory.
Исходящие Нет Да
AzureBotService Служба Azure Bot. Исходящие Нет Нет
AzureCloud Все общедоступные IP-адреса центра обработки данных. both Да Да
AzureCognitiveSearch Когнитивный поиск Azure.

Этот тег или IP-адреса, охватываемые этим тегом, можно использовать для предоставления индексаторам безопасного доступа к источникам данных. Дополнительные сведения об индексаторах см. в документации по подключению индексатора.

Примечание. IP-адрес службы поиска не включен в список диапазонов IP-адресов для этого тега службы, и его также необходимо добавить в брандмауэр IP-адресов источников данных.
Входящий трафик Нет Нет
AzureConnectors Этот тег представляет IP-адреса для управляемых соединителей, которые выполняют обратные вызовы входящего веб-перехватчика в службу Azure Logic Apps и исходящие вызовы соответствующих служб, таких как служба хранилища Azure или Центры событий Azure. both Да Да
AzureContainerRegistry Реестр контейнеров Azure. Исходящие Да Да
AzureCosmosDB Azure Cosmos DB. Исходящие Да Да
AzureDatabricks Azure Databricks. both Нет Нет
AzureDataExplorerManagement Управление обозревателем Azure Data Explorer. Входящий трафик Нет Нет
AzureDataLake Azure Data Lake Storage 1-го поколения. Исходящие Нет Да
AzureDeviceUpdate Обновление устройств для Центра Интернета вещей. both Нет Да
AzureDevSpaces Azure Dev Spaces. Исходящие Нет Нет
AzureDevOps Azure DevOps. Входящий трафик Да Да
AzureDigitalTwins Azure Digital Twins.

Примечание. Этот тег или IP-адреса, охватываемые этим тегом, можно использовать для ограничения доступа к конечным точкам, настроенным для маршрутов событий.
Входящий трафик Нет Да
AzureEventGrid Сетка событий Azure. both Нет Нет
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Azure Front Door. both Нет Нет
AzureHealthcareAPIs IP-адреса, охватываемые этим тегом, можно использовать для ограничения доступа к службам данных о работоспособности Azure. both Нет Да
AzureInformationProtection Azure Information Protection.

Примечание. Этот тег зависит от тегов AzureActiveDirectory, AzureFrontDoor.Frontend и AzureFrontDoor.FirstParty.
Исходящие Нет Нет
AzureIoTHub Центр Интернета вещей Azure. Исходящие Да Нет
AzureKeyVault Azure Key Vault.

Примечание. Этот тег зависит от тега AzureActiveDirectory.
Исходящие Да Да
AzureLoadBalancer. Подсистема балансировки нагрузки инфраструктуры Azure. Этот тег преобразуется в виртуальный IP-адрес узла (168.63.129.16), из которого поступают пробы работоспособности Azure. Сюда входит только пробный а не реальный трафик к вашему серверному ресурсу. Если Azure Load Balancer не используется, это правило можно переопределить. both Нет Нет
AzureLoadTestingInstanceManagement Этот тег службы используется для входящего подключения из службы "Нагрузочное тестирование Azure" к экземплярам создания нагрузки, внедренным в виртуальную сеть в частном сценарии тестовой нагрузки.

Примечание. Этот тег предназначен для использования в Брандмауэре Azure, NSG, UDR и всех остальных шлюзах для входящего подключения.
Нет Да
AzureMachineLearning Машинное обучение Azure. both Нет Да
AzureMonitor Log Analytics, Application Insights, AzMon и настраиваемые метрики (конечные точки GiG).

Примечание. Для Log Analytics также требуется тег Storage. Если используются агенты Linux, также требуется тег GuestAndHybridManagement.
Исходящие Нет Да
AzureOpenDatasets Открытые наборы данных Azure.

Примечание. Этот тег зависит от тегов AzureFrontDoor.Frontend и Storage.
Исходящие Нет Нет
AzurePlatformDNS Служба DNS базовой инфраструктуры (по умолчанию).

