Azure App Service'de gelen ve giden IP adresleri
Azure Uygulaması Hizmeti, App Service Ortamı dışında çok kiracılı bir hizmettir. App Service ortamında (Yalıtılmış katmanda olmayan) uygulamalar ağ altyapısını diğer uygulamalarla paylaşır. Sonuç olarak, bir uygulamanın gelen ve giden IP adresleri farklı olabilir ve hatta belirli durumlarda değişebilir.
App Service Ortamı ayrılmış ağ altyapıları kullanır, bu nedenle App Service ortamında çalışan uygulamalar hem gelen hem de giden bağlantılar için statik, ayrılmış IP adresleri alır.
App Service'te IP adresleri nasıl çalışır?
App Service uygulaması bir App Service planında çalışır ve App Service planları Azure altyapısındaki dağıtım birimlerinden birine (dahili olarak web alanı olarak adlandırılır) dağıtılır. Her dağıtım birimine, bir genel gelen IP adresi ve bir giden IP adresi kümesi içeren bir sanal IP adresleri kümesi atanır. Aynı dağıtım birimindeki tüm App Service planları ve içinde çalışan uygulama örnekleri aynı sanal IP adresleri kümesini paylaşır. bir App Service Ortamı (Yalıtılmış katmanda App Service planı), App Service planı dağıtım biriminin kendisidir, dolayısıyla sanal IP adresleri buna ayrılmıştır.
App Service planını dağıtım birimleri arasında taşımanıza izin verilmediğinden, uygulamanıza atanan sanal IP adresleri genellikle aynı kalır, ancak özel durumlar vardır.
Gelen IP değiştiğinde
Ölçeği genişletilen örnek sayısından bağımsız olarak, her uygulamanın tek bir gelen IP adresi vardır. Aşağıdaki eylemlerden birini gerçekleştirdiğinizde gelen IP adresi değişebilir:
- Uygulamayı sildiğinizde ve farklı bir kaynak grubunda yeniden oluşturduğunuzda (dağıtım birimi değişebilir).
- Kaynak grubu ve bölge bileşimindeki son uygulamayı silin ve yeniden oluşturun (dağıtım birimi değişebilir).
- Sertifika yenileme sırasında olduğu gibi mevcut IP tabanlı TLS/SSL bağlamalarını silin (bkz . Sertifikayı yenileme).
Gelen IP'yi bulma
Yerel terminalde aşağıdaki komutu çalıştırmanız gerekir:
nslookup <app-name>.azurewebsites.net
Statik gelen IP alma
Bazen uygulamanız için ayrılmış, statik bir IP adresi isteyebilirsiniz. Statik bir gelen IP adresi almak için IP tabanlı sertifika bağlaması ile özel bir DNS adının güvenliğini sağlamanız gerekir. Uygulamanızın güvenliğini sağlamak için TLS işlevselliğine ihtiyacınız yoksa, bu bağlama için otomatik olarak imzalanan bir sertifika bile yükleyebilirsiniz. IP tabanlı TLS bağlamasında, sertifika IP adresinin kendisine bağlıdır, bu nedenle App Service bunu gerçekleştirmek için statik bir IP adresi oluşturur.
Giden IP'ler değiştiğinde
Ölçeği genişletilen örneklerin sayısından bağımsız olarak, her uygulamanın herhangi bir zamanda belirlenen sayıda giden IP adresi vardır. App Service uygulamasından arka uç veritabanı gibi herhangi bir giden bağlantı, çıkış IP adresi olarak giden IP adreslerinden birini kullanır. Kullanılacak IP adresi çalışma zamanında rastgele seçilir, dolayısıyla arka uç hizmetinizin uygulamanız için tüm giden IP adresleri için güvenlik duvarını açması gerekir.
Uygulamanız için giden IP adresleri kümesi, aşağıdaki eylemlerden birini gerçekleştirdiğinizde değişir:
- Uygulamayı sildiğinizde ve farklı bir kaynak grubunda yeniden oluşturduğunuzda (dağıtım birimi değişebilir).
- Kaynak grubu ve bölge bileşimindeki son uygulamayı silin ve yeniden oluşturun (dağıtım birimi değişebilir).
- Uygulamanızı alt katmanlar (Temel, Standart ve Premium), PremiumV2 katmanı, PremiumV3 katmanı ve PremiumV3 katmanındaki Pmv3 seçenekleri arasında ölçeklendirin (IP adresleri kümeye eklenebilir veya kümeden çıkarılabilir).
