Značky služeb virtuální sítě
Značka služby představuje skupinu předpon IP adres z dané služby Azure. Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby jako změny adres a minimalizuje složitost častých aktualizací pravidel zabezpečení sítě.
Značky služeb můžete použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě, Azure Firewall a trasách definovaných uživatelem. Značky služeb používejte místo konkrétních IP adres při vytváření pravidel zabezpečení a tras. Zadáním názvu značky služby, například ApiManagement, v příslušném zdrojovém nebo cílovém poli pravidla zabezpečení můžete povolit nebo odepřít provoz pro příslušnou službu. Zadáním názvu značky služby do předpony adresy trasy můžete směrovat provoz určený pro libovolnou z předpon zapouzdřených značkou služby na požadovaný typ dalšího segmentu směrování.
Poznámka
Od března 2022 je použití značek služeb místo explicitních předpon adres v trasách definovaných uživatelem mimo verzi Preview a obecně dostupné.
Značky služeb můžete použít k zajištění izolace sítě a ochraně prostředků Azure před obecným internetem při přístupu ke službám Azure, které mají veřejné koncové body. Vytvořte příchozí nebo odchozí pravidla skupiny zabezpečení sítě, která zamítnou provoz do internetu nebo z internetu a povolí provoz do a z AzureCloudu nebo z jiných dostupných značek služeb Azure.
Dostupné značky služeb
Následující tabulka obsahuje všechny značky služeb, které jsou k dispozici pro použití v pravidlech skupiny zabezpečení sítě .
Sloupce označují, jestli značka:
- Je vhodný pro pravidla, která pokrývají příchozí nebo odchozí provoz.
- Podporuje oblastní rozsah.
- V pravidlech Azure Firewall je možné použít jako cílové pravidlo pouze pro příchozí nebo odchozí provoz.
Ve výchozím nastavení značky služeb odrážejí rozsahy pro celý cloud. Některé značky služeb také umožňují podrobnější řízení omezením odpovídajících rozsahů IP adres na zadanou oblast. Například značka služby Storage představuje Azure Storage pro celý cloud, ale Storage. WestUS zúží rozsah jenom na rozsahy IP adres úložiště z oblasti WestUS. Následující tabulka uvádí, jestli každá značka služby podporuje takový regionální rozsah, a směr uvedený pro každou značku představuje doporučení. Například značka AzureCloud se může použít k povolení příchozího provozu. Ve většině scénářů nedoporučujeme povolit provoz ze všech IP adres Azure, protože IP adresy používané jinými zákazníky Azure jsou součástí značky služby.
| Značka | Účel | Může používat příchozí nebo odchozí spojení? | Může být regionální? | Může se používat s Azure Firewall? |
|---|---|---|---|---|
| Skupina akcí | Skupina akcí. | Příchozí | No | No |
| Správa rozhraní API | Provoz správy pro nasazení vyhrazená pro Azure API Management Poznámka: Tato značka představuje koncový bod služby Azure API Management pro řídicí rovinu pro každou oblast. Značka umožňuje zákazníkům provádět operace správy s rozhraními API, operacemi, zásadami, pojmenovanými hodnotami nakonfigurovanými ve službě API Management. |
Příchozí | Yes | Yes |
| ApplicationInsightsAvailability | Dostupnost Přehledy aplikace. | Příchozí | No | No |
| AppConfiguration | App Configuration. | Odchozí | No | No |
| AppService | Azure App Service Tato značka se doporučuje pro odchozí pravidla zabezpečení webových aplikací a aplikací funkcí. | Odchozí | Yes | Yes |
| AppServiceManagement | Provoz správy pro nasazení vyhrazená pro App Service Environment | Obojí | No | Yes |
| AzureActiveDirectory | Azure Active Directory | Odchozí | No | Yes |
| AzureActiveDirectoryDomainServices | Provoz správy pro nasazení vyhrazená pro Azure Active Directory Domain Services | Obojí | No | Yes |
| AzureAdvancedThreatProtection | Azure Advanced Threat Protection. | Odchozí | No | No |
| AzureArcInfrastructure | Servery s podporou služby Azure Arc, provoz Kubernetes s podporou Služby Azure Arc a provoz konfigurace hosta Poznámka: Tato značka má závislost na značkách AzureActiveDirectory, AzureTrafficManager a AzureResourceManager . |