Этот тег можно использовать для отключения DNS по умолчанию. Это тег следует использовать с осторожностью. Ознакомьтесь с рекомендациями по использованию платформы Azure. Также рекомендуется протестировать этот тег, прежде чем использовать его.
Исходящие Нет Нет
AzurePlatformIMDS Служба метаданных экземпляров Azure (IMDS), которая является базовой службой инфраструктуры.

Этот тег можно использовать для отключения IMDS по умолчанию. Это тег следует использовать с осторожностью. Ознакомьтесь с рекомендациями по использованию платформы Azure. Также рекомендуется протестировать этот тег, прежде чем использовать его.
Исходящие Нет Нет
AzurePlatformLKM Лицензирование Windows или служба управления ключами.

С помощью этого тега можно отключить значения по умолчанию для лицензирования. Это тег следует использовать с осторожностью. Ознакомьтесь с рекомендациями по использованию платформы Azure. Также рекомендуется протестировать этот тег, прежде чем использовать его.
Исходящие Нет Нет
AzureResourceManager Azure Resource Manager. Исходящие Нет Нет
AzureSignalR Служба Azure SignalR. Исходящие Нет Нет
AzureSiteRecovery Azure Site Recovery.

Примечание. Этот тег зависит от тегов AzureActiveDirectory, AzureKeyVault, EventHub, GuestAndHybridManagement и Storage.
Исходящие Нет Нет
AzureSphere Этот тег или IP-адреса, охватываемые этим тегом, можно использовать для ограничения доступа к службам безопасности Azure Sphere. both Нет Да
AzureStack Службы моста Azure Stack.
Этот тег представляет конечную точку службы моста Azure Stack для каждого региона.
Исходящие Нет Да
AzureTrafficManager IP-адреса пробы Диспетчера трафика Azure.

Дополнительные сведения об IP-адресах пробы Диспетчера трафика см. в статье Диспетчер трафика Azure: вопросы и ответы.
Входящий трафик Нет Да
AzureUpdateDelivery Для доступа к обновлениям Windows.

Примечание. Этот тег предоставляет доступ к службам метаданных Центра обновления Windows. Чтобы успешно скачать обновления, необходимо также включить тег службы AzureFrontDoor.FirstParty и настроить правила безопасности исходящих подключений, указав следующие протокол и порт:
  • AzureUpdateDelivery: TCP, порт 443
  • AzureFrontDoor.FirstParty: TCP, порт 80
Исходящие Нет нет
BatchNodeManagement Трафик управления для развертываний, выделенных для пакетной службы Azure. both Нет Да
CognitiveServicesManagement Диапазоны адресов для трафика Cognitive Services Azure. both Нет Нет
DataFactory Фабрика данных Azure both Нет Нет
DataFactoryManagement Трафик управления для Фабрики данных Azure. Исходящие Нет Нет
Dynamics365ForMarketingEmail Диапазоны адресов для службы маркетинговой электронной почты Dynamics 365. Исходящие Да Нет
EOPExternalPublishedIPs Этот тег представляет IP-адреса, используемые в PowerShell для Центра безопасности и соответствия требованиям. Дополнительные сведения см. в статье Подключение к PowerShell Центра безопасности и соответствия требованиям с помощью модуля EXO V2. both Нет Да
EventHub . Исходящие Да Да
GatewayManager Трафик управления для развертываний, выделенных для VPN-шлюза Azure и шлюза приложений. Входящий трафик Нет Нет
GuestAndHybridManagement Служба автоматизации Azure и гостевая конфигурация. Исходящие Нет Да
HDInsight Azure HDInsight; Входящий трафик Да Нет
Интернет; Пространство IP-адресов, которые находятся за пределами виртуальной сети и к которым можно получить доступ из общедоступного сегмента Интернета.

К этим адресам относится общедоступное пространство IP-адресов, принадлежащее Azure.
both Нет Нет
LogicApps Azure Logic Apps. both Нет Нет
LogicAppsManagement Трафик управления для Logic Apps. Входящий трафик Нет Нет
M365ManagementActivityApi API действий управления Office 365 предоставляет сведения о событиях и действиях разных пользователей, администраторов, системы и политик из журналов действий Office 365 и Azure Active Directory. Клиенты и партнеры могут использовать эти сведения для создания новых или улучшения существующих корпоративных решений для отслеживания операций, безопасности и соответствия требованиям.

