Značky služeb virtuální sítě

Značka služby představuje skupinu předpon IP adres z dané služby Azure. Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby jako změny adres a minimalizuje složitost častých aktualizací pravidel zabezpečení sítě.

Značky služeb můžete použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě, Azure Firewall a trasách definovaných uživatelem. Značky služeb používejte místo konkrétních IP adres při vytváření pravidel zabezpečení a tras. Zadáním názvu značky služby, například ApiManagement, v příslušném zdrojovém nebo cílovém poli pravidla zabezpečení můžete povolit nebo odepřít provoz pro příslušnou službu. Zadáním názvu značky služby do předpony adresy trasy můžete směrovat provoz určený pro libovolnou z předpon zapouzdřených značkou služby na požadovaný typ dalšího segmentu směrování.

Poznámka

Od března 2022 je použití značek služeb místo explicitních předpon adres v trasách definovaných uživatelem mimo verzi Preview a obecně dostupné.

Značky služeb můžete použít k zajištění izolace sítě a ochraně prostředků Azure před obecným internetem při přístupu ke službám Azure, které mají veřejné koncové body. Vytvořte příchozí nebo odchozí pravidla skupiny zabezpečení sítě, která zamítnou provoz do internetu nebo z internetu a povolí provoz do a z AzureCloudu nebo z jiných dostupných značek služeb Azure.

Network isolation of Azure services using service tags

Dostupné značky služeb

Následující tabulka obsahuje všechny značky služeb, které jsou k dispozici pro použití v pravidlech skupiny zabezpečení sítě .

Sloupce označují, jestli značka:

  • Je vhodný pro pravidla, která pokrývají příchozí nebo odchozí provoz.
  • Podporuje oblastní rozsah.
  • V pravidlech Azure Firewall je možné použít jako cílové pravidlo pouze pro příchozí nebo odchozí provoz.

Ve výchozím nastavení značky služeb odrážejí rozsahy pro celý cloud. Některé značky služeb také umožňují podrobnější řízení omezením odpovídajících rozsahů IP adres na zadanou oblast. Například značka služby Storage představuje Azure Storage pro celý cloud, ale Storage. WestUS zúží rozsah jenom na rozsahy IP adres úložiště z oblasti WestUS. Následující tabulka uvádí, jestli každá značka služby podporuje takový regionální rozsah, a směr uvedený pro každou značku představuje doporučení. Například značka AzureCloud se může použít k povolení příchozího provozu. Ve většině scénářů nedoporučujeme povolit provoz ze všech IP adres Azure, protože IP adresy používané jinými zákazníky Azure jsou součástí značky služby.

Značka Účel Může používat příchozí nebo odchozí spojení? Může být regionální? Může se používat s Azure Firewall?
Skupina akcí Skupina akcí. Příchozí No No
Správa rozhraní API Provoz správy pro nasazení vyhrazená pro Azure API Management

Poznámka: Tato značka představuje koncový bod služby Azure API Management pro řídicí rovinu pro každou oblast. Značka umožňuje zákazníkům provádět operace správy s rozhraními API, operacemi, zásadami, pojmenovanými hodnotami nakonfigurovanými ve službě API Management.
Příchozí Yes Yes
ApplicationInsightsAvailability Dostupnost Přehledy aplikace. Příchozí No No
AppConfiguration App Configuration. Odchozí No No
AppService Azure App Service Tato značka se doporučuje pro odchozí pravidla zabezpečení webových aplikací a aplikací funkcí. Odchozí Yes Yes
AppServiceManagement Provoz správy pro nasazení vyhrazená pro App Service Environment Obojí No Yes
AzureActiveDirectory Azure Active Directory Odchozí No Yes
AzureActiveDirectoryDomainServices Provoz správy pro nasazení vyhrazená pro Azure Active Directory Domain Services Obojí No Yes
AzureAdvancedThreatProtection Azure Advanced Threat Protection. Odchozí No No
AzureArcInfrastructure Servery s podporou služby Azure Arc, provoz Kubernetes s podporou Služby Azure Arc a provoz konfigurace hosta

Poznámka: Tato značka má závislost na značkách AzureActiveDirectory, AzureTrafficManager a AzureResourceManager .
Odchozí No Yes
AzureAttestation Azure Attestation. Odchozí No Yes
AzureBackup Azure Backup.

