Azure 監視器所使用的 IP 位址
Azure 監視器會使用數個 IP 位址。 除了 Log Analytics 和 Application Insights 之外,Azure 監視器是由核心平台計量和記錄所組成。 如果您所監視的應用程式或基礎結構裝載於防火牆後方,您可能需要知道 IP 位址。
注意
雖然這些位址是靜態的,但我們可能隨時需要變更。 除了可用性監視和需要輸入防火牆規則的 Webhook 動作群組之外,關於 Application Insights 的所有流量皆表示輸出流量。
如果您使用 Azure 網路安全性群組,則可以使用 Azure 網路服務標籤來管理存取。 如果您管理混合式/內部部署資源的存取,則可以將對等 IP 位址清單下載為 JSON 檔案,每週都會更新。 若要涵蓋本文中的所有例外狀況,請使用服務標籤 ActionGroup、ApplicationInsightsAvailability 和 AzureMonitor。
或者,您可以將 https://github.com/MicrosoftDocs/azure-docs/blob/main/articles/azure-monitor/app/ip-addresses.md 新增至您慣用的 RSS/ATOM 讀取器,以訂閱此頁面的 RSS 摘要,而在最新變更可用時收取通知。
連出連接埠
您必須在伺服器的防火牆中開啟一些連出埠,以允許 Application Insights SDK 或 Application Insights 代理程式將資料傳送至入口網站。
注意
使用無類別網域間路由標記法來列出這些位址。 例如,類似於 51.144.56.112/28 的項目相當於從 51.144.56.112 開始並以 51.144.56.127 結尾的 16 個 IP。
| 目的 | URL | 類型 | IP | 連接埠 |
|---|---|---|---|---|
| 遙測 | dc.applicationinsights.azure.com dc.applicationinsights.microsoft.com dc.services.visualstudio.com *.in.applicationinsights.azure.com |
全球 全球 全球 地區 |
443 | |
| 即時計量 | live.applicationinsights.azure.com rt.applicationinsights.microsoft.com rt.services.visualstudio.com {region}.livediagnostics.monitor.azure.com {region}:westus2 的範例 在此資料表中尋找所有支援的區域。 |
全球 全球 全球 地區 |
20.49.111.32/29 13.73.253.112/29 |
443 |
注意
Application Insights 擷取端點僅限 IPv4。
重要
對於即時計量,除了全域 IP 之外,還需要新增個別區域的 IP清單。
Application Insights 代理程式
只有在進行變更時,才需要 Application Insights 代理程式設定。
| 目的 | URL | 連接埠 |
|---|---|---|
| 組態 | management.core.windows.net |
443 |
| 組態 | management.azure.com |
443 |
| 組態 | login.windows.net |
443 |
| 組態 | login.microsoftonline.com |
443 |
| 組態 | secure.aadcdn.microsoftonline-p.com |
443 |
| 組態 | auth.gfx.ms |
443 |
| 組態 | login.live.com |
443 |
| 安裝 | globalcdn.nuget.org, packages.nuget.org ,api.nuget.org/v3/index.jsonnuget.org, api.nuget.org, dc.services.vsallin.net |
443 |
可用性集合
這是用來執行 可用性 Web 測試 的位址清單。 如果您想要在您的應用程式上執行 Web 測試,但您的 Web 伺服器限於為特定用戶端提供服務,則您將必須允許來自我們的可用性測試伺服器的連入流量。
注意
對於位於私人虛擬網路內的資源,這些資源不允許直接輸入與公用 Azure 中的可用性測試代理程式通訊,唯一的選項是建立及裝載您自己的自訂可用性測試。
服務標籤
如果您使用 Azure 網路安全性群組,請新增輸入連接埠規則以允許來自 Application Insights 可用性測試的流量。 選取 [服務標籤] 作為 [來源],然後選取 [ApplicationInsightsAvailability] 作為 [來源服務標籤]。
![螢幕擷取畫面顯示依序選取 [輸入安全性規則] 和 [新增]。](media/ip-addresses/add-inbound-security-rule.png#lightbox)