Примечание. Этот тег зависит от тега AzureActiveDirectory.
Исходящие Да Нет
M365ManagementActivityApiWebhook Уведомления отправляются в веб-перехватчик, настроенный для подписки, по мере появления нового содержимого. Входящий трафик Да Нет
MicrosoftAzureFluidRelay Этот тег представляет IP-адреса, используемые для сервера Microsoft Azure Fluid Relay. Исходящие Нет Нет
MicrosoftCloudAppSecurity Microsoft Defender for Cloud Apps. Исходящие Нет Нет
MicrosoftContainerRegistry Реестр контейнеров для образов контейнеров Майкрософт.

Примечание. Этот тег зависит от тега AzureFrontDoor.FirstParty.
Исходящие Да Да
PowerBI Power BI. both Нет Нет
PowerPlatformInfra Этот тег представляет IP-адреса, используемые инфраструктурой для размещения служб Power Platform. Исходящие Да Да
PowerPlatformPlex Этот тег представляет IP-адреса, используемые инфраструктурой, для размещения выполнения расширения Power Platform от имени клиента. Входящий трафик Да Да
PowerQueryOnline Power Query Online. both Нет Нет
Служебная шина Трафик служебной шины Azure, использующий уровень служб "Премиум". Исходящие Да Да
Service Fabric Azure Service Fabric.

Примечание. Этот тег представляет конечную точку службы Service Fabric для уровня управления для каждого региона. Это позволяет клиентам выполнять операции управления для своих кластеров Service Fabric из конечной точки виртуальной сети. (Например, https:// westus.servicefabric.azure.com).
both Нет Нет
SQL "База данных Azure SQL", "База данных Azure для MySQL", "База данных Azure для PostgreSQL", "База данных Azure для MariaDB" и Azure Synapse Analytics.

Примечание. Этот тег представляет службу, но не определенные экземпляры службы. Например, тег представляет службу "База данных SQL Microsoft Azure", но не определенную базу данных или сервер SQL Azure. Этот тег не применяется к управляемому экземпляру SQL.
Исходящие Да Да
SqlManagement Трафик управления для развертываний, выделенных для SQL. both Нет Да
Память служба хранилища Azure.

Примечание. Этот тег представляет службу, но не определенные экземпляры службы. Например, тег представляет службу хранилища Azure, но не определенную учетную запись хранения Azure.
Исходящие Да Да
StorageSyncService Служба хранилища Azure. both Нет нет
WindowsAdminCenter Разрешает серверной службе Windows Admin Center взаимодействовать с установкой Windows Admin Center пользователей. Исходящие Нет Да
WindowsVirtualDesktop Виртуальный рабочий стол Azure (ранее — виртуальный рабочий стол Windows). both Нет Да
VirtualNetwork; Адресное пространство виртуальной сети (все диапазоны IP-адресов, определенные для виртуальной сети), все адресное пространство подключенных локальных сетей, пиринговые виртуальные сети, виртуальные сети, подключенные к шлюзу виртуальной сети, виртуальный IP-адрес узла и префиксы адресов, используемые в определенных пользователем маршрутах. Этот тег также может содержать маршруты по умолчанию. both Нет Нет

Примечание

  • При использовании тегов службы с Брандмауэром Azure можно создавать только правила назначения для входящего и исходящего трафика. Правила источника не поддерживаются. Дополнительные сведения см. в документе Теги службы Брандмауэра Azure.

  • Теги службы для служб Azure обозначают используемые префиксы адресов из определенного облака. Например, базовые диапазоны IP-адресов, соответствующие значению тега Sql в общедоступном облаке Azure, будут отличаться от базовых диапазонов в облаке Azure для Китая.

