Tjänsttaggar för virtuellt nätverk

En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras, vilket minimerar komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler.

Du kan använda tjänsttaggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper, Azure Firewall och användardefinierade vägar. Använd tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler och vägar. Genom att ange namnet på tjänsttaggen, till exempel ApiManagement, i lämpligt käll- eller målfält i en säkerhetsregel, kan du tillåta eller neka trafik för motsvarande tjänst. Genom att ange namnet på tjänsttaggen i adressprefixet för en väg kan du dirigera trafik som är avsedd för något av de prefix som kapslas in av tjänsttaggen till önskad nästa hopptyp.

Anteckning

Från och med mars 2022 är användningen av tjänsttaggar i stället för explicita adressprefix i användardefinierade vägar inte tillgänglig som förhandsversion och allmänt tillgänglig.

Du kan använda tjänsttaggar för att uppnå nätverksisolering och skydda dina Azure-resurser från det allmänna Internet vid åtkomst till Azure-tjänster som har offentliga slutpunkter. Skapa regler för inkommande/utgående nätverkssäkerhetsgrupp för att neka trafik till/från Internet och tillåta trafik till/från AzureCloud eller andra tillgängliga tjänsttaggar för specifika Azure-tjänster.

Nätverksisolering av Azure-tjänster med hjälp av tjänsttaggar

Tillgängliga tjänsttaggar

Följande tabell innehåller alla tjänsttaggar som är tillgängliga för användning i regler för nätverkssäkerhetsgrupper .

Kolumnerna anger om taggen:

  • Passar för regler som täcker inkommande eller utgående trafik.
  • Stöder regionalt omfång.
  • Kan endast användas i Azure Firewall regler som målregel för inkommande eller utgående trafik.

Som standard återspeglar tjänsttaggar intervallen för hela molnet. Vissa tjänsttaggar tillåter också mer detaljerad kontroll genom att begränsa motsvarande IP-intervall till en angiven region. Tjänsttaggen Storage representerar till exempel Azure Storage för hela molnet, men Storage.WestUS begränsar intervallet till endast lagringens IP-adressintervall från regionen WestUS. Följande tabell anger om varje tjänsttagg stöder ett sådant regionalt omfång, och riktningen som anges för varje tagg är en rekommendation. AzureCloud-taggen kan till exempel användas för att tillåta inkommande trafik. I de flesta fall rekommenderar vi inte att du tillåter trafik från alla Azure-IP-adresser eftersom IP-adresser som används av andra Azure-kunder ingår som en del av tjänsttaggen.

Tagg Syfte Kan använda inkommande eller utgående? Kan vara regional? Kan du använda med Azure Firewall?
ActionGroup Åtgärdsgrupp. Inkommande Inga Inga
ApiManagement Hanteringstrafik för Azure API Management-dedikerade distributioner.

Obs! Den här taggen representerar Tjänstslutpunkten för Azure API Management för kontrollplan per region. Taggen gör det möjligt för kunder att utföra hanteringsåtgärder på DE API:er, Åtgärder, Principer, NamedValues som konfigurerats på API Management-tjänsten.
Inkommande Ja Ja
ApplicationInsightsAvailability Tillgänglighet för Application Insights. Inkommande Inga Inga
AppConfiguration App Configuration. Utgående Inga Inga
AppService Azure App Service. Den här taggen rekommenderas för utgående säkerhetsregler för webbappar och funktionsappar.

Obs! Den här taggen innehåller inte IP-adresser som tilldelas vid användning av IP-baserad SSL (apptilldelad adress).
Utgående Ja Ja
AppServiceManagement Hanteringstrafik för distributioner som är dedikerade till App Service-miljön. Båda Inga Ja
AzureActiveDirectory Azure Active Directory. Utgående Inga Ja
AzureActiveDirectoryDomainServices Hanteringstrafik för distributioner som är dedikerade till Azure Active Directory Domain Services. Båda Inga Ja
AzureAdvancedThreatProtection Azure Advanced Threat Protection. Utgående Inga Inga
AzureArcInfrastructure Azure Arc-aktiverade servrar, Azure Arc-aktiverad Kubernetes och gästkonfigurationstrafik.