Fiyatlandırma katmanlarından bağımsız olarak uygulamanızın kullanabileceği tüm olası giden IP adresleri kümesini, özelliği arayarak possibleOutboundIpAddresses veya Azure portalındaki Özellikler sayfasındaki Ek Giden IP Adresleri alanında bulabilirsiniz. Bkz . Giden IP'leri bulma.
App Service mevcut App Service dağıtımlarına yeni fiyatlandırma katmanları veya seçenekler eklerse, tüm olası giden IP adresleri kümesi zaman içinde artabilir. Örneğin, App Service PremiumV3 katmanını mevcut bir App Service dağıtımına eklerse, tüm olası giden IP adresleri kümesi artar. Benzer şekilde, App Service PremiumV3 katmanını zaten destekleyen bir dağıtıma yeni Pmv3 seçenekleri eklerse, tüm olası giden IP adresleri kümesi artar. Uygulamaları çalıştırmak için giden IP adresleri App Service dağıtımına yeni bir fiyatlandırma katmanı veya seçenek eklendiğinde değişmediğinden, dağıtıma IP adresleri eklemenin hemen bir etkisi olmaz. Ancak, uygulamalar daha önce kullanılabilir olmayan yeni bir fiyatlandırma katmanına veya seçeneğe geçerse, yeni giden adresler kullanılır ve müşterilerin aşağı akış güvenlik duvarı kurallarını ve IP adresi kısıtlamalarını güncelleştirmeleri gerekir.
Giden IP'leri bulma
Azure portalında uygulamanız tarafından kullanılmakta olan giden IP adreslerini bulmak için, uygulamanızın sol gezinti bölmesinde Özellikler'i seçin. Giden IP Adresleri alanında listelenirler.
Cloud Shell'de aşağıdaki komutu çalıştırarak aynı bilgileri bulabilirsiniz.
az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses
Fiyatlandırma katmanlarından bağımsız olarak uygulamanızın tüm olası giden IP adreslerini bulmak için, uygulamanızın sol gezinti bölmesinde Özellikler'i seçin. Bunlar Ek Giden IP Adresleri alanında listelenir.
Cloud Shell'de aşağıdaki komutu çalıştırarak aynı bilgileri bulabilirsiniz.
az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses
Statik giden IP alma
Statik genel IP adresi üzerinden trafiği yönlendirmek için sanal ağ tümleştirmesini bir sanal ağ NAT ağ geçidiyle birlikte kullanarak uygulamanızdan giden trafiğin IP adresini denetleyebilirsiniz. Sanal ağ tümleştirmesi Temel, Standart, Premium, PremiumV2 ve PremiumV3 App Service planlarında kullanılabilir. Bu kurulum hakkında daha fazla bilgi edinmek için bkz . NAT ağ geçidi tümleştirmesi.
Hizmet etiketi
Hizmet etiketini kullanarakAppService, tek tek IP adresleri belirtmeden Azure Uygulaması Hizmeti hizmeti için ağ erişimi tanımlayabilirsiniz. Hizmet etiketi, güvenlik kuralları oluşturmanın karmaşıklığını en aza indirmek için kullandığınız ip adresi ön ekleri grubudur. Hizmet etiketlerini kullandığınızda Azure, hizmet için değiştikçe IP adreslerini otomatik olarak güncelleştirir. Ancak hizmet etiketi bir güvenlik denetimi mekanizması değildir. Hizmet etiketi yalnızca BIR IP adresleri listesidir.
Hizmet AppService etiketi yalnızca çok kiracılı uygulamaların gelen IP adreslerini içerir. Yalıtılmış (App Service Ortamı) olarak dağıtılan uygulamalardan gelen IP adresleri ve IP tabanlı TLS bağlamaları kullanan uygulamalar dahil değildir. Ayrıca hem çok kiracılı hem de yalıtılmış olarak kullanılan tüm giden IP adresleri etikete dahil değildir.
Etiketi, bir Ağ güvenlik grubundaki (NSG) uygulamalara giden trafiğe izin vermek için kullanılabilir. Uygulama IP tabanlı TLS kullanıyorsa veya uygulama yalıtılmış modda dağıtılıyorsa, bunun yerine ayrılmış IP adresini kullanmanız gerekir.
Not
Hizmet etiketi ağ erişimini tanımlamanıza yardımcı olur, ancak tek tek IP adresleri üzerinde ayrıntılı denetim sağlamadığından uygun ağ güvenlik önlemlerinin yerini almamalıdır.
Sonraki adımlar
- Gelen trafiği kaynak IP adreslerine göre kısıtlamayı öğrenin.
- Hizmet etiketleri hakkında daha fazla bilgi edinin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin