你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

了解如何使用 Azure 资源管理器服务标记

通过使用 AzureResourceManager 服务标记,可以定义 Azure 资源管理器服务的网络访问,而无需指定单个 IP 地址。 服务标记是一组 IP 地址前缀,用于最大程度地降低创建安全规则的复杂性。 使用服务标记时,Azure 会在服务更改时自动更新 IP 地址。 但是,服务标记不是安全控制机制。 服务标记只是一个 IP 地址列表。

何时使用

使用服务标记定义以下项的网络访问控制:

  • 网络安全组 (NSG):
  • Azure 防火墙规则
  • 用户定义的路由 (UDR)

除了这些方案,还可以使用 AzureResourceManager 服务标记执行以下操作:

  • 限制对 ARM 模板部署中引用的链接模板的访问。
  • 限制对通过 Bicep 扩展性访问的 Kubernetes 控制平面的访问。

安全注意事项

Azure 资源管理器服务标记有助于定义网络访问,但不应将其视为适当的网络安全措施的替代项。 具体而言,Azure 资源管理器服务标记:

  • 不提供对单个 IP 地址的精细控制。
  • 不应依赖其作为保护网络的唯一方法。

监视和自动化

监视基础结构时,请使用与 Azure 网络堆栈中的服务标记关联的特定 IP 地址前缀。

对于部署自动化和监视,请确保仅对服务面向客户的部分使用服务标记范围内的公共 IP。

后续步骤

有关服务标记的详细信息,请参阅虚拟网络服务标记