علامات خدمة الشبكة الظاهرية
تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. تقوم Microsoft بإدارة بادئات العناوين التي تشملها علامة الخدمة، كما تقوم بتحديث علامة الخدمة تلقائيًا مع تغيير العناوين، ما يقلل من تعقيد التحديثات المتكررة لقواعد أمان الشبكة.
يمكنك استخدام علامات الخدمة لتعريف عناصر التحكم في الوصول إلى الشبكة على مجموعات أمان الشبكة أو جدار حماية Azure، والمسارات من تعريف المستخدم. استخدم علامات الخدمة بدلاً من عناوين IP معينة عند إنشاء قواعد ومسارات الأمان. من خلال تحديد اسم علامة الخدمة مثل ApiManagement في حقل المصدر أو الوجهة المناسب لقاعدة أمان، يمكنك تعديل نقل البيانات للخدمة المقابلة. من خلال تحديد اسم علامة الخدمة في بادئة عنوان المسار، يمكنك توجيه نسبة استخدام الشبكة المخصصة لأي من البادئات المغلفة بعلامة الخدمة إلى نوع وثب تالٍ مطلوب.
ملاحظة
اعتباراً من مارس 2022، أصبح استخدام علامات الخدمة بدلاً من بادئات العناوين الصريحة في المسارات المعرفة من قبل المستخدم خارج المعاينة ومتاحاً بشكل عام.
يمكنك استخدام علامات الخدمة لتحقيق عزل الشبكة وحماية موارد Azure خاصتك من الإنترنت العام مع إمكانية الوصول إلى خدمات Azure التي تحتوي على نقاط نهاية عامة. قم بإنشاء قواعد مجموعة أمان الشبكة الواردة/الصادرة لرفض نسبة استخدام الشبكة من وإلى الإنترنت والسماح بنسبة استخدام الشبكة إلى/من AzureCloud أو غيرها من علامات الخدمة المتوفرة لخدمات Azure محددة.
علامات الخدمة المتوفرة
يتضمن الجدول التالي كل علامات الخدمة المتوفرة للاستخدام في قواعد مجموعة الأمان للشبكة.
تشير الأعمدة إلى ما إذا كانت العلامة:
- مناسبة للقواعد التي تغطي نسبة استخدام الشبكة الواردة أو الصادرة.
- تدعم النطاق الإقليمي.
- قابلة للاستخدام في قواعد جدار حماية Azure.
تعكس علامات الخدمة بشكل افتراضي نطاقات السحابة بأكملها. تسمح بعض علامات الخدمة أيضًا بمزيد من التحكم الدقيق عن طريق تقييد نطاقات IP المطابقة لمنطقة محددة. على سبيل المثال، علامة خدمة التخزين تمثل Azure Storage للسحابة بأكملها، ولكن Storage.WestUS يضيق النطاق إلى نطاقات عناوين IP للتخزين فقط من منطقة WestUS. يشير الجدول التالي إلى ما إذا كانت كل علامة خدمة تدعم هذا النطاق الإقليمي. لاحظ أن الاتجاه المدرج لكل علامة عبارة عن توصية. على سبيل المثال، يمكن استخدام علامة AzureCloud للسماح بنسبة استخدام الشبكة الواردة. ومع ذلك، لا نوصي بذلك في معظم السيناريوهات لأن هذا يعني السماح بنسبة استخدام الشبكة من كل بروتوكولات الإنترنت على Azure، بما في ذلك تلك المستخدمة من قبل عملاء Azure الآخرين.
