你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
了解如何使用 Azure 资源管理器服务标记
通过使用 AzureResourceManager
服务标记,可以定义 Azure 资源管理器服务的网络访问,而无需指定单个 IP 地址。 服务标记是一组 IP 地址前缀,用于最大程度地降低创建安全规则的复杂性。 使用服务标记时,Azure 会在服务更改时自动更新 IP 地址。 但是,服务标记不是安全控制机制。 服务标记只是一个 IP 地址列表。
何时使用
使用服务标记定义以下项的网络访问控制:
- 网络安全组 (NSG):
- Azure 防火墙规则
- 用户定义的路由 (UDR)
除了这些方案,还可以使用 AzureResourceManager
服务标记执行以下操作:
- 限制对 ARM 模板部署中引用的链接模板的访问。
- 限制对通过 Bicep 扩展性访问的 Kubernetes 控制平面的访问。
安全注意事项
Azure 资源管理器服务标记有助于定义网络访问,但不应将其视为适当的网络安全措施的替代项。 具体而言,Azure 资源管理器服务标记:
- 不提供对单个 IP 地址的精细控制。
- 不应依赖其作为保护网络的唯一方法。
监视和自动化
监视基础结构时,请使用与 Azure 网络堆栈中的服务标记关联的特定 IP 地址前缀。
对于部署自动化和监视,请确保仅对服务面向客户的部分使用服务标记范围内的公共 IP。
后续步骤
有关服务标记的详细信息,请参阅虚拟网络服务标记。