Poznámka: Tato značka má závislost na značkách Storage a AzureActiveDirectory.
Odchozí No Yes
AzureBotService Azure Bot Service. Odchozí No No
AzureCloud Všechny veřejné IP adresy datacentra. Odchozí Yes Yes
AzureCognitiveSearch Azure Cognitive Search.

Tuto značku nebo IP adresy pokryté touto značkou je možné použít k udělení zabezpečeného přístupu indexerů ke zdrojům dat. Další informace o indexerech najdete v dokumentaci k připojení indexeru.

Poznámka: IP adresa vyhledávací služby není zahrnuta v seznamu rozsahů IP adres pro tuto značku služby a je také potřeba ji přidat do brány firewall protokolu IP zdrojů dat.
Příchozí No No
AzureConnectors Tato značka představuje IP adresy používané pro spravované konektory, které provádějí příchozí zpětné volání webhooku do služby Azure Logic Apps a odchozí volání do příslušných služeb, například Azure Storage nebo Azure Event Hubs. Příchozí a odchozí Yes Yes
AzureContainerRegistry Azure Container Registry. Odchozí Yes Yes
AzureCosmosDB Azure Cosmos DB. Odchozí Yes Yes
AzureDatabricks Azure Databricks. Obojí No No
AzureDataExplorerManagement Azure Data Explorer Management. Příchozí No No
AzureDataLake Azure Data Lake Storage Gen1. Odchozí No Yes
AzureDeviceUpdate Aktualizace zařízení pro IoT Hub Obojí No Yes
AzureDevSpaces Azure Dev Spaces. Odchozí No No
AzureDevOps Azure Dev Ops. Příchozí No Yes
AzureDigitalTwins Azure Digital Twins.

Poznámka: Tuto značku nebo IP adresy pokryté touto značkou lze použít k omezení přístupu ke koncovým bodům nakonfigurovaným pro trasy událostí.
Příchozí No Yes
AzureEventGrid Azure Event Grid. Obojí No No
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Azure Front Door. Obojí No No
AzureHealthcareAPIs IP adresy pokryté touto značkou je možné použít k omezení přístupu ke službě Azure Health Data Services. Obojí No Yes
AzureInformationProtection Azure Information Protection.

Poznámka: Tato značka má závislost na značkách AzureActiveDirectory, AzureFrontDoor.Frontend a AzureFrontDoor.FirstParty .
Odchozí No No
AzureIoTHub Azure IoT Hub Odchozí Yes No
AzureKeyVault Azure Key Vault

Poznámka: Tato značka má závislost na značce AzureActiveDirectory .
Odchozí Yes Yes
AzureLoadBalancer Nástroj pro vyrovnávání zatížení infrastruktury Azure. Značka se překládá na virtuální IP adresu hostitele (168.63.129.16), kde pocházejí sondy stavu Azure. To zahrnuje pouze provoz sondy, nikoli skutečný provoz do vašeho back-endového prostředku. Pokud nepoužíváte Azure Load Balancer, můžete toto pravidlo přepsat. Obojí No No
AzureMachineLearning Azure Machine Learning. Obojí No Yes
AzureMonitor Log Analytics, aplikační Přehledy, AzMon a vlastní metriky (koncové body GiG).

Poznámka: Pro Log Analytics se vyžaduje také značka Storage. Pokud se používají agenti Linuxu, vyžaduje se také značka GuestAndHybridManagement .
Odchozí No Yes
AzureOpenDatasets Azure Open Datasets

Poznámka: Tato značka má závislost na značce AzureFrontDoor.Frontend a Storage.
Odchozí No No
AzurePlatformDNS Základní infrastruktura (výchozí) služba DNS.