| العلامة | الغرض | هل يمكن استخدام الوارد أو الصادر؟ | هل يمكن أن تكون إقليمية؟ | هل يمكن استخدامها مع جدار Azure Firewall؟ |
|---|---|---|---|---|
| ActionGroup | مجموعة الإجراء. | الوارد | لا | لا |
| ApiManagement | إدارة نسبة استخدام الشبكة الخاصة بعمليات التوزيع المخصصة لإدارة Azure API. ملاحظة: تمثل هذه العلامة نقطة تقديم خدمة APIM Azure لعنصر التحكم لكل منطقة. وهذا يمكن العملاء من تنفيذ عمليات الإدارة على واجهات برمجة التطبيقات والعمليات والنُهج وNamedValues المكونة على خدمة APIM. |
الوارد | نعم | نعم |
| ApplicationInsightsAvailability | توفر Application Insights. | الوارد | لا | لا |
| AppConfiguration | تكوين التطبيق. | الصادر | لا | لا |
| AppService | Azure App Service يوصى بهذه العلامة لقواعد الأمان الصادرة لتطبيقات الويب وتطبيقات الوظائف. | الخارج | نعم | نعم |
| AppServiceManagement | إدارة نسبة استخدام الشبكة للنشر مخصصة لبيئة خدمة التطبيقات. | كلاهما | لا | نعم |
| AzureActiveDirectory | Microsoft Azure Active Directory. | الصادر | لا | نعم |
| AzureActiveDirectoryDomainServices | إدارة نسبة استخدام الشبكة من أجل عمليات النشر المخصصة لخدمات Azure Active Directory Domain. | كلاهما | لا | نعم |
| AzureAdvancedThreatProtection | حماية من المخاطر المتقدمة مع Azure. | الصادر | لا | لا |
| AzureArcInfrastructure | خوادم مُمكّن عليها Azure Arc وKubernetes مُمكّن عليه Azure Arc ونسبة استخدام الشبكة لتكوين الضيف. ملاحظة: هذه العلامة تعتمد على العلامات AzureActiveDirectory، وAzureTrafficManager، وAzureResourceManager. |
الصادر | لا | نعم |
| AzureAttestation | Azure Attestation. | الصادر | لا | نعم |
| AzureBackup | Azure Backup. ملاحظة: هذه العلامة لها تبعية على العلامتين Storage وAzureActiveDirectory. |
الصادر | لا | نعم |
| AzureBotService | Azure Bot Service. | الصادر | لا | لا |
| AzureCloud | جميع عناوين IP العامة لمركز البيانات. | الخارج | نعم | نعم |
| AzureCognitiveSearch | Azure Cognitive Search. يمكن استخدام هذه العلامة أو عناوين IP التي تغطيها هذه العلامة لمنح المفهرسين حق الوصول الآمن إلى مصادر البيانات. راجع وثائق اتصال المفهرس للحصول على مزيد من التفاصيل. ملاحظة: IP خدمة البحث غير مضمن في قائمة نطاقات IP لعلامة الخدمة هذه ويحتاج أيضاً إلى إضافته إلى جدار حماية IP لمصادر البيانات. |
الوارد | لا | لا |
| AzureConnectors | تمثل هذه العلامة عناوين IP المستخدمة للموصلات المدارة التي تقوم بإجراء عمليات استدعاء لخطاف الويب الوارد إلى خدمة Azure Logic Apps وعمليات الاستدعاء الصادرة إلى خدماتها الخاصة، على سبيل المثال، Azure Storage أو Azure Event Hubs. | الواردة / الصادرة | نعم | نعم |
| AzureContainerRegistry | Azure Container Registry. | الخارج | نعم | نعم |
| AzureCosmosDB | Azure Cosmos DB | الخارج | نعم | نعم |
| AzureDatabricks | Azure Databricks. | كلاهما | لا | لا |
| AzureDataExplorerManagement | Azure Data Explorer Management. | الوارد | لا | لا |
| AzureDataLake | Azure Data Lake Storage Gen1. | الصادر | لا | نعم |
| AzureDeviceUpdate | قم بتحديث الأجهزة لـ IoT Hub. | كلاهما | لا | نعم |
| AzureDevSpaces | Azure Dev Spaces. | الصادر | لا | لا |
| AzureDevOps | Azure Dev Ops. | الوارد | لا | نعم |