![螢幕擷取畫面顯示 [新增輸入安全性規則] 索引標籤。](media/ip-addresses/add-inbound-security-rule2.png#lightbox)
為來自這些位址的傳入流量開啟連接埠 80 (HTTP) 和連接埠 443 (HTTPS)。 IP 位址會依位置分組。
IP 位址
如果您要尋找實際的 IP 位址,以便將其新增至防火牆中允許 IP 的清單,請下載描述 Azure IP 範圍的 JSON 檔案。 這些檔案包含最新的資訊。 下載適當的檔案之後,請使用您慣用的文字編輯器加以開啟。 搜尋 ApplicationInsightsAvailability 以直接移至描述可用性測試服務標籤的檔案區段。
針對 Azure 公用雲端,您必須允許全域 IP 範圍,以及 Application Insights 資源中用來接收即時資料的特定區域。 您可以在本文件頂端的 [傳出連接埠] 資料表,以及下方依區域分組的位址資料表中的區域 IP 範圍中找到全域 IP 範圍。
Azure 公用雲端
下載公用雲端 IP 位址。
Azure 美國政府雲端
下載美國政府雲端 IP 位址。
由 21Vianet 雲端營運的 Microsoft Azure
下載中國雲端 IP 位址。
依區域分組的位址 (Azure 公用雲端)
從 [傳出連接埠] 資料表,將對應區域的子網域新增至即時計量 URL。
注意
如 Azure TLS 1.2 移轉公告中所述,Application Insights 連接字串型區域遙測端點僅支援 TLS 1.2。 全域遙測端點會繼續支援 TLS 1.0 和 TLS 1.1。
如果您使用舊版 TLS,Application Insights 將不會內嵌任何遙測。 如需以.NET Framework為基礎的應用程式,請參閱傳輸層安全性 (TLS) 最佳做法,.NET Framework以支援較新的 TLS 版本。
| 洲/國家/地區 | 區域 | 子網域 | IP |
|---|---|---|---|
| Asia | 東亞 | eastasia | 52.229.216.48/28 20.189.111.16/29 |
| 東南亞 | southeastasia | 52.139.250.96/28 23.98.106.152/29 |
|
| 澳洲 | 澳大利亞中部 | australiacentral | 20.37.227.104/29 |
| 澳大利亞中部 2 | australiacentral2 | 20.53.60.224/31 |
|
| 澳大利亞東部 | australiaeast | 20.40.124.176/28 20.37.198.232/29 |
|
| 澳大利亞東南部 | australiasoutheast | 20.42.230.224/29 |
|
| 巴西 | 巴西南部 | brazilsouth | 191.233.26.176/28 191.234.137.40/29 |
| 巴西東南部 | brazilsoutheast | 20.206.0.196/31 |
|
| Canada | 加拿大中部 | canadacentral | 52.228.86.152/29 |
| 歐洲 | 北歐 | northeurope | 52.158.28.64/28 20.50.68.128/29 |
| 西歐 | westeurope | 51.144.56.96/28 40.113.178.32/29 |
|
| 法國 | 法國中部 | francecentral | 20.40.129.32/28 20.43.44.216/29 |
| 法國南部 | francesouth | 20.40.129.96/28 52.136.191.12/31 |
|
| 德國 | 德國中西部 | germanywestcentral | 20.52.95.50/31 |
| 印度 | 印度中部 | centralindia | 52.140.108.216/29 |
| 印度南部 | southindia | 20.192.153.106/31 |
|
| 日本 | 日本東部 | japaneast | 52.140.232.160/28 20.43.70.224/29 |
| 日本西部 | japanwest | 20.189.194.102/31 |
|
| 南韓 | 南韓中部 | koreacentral | 20.41.69.24/29 |
| 挪威 | 挪威東部 | norwayeast | 51.120.235.248/29 |
| 挪威西部 | norwaywest | 51.13.143.48/31 |
|
| 卡達 | 卡達中部 | qatarcentral | 20.21.39.224/29 |
| 南非 | 南非北部 | southafricanorth | 102.133.219.136/29 |
| 瑞士 | 瑞士北部 | switzerlandnorth | 51.107.52.200/29 |
| 瑞士西部 | switzerlandwest | 51.107.148.8/29 |
|
| 阿拉伯聯合大公國 | 阿拉伯聯合大公國北部 | uaenorth | 20.38.143.44/31 40.120.87.204/31 |