Obs! Den här taggen är beroende av taggarna AzureActiveDirectory, AzureTrafficManager och AzureResourceManager .
Utgående Inga Ja
AzureAttestation Azure Attestation. Utgående Inga Ja
AzureBackup Azure Backup.

Obs! Den här taggen är beroende av taggarna Storage och AzureActiveDirectory .
Utgående Inga Ja
AzureBotService Azure Bot Service. Utgående Inga Inga
AzureCloud Alla offentliga IP-adresser för datacenter. Båda Ja Ja
AzureCognitiveSearch Azure Cognitive Search.

Den här taggen eller IP-adresserna som omfattas av den här taggen kan användas för att ge indexerare säker åtkomst till datakällor. Mer information om indexerare finns i dokumentationen för indexerarens anslutning.

Obs! IP-adressen för söktjänsten ingår inte i listan över IP-intervall för den här tjänsttaggen och måste också läggas till i IP-brandväggen för datakällor.
Inkommande Inga Inga
AzureConnectors Den här taggen representerar de IP-adresser som används för hanterade anslutningsappar som gör inkommande webhook-återanrop till Azure Logic Apps-tjänsten och utgående anrop till sina respektive tjänster, till exempel Azure Storage eller Azure Event Hubs. Båda Ja Ja
AzureContainerRegistry Azure Container Registry. Utgående Ja Ja
AzureCosmosDB Azure Cosmos DB. Utgående Ja Ja
AzureDatabricks Azure Databricks. Båda Inga Inga
AzureDataExplorerManagement Azure Data Explorer Management. Inkommande Inga Inga
AzureDataLake Azure Data Lake Storage Gen1. Utgående Inga Ja
AzureDeviceUpdate Enhetsuppdatering för IoT Hub. Båda Inga Ja
AzureDevSpaces Azure Dev Spaces. Utgående Inga Inga
AzureDevOps Azure DevOps. Inkommande Ja Ja
AzureDigitalTwins Azure Digital Twins.

Obs! Den här taggen eller IP-adresserna som omfattas av den här taggen kan användas för att begränsa åtkomsten till slutpunkter som konfigurerats för händelsevägar.
Inkommande Inga Ja
AzureEventGrid Azure Event Grid. Båda Inga Inga
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Azure Front Door. Båda Inga Inga
AzureHealthcareAPIs IP-adresserna som omfattas av den här taggen kan användas för att begränsa åtkomsten till Azure Health Data Services. Båda Inga Ja
AzureInformationProtection Azure Information Protection.

Obs! Den här taggen är beroende av taggarna AzureActiveDirectory, AzureFrontDoor.Frontend och AzureFrontDoor.FirstParty .
Utgående Inga Inga
AzureIoTHub Azure IoT Hub. Utgående Ja Inga
AzureKeyVault Azure Key Vault.

Obs! Den här taggen är beroende av taggen AzureActiveDirectory .
Utgående Ja Ja
AzureLoadBalancer Lastbalanseraren för Azure-infrastrukturen. Taggen översätts till värdens virtuella IP-adress (168.63.129.16) där Azure-hälsoavsökningarna kommer. Detta omfattar endast avsökningstrafik, inte verklig trafik till serverdelsresursen. Om du inte använder Azure Load Balancer kan du åsidosätta den här regeln. Båda Inga Inga
AzureLoadTestingInstanceManagement Den här tjänsttaggen används för inkommande anslutningar från Azure Load Testing-tjänsten till de instanser för belastningsgenerering som matas in i ditt virtuella nätverk i scenariot för privat belastningstestning.

Observera: Den här taggen är avsedd att användas i Azure Firewall, NSG, UDR och alla andra gatewayer för inkommande anslutningar.
Inga Ja
AzureMachineLearning Azure Machine Learning. Båda Inga Ja
AzureMonitor Log Analytics, Application Insights, AzMon och anpassade mått (GiG-slutpunkter).

Obs! För Log Analytics krävs även lagringstaggen . Om Linux-agenter används krävs även taggen GuestAndHybridManagement .
Utgående Inga Ja
AzureOpenDatasets Azure Open Datasets.

Obs! Den här taggen är beroende av taggen AzureFrontDoor.Frontend och Storage .
Utgående Inga Inga
AzurePlatformDNS Dns-tjänsten för den grundläggande infrastrukturen (standard).