| AzureDigitalTwins | Azure Digital Twins. ملاحظة: يمكن استخدام هذه العلامة أو عناوين IP التي تغطيها هذه العلامة لتقييد الوصول إلى نقاط النهاية المكونة لمسارات الأحداث. |
الوارد | لا | نعم |
| AzureEventGrid | Azure Event Grid | كلاهما | لا | لا |
| AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty |
Azure Front Door. | كلاهما | لا | لا |
| AzureHealthcareAPIs | يمكن استخدام عناوين IP التي تغطيها هذه العلامة لتقييد الوصول إلى خدمات بيانات الحالة في Azure. | كلاهما | لا | نعم |
| AzureInformationProtection | حماية البيانات في Azure. ملحوظة: هذه العلامة تعتمد على العلامات AzureActiveDirectory وAzureFrontDoor.Frontend و AzureFrontDoor.FirstParty. |
الصادر | لا | لا |
| AzureIoTHub | Azure IoT Hub. | الصادر | نعم | لا |
| AzureKeyVault | Azure Key Vault. ملحوظة: هذه العلامة لها تبعية في العلامة AzureActiveDirectory. |
الخارج | نعم | نعم |
| AzureLoadBalancer | موازنة التحميل لبنية Azure الأساسية. تُترجم العلامة إلى عنوان IP الظاهري للمضيف (168.63.129.16) حيث تنشأ تحقيقات سلامة Azure. وهذا يشمل فقط نسبة استخدام شبكة التحقيق، وليس نسبة استخدام الشبكة الحقيقية لمورد الخلفية الخاصة بك. إذا كنت لا تستخدم Azure Load Balancer، يمكنك تجاوز هذه القاعدة. | كلاهما | لا | لا |
| AzureMachineLearning | التعلم الآلي من Microsoft Azure. | كلاهما | لا | نعم |
| AzureMonitor | Log Analytics وApplication Insights وAzMon والمقاييس المخصصة (نقاط نهاية GiG). ملحوظة: بالنسبة إلى Log Analytics، يلزم أيضاً توفر العلامة Storage. في حال استخدام وكلاء Linux، فإن العلامة GuestAndHybridManagement مطلوبة أيضاً. |
الصادر | لا | نعم |
| AzureOpenDatasets | مجموعات بيانات Azure المفتوحة. ملاحظة: هذه العلامة لها تبعية على AzureFrontDoor.Frontend وعلامة Storage. |
الصادر | لا | لا |
| AzurePlatformDNS | البنية الأساسية (الافتراضية) لخدمة DNS. يمكنك استخدام هذه العلامة لتعطيل DNS الافتراضية. كن حذرًا عند استخدام هذه العلامة. نوصي بقراءة اعتبارات النظام الأساسي لـ Azure. نوصي أيضًا بإجراء الاختبار قبل استخدام هذه العلامة. |
الصادر | لا | لا |
| AzurePlatformIMDS | Azure Instance Metadata Service (IMDS)، وهي خدمة بنية أساسية رئيسية. يمكنك استخدام هذه العلامة لتعطيل IMDS الافتراضي. كن حذرًا عند استخدام هذه العلامة. نوصي بقراءة اعتبارات النظام الأساسي لـ Azure. نوصي أيضًا بإجراء الاختبار قبل استخدام هذه العلامة. |
الصادر | لا | لا |
| AzurePlatformLKM | ترخيص Windows أو خدمة إدارة المفاتيح. يمكنك استخدام هذه العلامة لتعطيل الإعدادات الافتراضية للترخيص. كن حذرًا عند استخدام هذه العلامة. نوصي بقراءة اعتبارات النظام الأساسي لـ Azure. نوصي أيضًا بإجراء الاختبار قبل استخدام هذه العلامة. |
الصادر | لا | لا |
| AzureResourceManager | Azure Resource Manager. | الصادر | لا | لا |
| AzureSignalR | Azure SignalR. | الصادر | لا | لا |
| AzureSiteRecovery | Azure Site Recovery. ملحوظة: هذه العلامة لها تبعية على العلامات AzureActiveDirectory وAzureKeyVault وEventHub وGuestAndHybridManagement وStorage. |
الصادر | لا | لا |
| AzureSphere | يمكن استخدام هذه العلامة أو عناوين IP التي تغطيها هذه العلامة لتقييد الوصول إلى خدمات Sphere Security في Azure. | كلاهما | لا | نعم |
| AzureStack | خدمات جسر مكدس الذاكرة المؤقتة من Azure. تمثل هذه العلامة نقطة نهاية خدمة جسر مكدس الذاكرة المؤقتة من Azure لكل منطقة. | الصادر | لا | نعم |