Tuto značku můžete použít k zakázání výchozího DNS. Při použití této značky buďte opatrní. Doporučujeme, abyste si přečetli důležité informace o platformě Azure. Doporučujeme také provést testování před použitím této značky.
Odchozí No No
AzurePlatformIMDS Azure Instance Metadata Service (IMDS), což je základní služba infrastruktury.

Pomocí této značky můžete výchozí imDS zakázat. Při použití této značky buďte opatrní. Doporučujeme, abyste si přečetli důležité informace o platformě Azure. Doporučujeme také provést testování před použitím této značky.
Odchozí No No
AzurePlatformLKM Windows službu licencování nebo správy klíčů.

Tuto značku můžete použít k zakázání výchozích hodnot licencování. Při použití této značky buďte opatrní. Doporučujeme, abyste si přečetli důležité informace o platformě Azure. Doporučujeme také provést testování před použitím této značky.
Odchozí No No
AzureResourceManager V Azure Resource Manageru Odchozí No No
AzureSignalR Azure SignalR. Odchozí No No
AzureSiteRecovery Azure Site Recovery.

Poznámka: Tato značka má závislost na značkách AzureActiveDirectory, AzureKeyVault, EventHub, GuestAndHybridManagement a Storage.
Odchozí No No
AzureSphere Tuto značku nebo IP adresy pokryté touto značkou je možné použít k omezení přístupu ke službě Azure Sphere Security Services. Obojí No Yes
AzureStack Služby Azure Stack Bridge
Tato značka představuje koncový bod služby Azure Stack Bridge pro každou oblast.
Odchozí No Yes
AzureTrafficManager Azure Traffic Manager IP adresy sondy.

Další informace o IP adresách sondy Traffic Manager najdete v Azure Traffic Manager nejčastějších dotazech.
Příchozí No Yes
AzureUpdateDelivery Přístup k Windows Aktualizace

Poznámka: Tato značka poskytuje přístup ke službám metadat služba Windows Update. Pokud chcete aktualizace úspěšně stáhnout, musíte také povolit značku služby AzureFrontDoor.FirstParty a nakonfigurovat pravidla zabezpečení odchozích přenosů pomocí protokolu a portu definovaného následujícím způsobem:
  • AzureUpdateDelivery: TCP, port 443
  • AzureFrontDoor.FirstParty: TCP, port 80
Odchozí No No
BatchNodeManagement Provoz správy pro nasazení vyhrazená pro Azure Batch Obojí No Yes
CognitiveServicesManagement Rozsahy adres pro provoz pro Azure Cognitive Services Obojí No No
DataFactory Azure Data Factory Obojí No No
DataFactoryManagement Provoz správy pro Azure Data Factory Odchozí No No
Dynamics365ForMarketingEmail Rozsahy adres pro marketingovou e-mailovou službu Dynamics 365 Odchozí Yes No
EOPExternalPublishedIPs Tato značka představuje IP adresy používané pro PowerShell centra dodržování předpisů zabezpečení & . Další podrobnosti najdete v Připojení v PowerShellu centra dodržování předpisů zabezpečení & pomocí modulu EXO V2. Obojí No Yes
Centrum událostí Azure Event Hubs. Odchozí Yes Yes
GatewayManager Provoz správy pro nasazení vyhrazená pro azure VPN Gateway a Application Gateway Příchozí No No
GuestAndHybridManagement konfigurace Azure Automation a hosta. Odchozí No Yes
HDInsight Azure HDInsight. Příchozí Yes No
Internet Adresní prostor IP adres mimo virtuální síť a dostupný veřejným internetem.

Rozsah adres zahrnuje veřejný adresní prostor IP adres vlastněný Azure.
Obojí No No
LogicApps Logic Apps. Obojí No No
LogicAppsManagement Provoz správy pro Logic Apps Příchozí No No
M365ManagementActivityApi Rozhraní API aktivit správy Office 365 poskytuje informace o různých akcích uživatele, správci, systému a zásadách a událostech z protokolů aktivit Office 365 a Azure Active Directory. Zákazníci a partneři můžou tyto informace použít k vytvoření nových nebo vylepšení stávajících řešení pro monitorování provozu, zabezpečení a dodržování předpisů pro podnik.