Du kan använda den här taggen för att inaktivera standard-DNS. Var försiktig när du använder den här taggen. Vi rekommenderar att du läser överväganden för Azure-plattformen. Vi rekommenderar också att du utför testning innan du använder den här taggen.
Utgående Inga Inga
AzurePlatformIMDS Azure Instance Metadata Service (IMDS), som är en grundläggande infrastrukturtjänst.

Du kan använda den här taggen för att inaktivera standard-IMDS. Var försiktig när du använder den här taggen. Vi rekommenderar att du läser överväganden för Azure-plattformen. Vi rekommenderar också att du utför testning innan du använder den här taggen.
Utgående Inga Inga
AzurePlatformLKM Windows-licensiering eller nyckelhanteringstjänst.

Du kan använda den här taggen för att inaktivera standardinställningarna för licensiering. Var försiktig när du använder den här taggen. Vi rekommenderar att du läser överväganden för Azure-plattformen. Vi rekommenderar också att du utför testning innan du använder den här taggen.
Utgående Inga Inga
AzureResourceManager Azure Resource Manager. Utgående Inga Inga
AzureSignalR Azure SignalR. Utgående Inga Inga
AzureSiteRecovery Azure Site Recovery.

Obs! Den här taggen är beroende av taggarna AzureActiveDirectory, AzureKeyVault, EventHub, GuestAndHybridManagement och Storage .
Utgående Inga Inga
AzureSphere Den här taggen eller IP-adresserna som omfattas av den här taggen kan användas för att begränsa åtkomsten till Azure Sphere Security Services. Båda Inga Ja
AzureStack Azure Stack Bridge-tjänster.
Den här taggen representerar Azure Stack Bridge-tjänstslutpunkten per region.
Utgående Inga Ja
AzureTrafficManager IP-adresser för Azure Traffic Manager-avsökning.

Mer information om IP-adresser för Traffic Manager-avsökning finns i Vanliga frågor och svar om Azure Traffic Manager.
Inkommande Inga Ja
AzureUpdateDelivery För att komma åt Windows Uppdateringar.

Obs! Den här taggen ger åtkomst till Windows Update metadatatjänster. Om du vill ladda ned uppdateringar måste du även aktivera tjänsttaggen AzureFrontDoor.FirstParty och konfigurera utgående säkerhetsregler med protokollet och porten definierade på följande sätt:
  • AzureUpdateDelivery: TCP, port 443
  • AzureFrontDoor.FirstParty: TCP, port 80
Utgående Inga Inga
BatchNodeManagement Hanteringstrafik för distributioner som är dedikerade till Azure Batch. Båda Inga Ja
CognitiveServicesManagement Adressintervallen för trafik för Azure Cognitive Services. Båda Inga Inga
DataFactory Azure Data Factory Båda Inga Inga
DataFactoryManagement Hanteringstrafik för Azure Data Factory. Utgående Inga Inga
Dynamics365ForMarketingEmail Adressintervallen för e-posttjänsten för marknadsföring i Dynamics 365. Utgående Ja Inga
EOPExternalPublishedIPs Den här taggen representerar de IP-adresser som används för Security & Compliance Center PowerShell. Mer information finns i Connect to Security Compliance Center PowerShell using the EXO V2 (Anslut till säkerhets&- och efterlevnadscenter med EXO V2-modulen). Båda Inga Ja
EventHub Azure Event Hubs. Utgående Ja Ja
GatewayManager Hanteringstrafik för distributioner som är dedikerade till Azure VPN Gateway och Application Gateway. Inkommande Inga Inga
GuestAndHybridManagement Azure Automation och gästkonfiguration. Utgående Inga Ja
HDInsight Azure HDInsight. Inkommande Ja Inga
Internet IP-adressutrymmet som är utanför det virtuella nätverket och som kan nås av det offentliga Internet.

Adressintervallet omfattar det Azure-ägda offentliga IP-adressutrymmet.
Båda Inga Inga
LogicApps Logic Apps. Båda Inga Inga
LogicAppsManagement Hanteringstrafik för Logic Apps. Inkommande Inga Inga
M365ManagementActivityApi API:et Office 365 Management Activity innehåller information om olika användar-, administratörs-, system- och principåtgärder och händelser från Office 365- och Azure Active Directory-aktivitetsloggar. Kunder och partner kan använda den här informationen för att skapa nya eller förbättrade befintliga lösningar för drift, säkerhet och efterlevnadsövervakning för företaget.