| AzureTrafficManager | يتحقق Azure Traffic Manager من عناوين IP. لمزيد من المعلومات حول تحقق Traffic Manager من عناوين IP، راجع الأسئلة المتداولة حول Azure Traffic Manager. |
الوارد | لا | نعم |
| AzureUpdateDelivery | للوصول إلى تحديثات Windows. ملاحظة: توفر هذه العلامة إمكانية الوصول إلى خدمات بيانات تعريف Windows Update. لتنزيل التحديثات بنجاح، يجب عليك أيضاً تمكين علامة الخدمة AzureFrontDoor.FirstParty وتكوين قواعد الأمان الصادرة باستخدام البروتوكول والمنفذ المحددين على النحو التالي:
|
الصادر | لا | لا |
| BatchNodeManagement | نسبة استخدام الشبكة للإدارة من أجل عمليات التوزيع المخصصة لـ Azure Batch. | كلاهما | لا | نعم |
| CognitiveServicesManagement | نطاقات العنوان لنسبة استخدام الشبكة للخدمات المعرفية لـ Azure. | كلاهما | لا | لا |
| DataFactory | Azure Data Factory | كلاهما | لا | لا |
| DataFactoryManagement | نسبة استخدام الشبكة للإدارة لـ Azure Data Factory. | الصادر | لا | لا |
| Dynamics365ForMarketingEmail | نطاقات العنوان لخدمة البريد الإلكتروني التسويقية لـ Dynamics 365. | الخارج | نعم | لا |
| EOPExternalPublishedIPs | تمثل هذه العلامة عناوين IP المستخدمة في مركز التوافق والأمان لـ PowerShell. راجع الاتصال بمركز التوافق والأمان لـ PowerShell باستخدام الوحدة النمطية EXO V2 للحصول على مزيد من التفاصيل. | كلاهما | لا | نعم |
| EventHub | Azure Event Hubs. | الخارج | نعم | نعم |
| GatewayManager | نسبة استخدام الشبكة للإدارة لعمليات التوزيع المخصصة لبوابة Azure VPN وبوابة التطبيق. | الوارد | لا | لا |
| GuestAndHybridManagement | Azure Automation وGuest Configuration. | الصادر | لا | نعم |
| HDInsight | Azure HDInsight. | الوارد | نعم | لا |
| الإنترنت | مساحة عنوان IP خارج الشبكة الظاهرية ويمكن الوصول إليها بواسطة الإنترنت العام. يتضمن نطاق العناوين مساحة عنوان IP العامة المملوكة لـ Azure. |
كلاهما | لا | لا |
| LogicApps | Logic Apps. | كلاهما | لا | لا |
| LogicAppsManagement | نسبة استخدام الشبكة للإدارة لـ Logic Apps. | الوارد | لا | لا |
| M365ManagementActivityApi | توفر واجهة برمجة تطبيقات نشاط إدارة Office 365 معلومات حول مختلف إجراءات وأحداث المستخدمين والمسؤولين والنظام والنهج من سجلات نشاط Office 365 وMicrosoft Azure Active Directory. يمكن للعملاء والشركاء استخدام هذه المعلومات لإنشاء حلول جديدة أو تحسين حلول العمليات والأمان ومراقبة الامتثال الحالية للمؤسسة. ملحوظة: هذه العلامة لها تبعية في العلامة AzureActiveDirectory. |
الخارج | نعم | لا |
| M365ManagementActivityApiWebhook | يتم إرسال الإعلامات إلى خطاف الويب الذي تم تكوينه لاشتراك عند توفر محتوى جديد. | الوارد | نعم | لا |
| MicrosoftAzureFluidRelay | تمثل هذه العلامة عناوين IP المستخدمة لخادم ترحيل Azure Microsoft Fluid. | الصادر | لا | لا |
| MicrosoftCloudAppSecurity | Microsoft Defender لتطبيقات السحابة. | الصادر | لا | لا |
| MicrosoftContainerRegistry | سجل الحاوية لصور حاوية Microsoft. ملحوظة: هذه العلامة لها تبعية على علامة AzureFrontDoor.FirstParty. |
الخارج | نعم | نعم |
| PowerBI | Power BI. | كلاهما | لا | لا |
| PowerPlatformInfra | تمثل هذه العلامة عناوين IP المستخدمة من قبل البنية الأساسية لاستضافة خدمات Microsoft Power Platform. | الخارج | نعم | نعم |