Poznámka: Tato značka má závislost na značce AzureActiveDirectory .
Odchozí Yes No
M365ManagementActivityApiWebhook Oznámení se odesílají do nakonfigurovaného webhooku pro předplatné, jakmile bude k dispozici nový obsah. Příchozí Yes No
MicrosoftAzureFluidRelay Tato značka představuje IP adresy používané pro Azure Microsoft Fluid Relay Server. Odchozí No No
MicrosoftCloudAppSecurity Microsoft Defender for Cloud Apps. Odchozí No No
MicrosoftContainerRegistry Registr kontejnerů pro image kontejnerů Microsoftu

Poznámka: Tato značka má závislost na značce AzureFrontDoor.FirstParty .
Odchozí Yes Yes
Power BI v Power BI. Obojí No No
PowerPlatformInfra Tato značka představuje IP adresy používané infrastrukturou k hostování služeb Power Platform. Odchozí Yes Yes
PowerQueryOnline Power Query Online. Obojí No No
ServiceBus Azure Service Bus provoz, který používá úroveň služby Premium. Odchozí Yes Yes
ServiceFabric Azure Service Fabric.

Poznámka: Tato značka představuje koncový bod služby Service Fabric pro řídicí rovinu na oblast. To umožňuje zákazníkům provádět operace správy pro své Service Fabric clustery ze své virtuální sítě (např. koncový bod https:// westus.servicefabric.azure.com).
Obojí No No
Sql Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Database for MariaDB a Azure Synapse Analytics.

Poznámka: Tato značka představuje službu, ale ne konkrétní instance služby. Značka například představuje službu Azure SQL Database, ale ne konkrétní server nebo databázi SQL. Tato značka se nevztahuje na SQL spravovanou instanci.
Odchozí Yes Yes
SqlManagement Provoz správy pro SQL vyhrazená nasazení Obojí No Yes
Storage Azure Storage

Poznámka: Tato značka představuje službu, ale ne konkrétní instance služby. Značka například představuje službu Azure Storage, ale ne konkrétní účet služby Azure Storage.
Odchozí Yes Yes
StorageSyncService služba synchronizace Storage. Obojí No No
WindowsAdminCenter Povolte Windows Admin Center back-endové službě komunikovat s instalací Windows Admin Center zákazníků. Odchozí No Yes
WindowsVirtualDesktop Azure Virtual Desktop (dříve Windows Virtual Desktop). Obojí No Yes
VirtualNetwork Adresní prostor virtuální sítě (všechny rozsahy IP adres definované pro virtuální síť), všechny připojené místní adresní prostory, partnerské virtuální sítě, virtuální sítě připojené k bráně virtuální sítě, virtuální IP adresa hostitele a předpony adres používané v trasách definovaných uživatelem. Tato značka může také obsahovat výchozí trasy. Obojí No No

Poznámka

  • Při použití značek služeb s Azure Firewall můžete vytvářet pouze cílová pravidla pro příchozí a odchozí provoz. Zdrojová pravidla nejsou podporována. Další informace najdete v dokumentaci k Azure Firewall značky služeb.

  • Značky služeb Azure označují předpony adres z používaného konkrétního cloudu. Například základní rozsahy IP adres, které odpovídají hodnotě značky Sql ve veřejném cloudu Azure, se budou lišit od podkladových rozsahů v cloudu Azure China.

  • Pokud implementujete koncový bod služby virtuální sítě pro službu, například Azure Storage nebo Azure SQL Database, Azure přidá trasu do podsítě virtuální sítě pro tuto službu. Předpony adres v trase jsou stejné předpony adres nebo rozsahy CIDR jako předpony odpovídající značky služby.