Odchozí | No | Yes |
| AzureAttestation | Azure Attestation. | Odchozí | No | Yes |
| AzureBackup | Azure Backup. Poznámka: Tato značka má závislost na značkách Storage a AzureActiveDirectory. |
Odchozí | No | Yes |
| AzureBotService | Azure Bot Service. | Odchozí | No | No |
| AzureCloud | Všechny veřejné IP adresy datacentra. | Odchozí | Yes | Yes |
| AzureCognitiveSearch | Azure Cognitive Search. Tuto značku nebo IP adresy pokryté touto značkou je možné použít k udělení zabezpečeného přístupu indexerů ke zdrojům dat. Další informace o indexerech najdete v dokumentaci k připojení indexeru. Poznámka: IP adresa vyhledávací služby není zahrnuta v seznamu rozsahů IP adres pro tuto značku služby a je také potřeba ji přidat do brány firewall protokolu IP zdrojů dat. |
Příchozí | No | No |
| AzureConnectors | Tato značka představuje IP adresy používané pro spravované konektory, které provádějí příchozí zpětné volání webhooku do služby Azure Logic Apps a odchozí volání do příslušných služeb, například Azure Storage nebo Azure Event Hubs. | Příchozí a odchozí | Yes | Yes |
| AzureContainerRegistry | Azure Container Registry. | Odchozí | Yes | Yes |
| AzureCosmosDB | Azure Cosmos DB. | Odchozí | Yes | Yes |
| AzureDatabricks | Azure Databricks. | Obojí | No | No |
| AzureDataExplorerManagement | Azure Data Explorer Management. | Příchozí | No | No |
| AzureDataLake | Azure Data Lake Storage Gen1. | Odchozí | No | Yes |
| AzureDeviceUpdate | Aktualizace zařízení pro IoT Hub | Obojí | No | Yes |
| AzureDevSpaces | Azure Dev Spaces. | Odchozí | No | No |
| AzureDevOps | Azure Dev Ops. | Příchozí | No | Yes |
| AzureDigitalTwins | Azure Digital Twins. Poznámka: Tuto značku nebo IP adresy pokryté touto značkou lze použít k omezení přístupu ke koncovým bodům nakonfigurovaným pro trasy událostí. |
Příchozí | No | Yes |
| AzureEventGrid | Azure Event Grid. | Obojí | No | No |
| AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty |
Azure Front Door. | Obojí | No | No |
| AzureHealthcareAPIs | IP adresy pokryté touto značkou je možné použít k omezení přístupu ke službě Azure Health Data Services. | Obojí | No | Yes |
| AzureInformationProtection | Azure Information Protection. Poznámka: Tato značka má závislost na značkách AzureActiveDirectory, AzureFrontDoor.Frontend a AzureFrontDoor.FirstParty . |
Odchozí | No | No |
| AzureIoTHub | Azure IoT Hub | Odchozí | Yes | No |
| AzureKeyVault | Azure Key Vault Poznámka: Tato značka má závislost na značce AzureActiveDirectory . |
Odchozí | Yes | Yes |
| AzureLoadBalancer | Nástroj pro vyrovnávání zatížení infrastruktury Azure. Značka se překládá na virtuální IP adresu hostitele (168.63.129.16), kde pocházejí sondy stavu Azure. To zahrnuje pouze provoz sondy, nikoli skutečný provoz do vašeho back-endového prostředku. Pokud nepoužíváte Azure Load Balancer, můžete toto pravidlo přepsat. | Obojí | No | No |
| AzureMachineLearning | Azure Machine Learning. | Obojí | No | Yes |
| AzureMonitor | Log Analytics, aplikační Přehledy, AzMon a vlastní metriky (koncové body GiG). Poznámka: Pro Log Analytics se vyžaduje také značka Storage. Pokud se používají agenti Linuxu, vyžaduje se také značka GuestAndHybridManagement . |
Odchozí | No | Yes |
| AzureOpenDatasets | Azure Open Datasets Poznámka: Tato značka má závislost na značce AzureFrontDoor.Frontend a Storage. |
Odchozí | No | No |
| AzurePlatformDNS | Základní infrastruktura (výchozí) služba DNS. Tuto značku můžete použít k zakázání výchozího DNS. Při použití této značky buďte opatrní. Doporučujeme, abyste si přečetli důležité informace o platformě Azure. Doporučujeme také provést testování před použitím této značky. |
Odchozí | No | No |
| AzurePlatformIMDS | Azure Instance Metadata Service (IMDS), což je základní služba infrastruktury. Pomocí této značky můžete výchozí imDS zakázat. Při použití této značky buďte opatrní. Doporučujeme, abyste si přečetli důležité informace o platformě Azure. Doporučujeme také provést testování před použitím této značky. |