| 英國 | 英國南部 | uksouth | 51.105.9.128/28 51.104.30.160/29 |
| 英國西部 | ukwest | 20.40.104.96/28 51.137.164.200/29 |
|
| 美國 | 美國中部 | centralus | 13.86.97.224/28 20.40.206.232/29 |
| 美國東部 | eastus | 20.42.35.32/28 20.49.111.32/29 |
|
| 美國東部 2 | eastus2 | 20.49.102.24/29 |
|
| 美國中北部 | northcentralus | 23.100.224.16/28 20.49.114.40/29 |
|
| 美國中南部 | southcentralus | 20.45.5.160/28 13.73.253.112/29 |
|
| 美國西部 | westus | 40.91.82.48/28 52.250.228.8/29 |
|
| 美國西部 2 | westus2 | 40.64.134.128/29 |
|
| 美國西部 3 | westus3 | 20.150.241.64/29 |
即將推出的區域 (Azure 公用雲端)
注意
尚未支援下列區域,但將於近期新增。
| 洲/國家/地區 | 區域 | 子網域 | IP |
|---|---|---|---|
| Canada | 加拿大東部 | TBD | 52.242.40.208/31 |
| 德國 | 德國北部 | TBD | 51.116.75.92/31 |
| 印度 | 印度西部 | TBD | 20.192.84.164/31 |
| Jio 印度中部 | TBD | 20.192.50.200/29 |
|
| Jio 印度西部 | TBD | 20.193.194.32/29 |
|
| 以色列 | 以色列中部 | TBD | 20.217.44.250/31 |
| 波蘭 | 波蘭中部 | TBD | 20.215.4.250/31 |
| 南非 | 南非西部 | TBD | 102.37.86.196/31 |
| 瑞典 | 瑞典中部 | TBD | 51.12.25.192/29 |
| 瑞典南部 | TBD | 51.12.17.128/29 |
|
| 台灣 | 台灣北部 | TBD | 51.53.28.214/31 |
| 台灣西北部 | TBD | 51.53.172.214/31 |
|
| 阿拉伯聯合大公國 | 阿拉伯聯合大公國中部 | TBD | 20.45.95.68/31 |
| 美國 | 美國中西部 | TBD | 52.150.154.24/29 |
探索 API
您可能希望透過程式設計方式,將目前的服務標籤清單連同 IP 位址範圍詳細資料一起擷取。
Application Insights 與 Log Analytics API
| 目的 | URI | IP | 連接埠 |
|---|---|---|---|
| API | api.applicationinsights.ioapi1.applicationinsights.ioapi2.applicationinsights.ioapi3.applicationinsights.ioapi4.applicationinsights.ioapi5.applicationinsights.iodev.applicationinsights.iodev.applicationinsights.microsoft.comdev.aisvc.visualstudio.comwww.applicationinsights.iowww.applicationinsights.microsoft.comwww.aisvc.visualstudio.comapi.loganalytics.io*.api.loganalytics.iodev.loganalytics.iodocs.loganalytics.iowww.loganalytics.io |
20.37.52.188 20.37.53.231 20.36.47.130 20.40.124.0 20.43.99.158 20.43.98.234 13.70.127.61 40.81.58.225 20.40.160.120 23.101.225.155 52.139.8.32 13.88.230.43 52.230.224.237 52.242.230.209 52.173.249.138 52.229.218.221 52.229.225.6 23.100.94.221 52.188.179.229 52.226.151.250 52.150.36.187 40.121.135.131 20.44.73.196 20.41.49.208 40.70.23.205 20.40.137.91 20.40.140.212 40.89.189.61 52.155.118.97 52.156.40.142 23.102.66.132 52.231.111.52 52.231.108.46 52.231.64.72 52.162.87.50 23.100.228.32 40.127.144.141 52.155.162.238 137.116.226.81 52.185.215.171 40.119.4.128 52.171.56.178 20.43.152.45 20.44.192.217 13.67.77.233 51.104.255.249 51.104.252.13 51.143.165.22 13.78.151.158 51.105.248.23 40.74.36.208 40.74.59.40 13.93.233.49 52.247.202.90 |