Obs! Den här taggen är beroende av taggen AzureActiveDirectory .
Utgående Ja Inga
M365ManagementActivityApiWebhook Meddelanden skickas till den konfigurerade webhooken för en prenumeration när nytt innehåll blir tillgängligt. Inkommande Ja Inga
MicrosoftAzureFluidRelay Den här taggen representerar de IP-adresser som används för Azure Microsoft Fluid Relay Server. Utgående Inga Inga
MicrosoftCloudAppSecurity Microsoft Defender for Cloud Apps. Utgående Inga Inga
MicrosoftContainerRegistry Containerregister för Microsoft-containeravbildningar.

Obs! Den här taggen är beroende av taggen AzureFrontDoor.FirstParty .
Utgående Ja Ja
PowerBI Power BI. Båda Inga Inga
PowerPlatformInfra Den här taggen representerar de IP-adresser som används av infrastrukturen som värd för Power Platform-tjänster. Utgående Ja Ja
PowerPlatformPlex Den här taggen representerar de IP-adresser som används av infrastrukturen som värd för körning av Power Platform-tillägg för kundens räkning. Inkommande Ja Ja
PowerQueryOnline Power Query Online. Båda Inga Inga
ServiceBus Azure Service Bus trafik som använder Premium-tjänstnivån. Utgående Ja Ja
ServiceFabric Azure Service Fabric.

Obs! Den här taggen representerar Service Fabric-tjänstslutpunkten för kontrollplan per region. Detta gör det möjligt för kunder att utföra hanteringsåtgärder för sina Service Fabric-kluster från deras VNET-slutpunkt. (Till exempel https:// westus.servicefabric.azure.com).
Båda Inga Inga
Sql Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Database for MariaDB och Azure Synapse Analytics.

Obs! Den här taggen representerar tjänsten, men inte specifika instanser av tjänsten. Taggen kan till exempel representera tjänsten Azure SQL Database, men inte en specifik SQL-databas eller -server. Den här taggen gäller inte för SQL-hanterad instans.
Utgående Ja Ja
SqlManagement Hanteringstrafik för SQL-dedikerade distributioner. Båda Inga Ja
Storage Azure Storage.

Obs! Den här taggen representerar tjänsten, men inte specifika instanser av tjänsten. Taggen kan till exempel representera tjänsten Azure Storage, men inte ett specifikt Azure Storage-konto.
Utgående Ja Ja
StorageSyncService Synkroniseringstjänst för lagring. Båda Inga Inga
WindowsAdminCenter Tillåt Windows Admin Center serverdelstjänsten att kommunicera med kundernas installation av Windows Admin Center. Utgående Inga Ja
WindowsVirtualDesktop Azure Virtual Desktop (tidigare Windows Virtual Desktop). Båda Inga Ja
VirtualNetwork Det virtuella nätverkets adressutrymme (alla IP-adressintervall som definierats för det virtuella nätverket), alla anslutna lokala adressutrymmen, peerkopplade virtuella nätverk, virtuella nätverk som är anslutna till en virtuell nätverksgateway, värdens virtuella IP-adress och adressprefix som används på användardefinierade vägar. Den här taggen kan också innehålla standardvägar. Båda Inga Inga

Anteckning

  • När du använder tjänsttaggar med Azure Firewall kan du bara skapa målregler för inkommande och utgående trafik. Källregler stöds inte. Mer information finns i dokumentet Azure Firewall servicetaggar.

  • Tjänsttaggar för Azure-tjänster anger adressprefixen från det specifika moln som används. Till exempel skiljer sig de underliggande IP-intervallen som motsvarar Sql-taggvärdet i det offentliga Azure-molnet från de underliggande intervallen i Azure China-molnet.

  • Om du implementerar en tjänstslutpunkt för virtuellt nätverk för en viss tjänst, till exempel Azure Storage eller Azure SQL Database, lägger Azure till en väg till ett undernät för virtuella nätverk för tjänsten. Adressprefixen i vägen är samma adressprefix eller CIDR-intervall som för motsvarande tjänsttagg.