| PowerQueryOnline | Power Query Online. | كلاهما | لا | لا |
| ServiceBus | نسبة استخدام الشبكة لناقل خدمة Azure التي تستخدم مستوى الخدمة Premium. | الخارج | نعم | نعم |
| ServiceFabric | نسيج خدمة Azure ملحوظة: تمثل هذه العلامة نقطة تقديم الخدمة لـ Service Fabric للوحة التحكم لكل منطقة. وهذا يمكّن العملاء من تنفيذ عمليات إدارة لمجموعات Service Fabric لديهم من VNET الخاصة بهم (نقطة النهاية على سبيل المثال https:// westus.servicefabric.azure.com). |
كلاهما | لا | لا |
| Sql | قاعدة بيانات Azure SQL وAzure Database for MySQL وAzure Database for PostgreSQL وAzure Database for MariaDB وAzure Synapse Analytics. ملحوظة: تمثل هذه العلامة الخدمة، ولكن ليست مثيلات معينة من الخدمة. على سبيل المثال، تمثل العلامة خدمة قاعدة بيانات SQL Azure، ولكن ليس قاعدة بيانات أو خادم SQL محدد. لا تنطبق هذه العلامة على مثيل SQL مُدار. |
الخارج | نعم | نعم |
| SqlManagement | نسبة استخدام الشبكة للإدارة للتوزيع المخصص لـ SQL. | كلاهما | لا | نعم |
| التخزين | Azure Storage. ملحوظة: تمثل هذه العلامة الخدمة، ولكن ليست مثيلات معينة من الخدمة. على سبيل المثال، تمثل العلامة خدمة Azure Storage، ولكن ليس حساب Azure Storage محدد. |
الخارج | نعم | نعم |
| StorageSyncService | خدمة مزامنة Storage. | كلاهما | لا | لا |
| WindowsAdminCenter | اسمح لخدمة الواجهة الخلفية لمركز مسؤول Windows بالتواصل مع تثبيت العملاء لمركز مسؤول Windows. | الصادر | لا | نعم |
| WindowsVirtualDesktop | Azure Virtual Desktop (كان في السابق Windows Virtual Desktop). | كلاهما | لا | نعم |
| VirtualNetwork | مساحة عنوان الشبكة الظاهرية (كل نطاقات عناوين IP المعرفة للشبكة الظاهرية)، وجميع مساحات العناوين المحلية المتصلة، والشبكات الظاهرية النظيرة، والشبكات الظاهرية المتصلة ببوابة الشبكة الظاهرية، وعنوان IP الظاهري للمضيف، وبادئات العناوين المستخدمة في المسارات المعرفة من قبل المستخدم. قد تحتوي هذه العلامة أيضًا على مسارات افتراضية. | كلاهما | لا | لا |
ملاحظة
تشير علامات الخدمة لخدمات Azure إلى بادئات العناوين من السحابة المعينة المستخدمة. على سبيل المثال، نطاقات IP الأساسية التي تتوافق مع قيمة العلامة sql على سحابة Azure عامة ستكون مختلفة عن النطاقات الأساسية على سحابة Azure للصين.
إذا قمت بتطبيق نقطة تقديم خدمة شبكة ظاهرية لخدمة، مثل Azure Storage أو قاعدة بيانات Azure SQL، يضيف Azure مساراً إلى شبكة فرعية ظاهرية للخدمة. العنوان الذي يظهر في بادئة المسار هو نفسه بادئات العنوان أو نطاقات CIDR مثل تلك الخاصة بعلامة الخدمة المطابقة.
العلامات المدعومة في نموذج التوزيع الكلاسيكي
نموذج التوزيع الكلاسيكي (قبل Azure Resource Manager) يدعم مجموعة فرعية صغيرة من العلامات المسردة في الجدول السابق. يتم تهجئة العلامات في نموذج التوزيع الكلاسيكي بشكل مختلف، كما هو موضح في الجدول التالي:
| علامة Resource Manager | العلامة المقابلة في نموذج التوزيع الكلاسيكي |
|---|---|
| AzureLoadBalancer | AZURE_LOADBALANCER |
| الإنترنت | INTERNET |
| VirtualNetwork | VIRTUAL_NETWORK |
علامات الخدمة المحلية
يمكنك الحصول على علامة الخدمة الحالية ومعلومات النطاق لتضمينها كجزء من تكوينات جدار الحماية الداخلية. هذه المعلومات هي قائمة النقاط الزمنية الحالية لنطاقات IP التي تتوافق مع كل علامة خدمة. يمكنك الحصول على المعلومات برمجياً أو عبر تنزيل ملف JSON، كما هو موضح في الأقسام التالية.