80,443 |
| Azure 管線註釋延伸模組 | aigs1.aisvc.visualstudio.com | 動態 | 443 |
Application Insights 分析
| 目的 | URI | IP | 連接埠 |
|---|---|---|---|
| 分析入口網站 | analytics.applicationinsights.io | 動態 | 80,443 |
| CDN | applicationanalytics.azureedge.net | 動態 | 80,443 |
| 媒體 CDN | applicationanalyticsmedia.azureedge.net | 動態 | 80,443 |
*.applicationinsights.io 網域由 Application Insights 團隊所擁有。
Log Analytics 入口網站
| 目的 | URI | IP | 連接埠 |
|---|---|---|---|
| 入口網站 | portal.loganalytics.io | 動態 | 80,443 |
| CDN | applicationanalytics.azureedge.net | 動態 | 80,443 |
*.loganalytics.io 網域由 Log Analytics 小組所擁有。
Application Insights Azure 入口網站擴充功能
| 目的 | URI | IP | 連接埠 |
|---|---|---|---|
| Application Insights 擴充功能 | stamp2.app.insightsportal.visualstudio.com | 動態 | 80,443 |
| Application Insights 擴充功能 CDN | insightsportal-prod2-cdn.aisvc.visualstudio.com insightsportal-prod2-asiae-cdn.aisvc.visualstudio.com insightsportal-cdn-aimon.applicationinsights.io |
動態 | 80,443 |
Application Insights SDK
| 目的 | URI | IP | 連接埠 |
|---|---|---|---|
| Application Insights JS SDK CDN | az416426.vo.msecnd.net js.monitor.azure.com |
動態 | 80,443 |
動作群組 Webhook
您可以使用 Get-AzNetworkServiceTag PowerShell 命令查詢動作群組所使用的 IP 位址清單。
動作群組服務標籤
管理來源 IP 位址的變更可能相當耗時。 使用服務標籤來消除更新設定的需求。 服務標籤代表來自特定 Azure 服務的一組 IP 位址首碼。 Microsoft 會管理 IP 位址,並在位址變更時自動更新服務標籤,而不需要更新動作群組的網路安全性規則。
在 [Azure 服務] 下的 [Azure 入口網站] 搜尋網路安全性群組。
選取 [新增] 並建立網路安全性群組:
- 新增資源群組名,然後輸入執行個體詳細資料資訊。
- 選取 [檢閱 + 建立],然後選取 [建立]。
移至 [資源群組],然後選取您已建立的網路安全性群組:
- 選取 [輸入安全性規則]。
- 選取 [新增]。
新視窗隨即在右窗格中開啟:
- 在 [來源] 下,輸入服務標籤。
- 在 [來源服務標籤] 下,輸入 ActionGroup。
- 選取 [新增]。
分析工具
| 目的 | URI | IP | 連接埠 |
|---|---|---|---|
| 代理程式 | agent.azureserviceprofiler.net *.agent.azureserviceprofiler.net |
20.190.60.38 20.190.60.32 52.173.196.230 52.173.196.209 23.102.44.211 23.102.45.216 13.69.51.218 13.69.51.175 138.91.32.98 138.91.37.93 40.121.61.208 40.121.57.2 51.140.60.235 51.140.180.52 52.138.31.112 52.138.31.127 104.211.90.234 104.211.91.254 13.70.124.27 13.75.195.15 52.185.132.101 52.185.132.170 20.188.36.28 40.89.153.171 52.141.22.239 52.141.22.149 102.133.162.233 102.133.161.73 191.232.214.6 191.232.213.239 |