Taggar som stöds i den klassiska distributionsmodellen

Den klassiska distributionsmodellen (före Azure Resource Manager) stöder en liten delmängd av taggarna som anges i föregående tabell. Taggarna i den klassiska distributionsmodellen stavas på olika sätt, enligt följande tabell:

Resource Manager tagg Motsvarande tagg i den klassiska distributionsmodellen
AzureLoadBalancer AZURE_LOADBALANCER
Internet INTERNET
VirtualNetwork VIRTUAL_NETWORK

Tjänsttaggar lokalt

Du kan hämta den aktuella tjänsttaggen och intervallinformationen som ska ingå som en del av dina lokala brandväggskonfigurationer. Den här informationen är den aktuella punkt-i-tid-listan över DE IP-intervall som motsvarar varje tjänsttagg. Du kan hämta informationen programmatiskt eller via en JSON-filnedladdning enligt beskrivningen i följande avsnitt.

Använda API:et för identifiering av tjänsttagg

Du kan programmatiskt hämta den aktuella listan över tjänsttaggar tillsammans med INFORMATION om IP-adressintervall:

Om du till exempel vill hämta alla prefix för lagringstjänsttaggen kan du använda följande PowerShell-cmdletar:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Anteckning

  • API-data representerar de taggar som kan användas med NSG-regler i din region. Använd API-data som sanningskälla för tillgängliga tjänsttaggar eftersom de kan skilja sig från den nedladdningsbara JSON-filen.
  • Det tar upp till 4 veckor innan nya tjänsttaggdata sprids i API-resultaten i alla Azure-regioner. På grund av den här processen kan dina API-dataresultat vara osynkroniserade med den nedladdningsbara JSON-filen eftersom API-data representerar en delmängd av taggarna som för närvarande finns i den nedladdningsbara JSON-filen.
  • Du måste vara autentiserad och ha en roll med läsbehörighet för din aktuella prenumeration.

Identifiera tjänsttaggar med hjälp av nedladdningsbara JSON-filer

Du kan ladda ned JSON-filer som innehåller den aktuella listan över tjänsttaggar tillsammans med information om IP-adressintervall. Dessa listor uppdateras och publiceras varje vecka. Platser för varje moln är:

IP-adressintervallen i dessa filer är i CIDR-notation.

Följande AzureCloud-taggar har inte regionala namn formaterade enligt det normala schemat:

  • AzureCloud.centralfrance (FranceCentral)
  • AzureCloud.southfrance (FranceSouth)
  • AzureCloud.germanywc (GermanyWestCentral)
  • AzureCloud.germanyn (TysklandNorth)
  • AzureCloud.norwaye (NorgeEast)
  • AzureCloud.norwayw (NorwayWest)
  • AzureCloud.switzerlandn (SchweizNorth)
  • AzureCloud.switzerlandw (SchweizWest)
  • AzureCloud.usstagee (EastUSSTG)
  • AzureCloud.usstagec (SouthCentralUSSTG)

Anteckning

En delmängd av den här informationen har publicerats i XML-filer för Azure Public, Azure China och Azure Germany. Dessa XML-nedladdningar kommer att vara inaktuella senast den 30 juni 2020 och kommer inte längre att vara tillgängliga efter det datumet. Du bör migrera till att använda identifierings-API:et eller JSON-filnedladdningarna enligt beskrivningen i föregående avsnitt.

Tips

  • Du kan identifiera uppdateringar från en publikation till en annan genom att notera ökade changeNumber-värden i JSON-filen. Varje underavsnitt (till exempel Storage.WestUS) har ett eget changeNumber som ökas när ändringar sker. Den översta nivån i filens changeNumber ökas när något av underavsnitten ändras.

  • Exempel på hur du parsar information om tjänsttaggar (till exempel hämta alla adressintervall för Lagring i USA, västra) finns i PowerShell-dokumentationen för Api:et för identifiering av tjänsttagg .

  • När nya IP-adresser läggs till i tjänsttaggar används de inte i Azure på minst en vecka. Detta ger dig tid att uppdatera alla system som kan behöva spåra IP-adresser som är associerade med tjänsttaggar.

Nästa steg