  • Если вы реализуете конечную точку службы для виртуальной сети для службы, такой как служба хранилища Azure или "База данных SQL Azure", Azure добавляет для нее маршрут в подсеть виртуальной сети. Префиксы адресов для маршрута — это те же префиксы или диапазоны CIDR, которые заданы в теге соответствующей службы.

Поддерживаемые теги в классической модели развертывания

В классической модели развертывания (до Azure Resource Manager) поддерживается небольшое подмножество тегов, перечисленных в предыдущей таблице. Теги в классической модели развертывания написаны по-другому, как показано в таблице ниже.

Тег Resource Manager Соответствующий тег в классической модели развертывания
AzureLoadBalancer. AZURE_LOADBALANCER
Интернет; ИНТЕРНЕТ
VirtualNetwork; VIRTUAL_NETWORK

Теги служб в локальной среде

Вы можете получить текущий тег службы и сведения о диапазоне, которые будут включены в конфигурации локального брандмауэра. Эта информация является актуальным списком точек во времени для диапазонов IP-адресов, соответствующих каждому тегу службы. Эти сведения можно получить программно или скачав файл JSON, как описано в следующих разделах.

Использование API обнаружения тегов служб

Актуальный список тегов служб вместе со сведениями о диапазоне IP-адресов можно получить программным способом:

Например, чтобы получить все префиксы для тега службы хранилища, можно использовать следующие командлеты PowerShell:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Примечание

  • Данные API, представляющие эти теги, можно использовать с правилами группы безопасности сети в вашем регионе. Используйте данные API в качестве источника истины для доступных тегов служб, так как они могут отличаться от данных в скачиваемом файле JSON.
  • На распространение новых данных тегов служб в результатах API по всем регионам требуется до 4 недель. Из-за этого результаты данных API могут быть не синхронизированы со скачиваемым JSON-файлом, так как данные API представляют подмножество тегов в скачиваемом JSON-файле.
  • Нужно пройти проверку подлинности и иметь роль с разрешениями на чтение для текущей подписки.

Обнаружение тегов службы с помощью скачиваемых файлов JSON

Вы можете скачать файлы JSON, которые содержат актуальный список тегов служб вместе со сведениями о диапазоне IP-адресов. Эти списки обновляются и публикуются еженедельно. Расположения для каждого облака:

Диапазоны IP-адресов в этих файлах даны в нотации CIDR.

В следующих тегах AzureCloud имена регионов имеют формат, отличающийся от обычной схемы.

  • AzureCloud.centralfrance (FranceCentral)
  • AzureCloud.southfrance (FranceSouth)
  • AzureCloud.germanywc (GermanyWestCentral)
  • AzureCloud.germanyn (GermanyNorth)
  • AzureCloud.norwaye (NorwayEast)
  • AzureCloud.norwayw (NorwayWest)
  • AzureCloud.switzerlandn (SwitzerlandNorth)
  • AzureCloud.switzerlandw (SwitzerlandWest)
  • AzureCloud.usstagee (EastUSSTG)
  • AzureCloud.usstagec (SouthCentralUSSTG)

Примечание

Подмножество этих сведений опубликовано в файлах XML для Azure Public, Azure для Китая и Azure для Германии. Эти загрузки XML станут устаревшими 30 июня 2020 г. и больше не будут доступны после этой даты. Необходимо выполнить миграцию для использования API обнаружения или скачивания файла JSON, как описано в предыдущих разделах.

Совет

  • Наличие обновления можно отслеживать по увеличению значения changeNumber в файле JSON. Для каждого подраздела (например, Storage.WestUS) имеется собственное значение changeNumber, которое увеличивается по мере появления изменений. Значение changeNumber в файле увеличивается при изменении любого из подразделов.

  • Примеры синтаксического анализа сведений о теге службы (например, получение всех диапазонов адресов для хранилища в WestUS) см. в документации по API обнаружения тегов служб PowerShell.

  • Добавленные в теги службы новые IP-адреса не будут использоваться в Azure по крайней мере в течение одной недели. Это дает время на обновление любых систем, которым может потребоваться отслеживание IP-адресов, связанных с тегами службы.

Дальнейшие действия