Azure App Service'da gelen ve giden IP adresleri
Azure App Service, App Service Ortamları dışında çok kiracılı bir hizmettir. App Service ortamında olmayan uygulamalar (Yalıtılmış katmanda değil) ağ altyapısını diğer uygulamalarla paylaşır. Sonuç olarak, bir uygulamanın gelen ve giden IP adresleri farklı olabilir ve hatta bazı durumlarda değişebilir.
App Service Ortamları ayrılmış ağ altyapıları kullanır, bu nedenle App Service bir ortamda çalışan uygulamalar hem gelen hem de giden bağlantılar için statik, ayrılmış IP adresleri alır.
IP adresleri App Service
App Service bir uygulama bir App Service planında çalışır ve App Service planları Azure altyapısındaki dağıtım birimlerinden birine (dahili olarak web alanı olarak adlandırılır) dağıtılır. Her dağıtım birimine bir genel gelen IP adresi ve bir giden IP adresi kümesi içeren bir sanal IP adresleri kümesi atanır. Aynı dağıtım ünitesindeki tüm App Service planları ve bunlarda çalışan uygulama örnekleri aynı sanal IP adresleri kümesini paylaşır. bir App Service Ortamı (Yalıtılmış katmandaki App Service planı) için App Service planı dağıtım biriminin kendisidir, dolayısıyla sanal IP adresleri buna ayrılmıştır.
Bir App Service planını dağıtım birimleri arasında taşımanıza izin verilmediğinden, uygulamanıza atanan sanal IP adresleri genellikle aynı kalır, ancak özel durumlar vardır.
Gelen IP değiştiğinde
Ölçeği genişletilmiş örnek sayısından bağımsız olarak, her uygulamanın tek bir gelen IP adresi vardır. Aşağıdaki eylemlerden birini gerçekleştirdiğinizde gelen IP adresi değişebilir:
- Uygulamayı sildiğinizde ve farklı bir kaynak grubunda yeniden oluşturduğunuzda (dağıtım birimi değişebilir).
- Kaynak grubu ve bölge bileşimindeki son uygulamayı silin ve yeniden oluşturun (dağıtım birimi değişebilir).
- Sertifika yenileme sırasında olduğu gibi mevcut BIR IP tabanlı TLS/SSL bağlamayı silin (bkz. Sertifikayı yenileme).
Gelen IP'yi bulma
Yerel terminalde aşağıdaki komutu çalıştırmanız gerekir:
nslookup <app-name>.azurewebsites.net
Statik bir gelen IP alma
Bazen uygulamanız için ayrılmış, statik bir IP adresi isteyebilirsiniz. Statik bir gelen IP adresi almak için IP tabanlı sertifika bağlaması ile özel bir DNS adının güvenliğini sağlamanız gerekir. Uygulamanızın güvenliğini sağlamak için TLS işlevselliğine ihtiyacınız yoksa, bu bağlama için otomatik olarak imzalanan bir sertifika bile yükleyebilirsiniz. IP tabanlı BIR TLS bağlamasında sertifika IP adresinin kendisine bağlıdır, bu nedenle App Service bunu gerçekleştirmek için statik bir IP adresi sağlar.
Giden IP'ler değiştiğinde
Ölçeği genişletilen örneklerin sayısından bağımsız olarak, her uygulamanın herhangi bir zamanda belirlenen sayıda giden IP adresi vardır. arka uç veritabanı gibi App Service uygulamasından giden bağlantılar, çıkış IP adresi olarak giden IP adreslerinden birini kullanır. Kullanılacak IP adresi çalışma zamanında rastgele seçilir, dolayısıyla arka uç hizmetinizin uygulamanız için tüm giden IP adresleri için güvenlik duvarını açması gerekir.
Uygulamanız için giden IP adresleri kümesi, aşağıdaki eylemlerden birini gerçekleştirdiğinizde değişir:
- Uygulamayı sildiğinizde ve farklı bir kaynak grubunda yeniden oluşturduğunuzda (dağıtım birimi değişebilir).
- Kaynak grubu ve bölge bileşimindeki son uygulamayı silin ve yeniden oluşturun (dağıtım birimi değişebilir).
- Uygulamanızı alt katmanlar (Temel, Standart ve Premium), PremiumV2 katmanı, PremiumV3 katmanı ve PremiumV3 katmanı içindeki Pmv3 seçenekleri arasında ölçeklendirin (IP adresleri kümeye eklenebilir veya kümeden çıkarılabilir).
Fiyatlandırma katmanlarından bağımsız olarak uygulamanızın kullanabileceği tüm olası giden IP adresleri kümesini, özelliği arayarak possibleOutboundIpAddresses veya Azure portal Özellikler dikey penceresindeki Ek Giden IP Adresleri alanında bulabilirsiniz. Bkz. Giden IP'leri bulma.
App Service mevcut App Service dağıtımlarına yeni fiyatlandırma katmanları veya seçenekler eklerse tüm olası giden IP adresleri kümesinin zaman içinde artabileceğini unutmayın. Örneğin, App Service PremiumV3 katmanını mevcut bir App Service dağıtımına eklerse, tüm olası giden IP adresleri kümesi artar. Benzer şekilde, App Service PremiumV3 katmanını zaten destekleyen bir dağıtıma yeni Pmv3 seçenekleri eklerse, tüm olası giden IP adresleri kümesi de artar. Çalışan uygulamalara yönelik giden IP adresleri, bir App Service dağıtımına yeni bir fiyatlandırma katmanı veya seçenek eklendiğinde değişmediğinden bu hemen bir etkiye sahip değildir. Ancak, uygulamalar daha önce kullanılabilir olmayan yeni bir fiyatlandırma katmanına veya seçeneğe geçerse, yeni giden adresler kullanılır ve müşterilerin aşağı akış güvenlik duvarı kurallarını ve IP adresi kısıtlamalarını güncelleştirmeleri gerekir.
Giden IP'leri bulma
uygulamanız tarafından kullanılan giden IP adreslerini Azure portal bulmak için, uygulamanızın sol gezinti bölmesinde Özellikler'e tıklayın. Giden IP Adresleri alanında listelenirler .
Cloud Shell aşağıdaki komutu çalıştırarak aynı bilgileri bulabilirsiniz.
az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses
Fiyatlandırma katmanlarından bağımsız olarak uygulamanızın tüm olası giden IP adreslerini bulmak için, uygulamanızın sol gezinti bölmesinde Özellikler'e tıklayın. Bunlar Ek Giden IP Adresleri alanında listelenir.
Cloud Shell aşağıdaki komutu çalıştırarak aynı bilgileri bulabilirsiniz.
az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses
Statik bir giden IP alma
Statik genel IP adresi üzerinden trafiği yönlendirmek için sanal ağ NAT ağ geçidiyle birlikte bölgesel sanal ağ tümleştirmesini kullanarak uygulamanızdan giden trafiğin IP adresini denetleyebilirsiniz. Bölgesel sanal ağ tümleştirmesiTemel, Standart, Premium, PremiumV2 ve PremiumV3 App Service planlarında kullanılabilir. Bu kurulum hakkında daha fazla bilgi edinmek için bkz. NAT ağ geçidi tümleştirmesi.
Sonraki adımlar
Gelen trafiği kaynak IP adreslerine göre kısıtlamayı öğrenin.