443 |
| 入口網站 | gateway.azureserviceprofiler.net | 動態 | 443 |
| 儲存體 | *.core.windows.net | 動態 | 443 |
快照集偵錯工具
注意
分析工具和快照集偵錯工具共用同一組 IP 位址。
| 目的 | URI | IP | 連接埠 |
|---|---|---|---|
| 代理程式 | agent.azureserviceprofiler.net *.agent.azureserviceprofiler.net |
20.190.60.38 20.190.60.32 52.173.196.230 52.173.196.209 23.102.44.211 23.102.45.216 13.69.51.218 13.69.51.175 138.91.32.98 138.91.37.93 40.121.61.208 40.121.57.2 51.140.60.235 51.140.180.52 52.138.31.112 52.138.31.127 104.211.90.234 104.211.91.254 13.70.124.27 13.75.195.15 52.185.132.101 52.185.132.170 20.188.36.28 40.89.153.171 52.141.22.239 52.141.22.149 102.133.162.233 102.133.161.73 191.232.214.6 191.232.213.239 |
443 |
| 入口網站 | gateway.azureserviceprofiler.net | 動態 | 443 |
| 儲存體 | *.core.windows.net | 動態 | 443 |
常見問題集
本節提供常見問題的答案。
我是否可以監視內部網路 Web 伺服器?
是,但您必須允許防火牆例外狀況或 Proxy 重新導向服務流量:
- QuickPulse
https://rt.services.visualstudio.com:443 - ApplicationIdProvider
https://dc.services.visualstudio.com:443 - TelemetryChannel
https://dc.services.visualstudio.com:443
請參閱 Azure 監視器用來 檢閱服務與 IP 位址的完整清單的 IP 位址。
如何?將流量從我的伺服器重新路由傳送至內部網路上的閘道?
藉由覆寫組態中的端點,將流量從您的伺服器路由傳送至內部網路上的閘道。 Endpoint如果設定中沒有這些屬性,這些類別會使用下列 ApplicationInsights.config 範例所示的預設值。
您的閘道應將流量路由到我們端點的基底位址。 在您的組態中,請將預設值取代為 http://<your.gateway.address>/<relative path>。
使用預設端點的範例 ApplicationInsights.config:
<ApplicationInsights>
...
<TelemetryModules>
<Add Type="Microsoft.ApplicationInsights.Extensibility.PerfCounterCollector.QuickPulse.QuickPulseTelemetryModule, Microsoft.AI.PerfCounterCollector">
<QuickPulseServiceEndpoint>https://rt.services.visualstudio.com/QuickPulseService.svc</QuickPulseServiceEndpoint>
</Add>
</TelemetryModules>
...
<TelemetryChannel>
<EndpointAddress>https://dc.services.visualstudio.com/v2/track</EndpointAddress>
</TelemetryChannel>
...
<ApplicationIdProvider Type="Microsoft.ApplicationInsights.Extensibility.Implementation.ApplicationId.ApplicationInsightsApplicationIdProvider, Microsoft.ApplicationInsights">
<ProfileQueryEndpoint>https://dc.services.visualstudio.com/api/profiles/{0}/appId</ProfileQueryEndpoint>
</ApplicationIdProvider>
...
</ApplicationInsights>
注意
ApplicationIdProvider 從 v2.6.0 開始提供。