Značky podporované v modelu nasazení Classic

Model nasazení Classic (před azure Resource Manager) podporuje malou podmnožinu značek uvedených v předchozí tabulce. Značky v modelu nasazení Classic jsou napsané jinak, jak je znázorněno v následující tabulce:

značka Resource Manager Odpovídající značka v modelu nasazení Classic
AzureLoadBalancer AZURE_LOADBALANCER
Internet INTERNET
VirtualNetwork VIRTUAL_NETWORK

Značky služeb v místním prostředí

Aktuální informace o značce služby a rozsahu můžete získat jako součást konfigurací místní brány firewall. Tyto informace jsou aktuálním seznamem rozsahů IP adres, které odpovídají každé značce služby. Informace můžete získat prostřednictvím kódu programu nebo prostřednictvím stahování souboru JSON, jak je popsáno v následujících částech.

Použití rozhraní API pro zjišťování značek služeb

Aktuální seznam značek služeb můžete načíst prostřednictvím kódu programu společně s podrobnostmi rozsahu IP adres:

Pokud chcete například načíst všechny předpony značky služby Storage, můžete použít následující rutiny PowerShellu:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Poznámka

  • Data rozhraní API představují značky, které lze použít s pravidly skupiny zabezpečení sítě ve vaší oblasti. Data rozhraní API použijte jako zdroj pravdy pro dostupné značky služeb, protože se můžou lišit od souboru JSON ke stažení.
  • Rozšíření nových dat značek služeb ve výsledcích rozhraní API ve všech oblastech Azure trvá až 4 týdny. Z tohoto procesu můžou být výsledky dat rozhraní API synchronizované se souborem JSON ke stažení, protože data rozhraní API představují podmnožinu značek, které jsou aktuálně v souboru JSON ke stažení.
  • Musíte být ověřeni a mít roli s oprávněními ke čtení pro vaše aktuální předplatné.

Zjišťování značek služeb pomocí souborů JSON ke stažení

Můžete stáhnout soubory JSON, které obsahují aktuální seznam značek služeb společně s podrobnostmi rozsahu IP adres. Tyto seznamy se aktualizují a publikují týdně. Umístění pro každý cloud jsou:

Rozsahy IP adres v těchto souborech jsou v zápisu CIDR.

Následující značky AzureCloudu nemají místní názvy formátované podle normálního schématu:

  • AzureCloud.centralfrance (FranceCentral)
  • AzureCloud.southfrance (FranceSouth)
  • AzureCloud.germanywc (GermanyWestCentral)
  • AzureCloud.germanyn (GermanyNorth)
  • AzureCloud.norwaye (NorskoEast)
  • AzureCloud.norwayw (NorskoWest)
  • AzureCloud.switzerlandn (SwitzerlandNorth)
  • AzureCloud.switzerlandw (SwitzerlandWest)
  • AzureCloud.usstagee (EastUSSTG)
  • AzureCloud.usstagec (SouthCentralUSSTG)

Poznámka

Podmnožina těchto informací byla publikována v souborech XML pro Azure Public, Azure China a Azure Germany. Tyto soubory ke stažení XML budou zastaralé do 30. června 2020 a po tomto datu už nebudou k dispozici. Měli byste migrovat na použití rozhraní API zjišťování nebo souborů JSON, jak je popsáno v předchozích částech.

Tip

  • Aktualizace z jedné publikace na další můžete zjistit tak, že v souboru JSON zjistíte zvýšené hodnoty changeNumber . Každá dílčí část (například Storage). WestUS) má vlastní hodnotu changeNumber, která se při změnách zvýší. Nejvyšší úroveň souboru changeNumber se zvýší, když se změní některá z dílčích částí.

  • Příklady parsování informací o značce služby (například získání všech rozsahů adres pro Storage v oblasti WestUS) najdete v dokumentaci k rozhraní API pro zjišťování značek služeb v PowerShellu.

  • Když se do značek služeb přidají nové IP adresy, nebudou se v Azure používat alespoň jeden týden. Tím získáte čas aktualizovat všechny systémy, které by mohly potřebovat sledovat IP adresy přidružené ke značek služeb.

Další kroky