استخدام واجهة برمجة تطبيقات اكتشاف علامة الخدمة
يمكنك استرداد القائمة الحالية لعلامات الخدمة برمجياً مع تفاصيل نطاق عنوان IP:
على سبيل المثال، لاسترداد كل البادئات لعلامة خدمة التخزين، يمكنك استخدام أوامر cmdlet التالية في PowerShell:
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
ملاحظة
- يستغرق نشر بيانات علامة الخدمة الجديدة ما يصل إلى 4 أسابيع في نتائج واجهة برمجة التطبيقات عبر كل مناطق Azure.
- يجب أن تتم مصادقتك وأن يكون لديك دور به أذونات قراءة لاشتراكك الحالي.
- تمثل بيانات واجهة برمجة التطبيقات تلك العلامات التي يمكن استخدامها مع قواعد NSG، والتي تمثل مجموعة فرعية من العلامات الموجودة حالياً في ملف JSON القابل للتنزيل.
اكتشاف علامات الخدمة باستخدام ملفات JSON القابلة للتنزيل
يمكنك تنزيل ملفات JSON التي تحتوي على القائمة الحالية لعلامات الخدمة مع تفاصيل نطاق عناوين IP. يتم تحديث هذه القوائم ونشرها أسبوعياً. مواقع كل سحابة هي:
نطاقات عناوين IP في هذه الملفات توجد في رمز CIDR.
لا تحتوي علامات AzureCloud التالية على الأسماء الإقليمية منسقةً وفقاً للمخطط العادي:
- AzureCloud.centralfrance (FranceCentral)
- AzureCloud.southfrance (FranceSouth)
- AzureCloud.germanywc (GermanyWestCentral)
- AzureCloud.germanyn (GermanyNorth)
- AzureCloud.norwaye (NorwayEast)
- AzureCloud.norwayw (NorwayWest)
- AzureCloud.switzerlandn (SwitzerlandNorth)
- AzureCloud.switzerlandw (SwitzerlandWest)
- AzureCloud.usstagee (EastUSSTG)
- AzureCloud.usstagec (SouthCentralUSSTG)
ملاحظة
تم توزيع مجموعة فرعية من هذه المعلومات في ملفات XML لـ Azure العام وAzure الصين وAzure ألمانيا. سيتم إهمال تنزيلات XML هذه بحلول يوم 30 يونيو 2020 ولن تكون متاحة بعد ذلك التاريخ. ينبغي عليك الانتقال إلى استخدام تنزيلات ملفات Discovery API أو JSON كما هو موضح في الأقسام السابقة.
تلميح
يمكنك كشف التحديثات من منشور إلى التالي عن طريق ملاحظة زيادة قيم changeNumber في ملف JSON. يحتوي كل قسم فرعي (على سبيل المثال، Storage.WestUS) على changeNumber الخاص به الذي تتم زيادته مع حدوث التغييرات. تتم زيادة المستوى الأعلى من changeNumber في الملف عند تغيير أي من الأقسام الفرعية.
للحصول على أمثلة حول كيفية توزيع معلومات علامة الخدمة (على سبيل المثال، الحصول على كل نطاقات العناوين للتخزين في WestUS)، راجع وثائق PowerShell لواجهة برمجة تطبيقات اكتشاف علامة الخدمة.
عند إضافة عناوين IP جديدة إلى علامات الخدمة، لن يتم استخدامها في Azure لمدة أسبوع واحد على الأقل. يمنحك هذا الوقت لتحديث أي أنظمة قد تحتاج إليها لتتبع عناوين IP المرتبطة بعلامات الخدمة.
الخطوات التالية
- تعرّف على كيفية إنشاء مجموعة أمان شبكة.