Odchozí | No | No |
| AzurePlatformLKM | Windows službu licencování nebo správy klíčů. Tuto značku můžete použít k zakázání výchozích hodnot licencování. Při použití této značky buďte opatrní. Doporučujeme, abyste si přečetli důležité informace o platformě Azure. Doporučujeme také provést testování před použitím této značky. |
Odchozí | No | No |
| AzureResourceManager | V Azure Resource Manageru | Odchozí | No | No |
| AzureSignalR | Azure SignalR. | Odchozí | No | No |
| AzureSiteRecovery | Azure Site Recovery. Poznámka: Tato značka má závislost na značkách AzureActiveDirectory, AzureKeyVault, EventHub, GuestAndHybridManagement a Storage. |
Odchozí | No | No |
| AzureSphere | Tuto značku nebo IP adresy pokryté touto značkou je možné použít k omezení přístupu ke službě Azure Sphere Security Services. | Obojí | No | Yes |
| AzureStack | Služby Azure Stack Bridge Tato značka představuje koncový bod služby Azure Stack Bridge pro každou oblast. | Odchozí | No | Yes |
| AzureTrafficManager | Azure Traffic Manager IP adresy sondy. Další informace o IP adresách sondy Traffic Manager najdete v Azure Traffic Manager nejčastějších dotazech. |
Příchozí | No | Yes |
| AzureUpdateDelivery | Přístup k Windows Aktualizace Poznámka: Tato značka poskytuje přístup ke službám metadat služba Windows Update. Pokud chcete aktualizace úspěšně stáhnout, musíte také povolit značku služby AzureFrontDoor.FirstParty a nakonfigurovat pravidla zabezpečení odchozích přenosů pomocí protokolu a portu definovaného následujícím způsobem:
|
Odchozí | No | No |
| BatchNodeManagement | Provoz správy pro nasazení vyhrazená pro Azure Batch | Obojí | No | Yes |
| CognitiveServicesManagement | Rozsahy adres pro provoz pro Azure Cognitive Services | Obojí | No | No |
| DataFactory | Azure Data Factory | Obojí | No | No |
| DataFactoryManagement | Provoz správy pro Azure Data Factory | Odchozí | No | No |
| Dynamics365ForMarketingEmail | Rozsahy adres pro marketingovou e-mailovou službu Dynamics 365 | Odchozí | Yes | No |
| EOPExternalPublishedIPs | Tato značka představuje IP adresy používané pro PowerShell centra dodržování předpisů zabezpečení & . Další podrobnosti najdete v Připojení v PowerShellu centra dodržování předpisů zabezpečení & pomocí modulu EXO V2. | Obojí | No | Yes |
| Centrum událostí | Azure Event Hubs. | Odchozí | Yes | Yes |
| GatewayManager | Provoz správy pro nasazení vyhrazená pro azure VPN Gateway a Application Gateway | Příchozí | No | No |
| GuestAndHybridManagement | konfigurace Azure Automation a hosta. | Odchozí | No | Yes |
| HDInsight | Azure HDInsight. | Příchozí | Yes | No |
| Internet | Adresní prostor IP adres mimo virtuální síť a dostupný veřejným internetem. Rozsah adres zahrnuje veřejný adresní prostor IP adres vlastněný Azure. |
Obojí | No | No |
| LogicApps | Logic Apps. | Obojí | No | No |
| LogicAppsManagement | Provoz správy pro Logic Apps | Příchozí | No | No |
| M365ManagementActivityApi | Rozhraní API aktivit správy Office 365 poskytuje informace o různých akcích uživatele, správci, systému a zásadách a událostech z protokolů aktivit Office 365 a Azure Active Directory. Zákazníci a partneři můžou tyto informace použít k vytvoření nových nebo vylepšení stávajících řešení pro monitorování provozu, zabezpečení a dodržování předpisů pro podnik. Poznámka: Tato značka má závislost na značce AzureActiveDirectory . |
Odchozí | Yes | No |
| M365ManagementActivityApiWebhook | Oznámení se odesílají do nakonfigurovaného webhooku pro předplatné, jakmile bude k dispozici nový obsah. | Příchozí | Yes | No |
| MicrosoftAzureFluidRelay | Tato značka představuje IP adresy používané pro Azure Microsoft Fluid Relay Server. | Odchozí | No | No |
| MicrosoftCloudAppSecurity | Microsoft Defender for Cloud Apps. | Odchozí | No | No |
| MicrosoftContainerRegistry | Registr kontejnerů pro image kontejnerů Microsoftu Poznámka: Tato značka má závislost na značce AzureFrontDoor.FirstParty . |
Odchozí | Yes | Yes |
| Power BI | v Power BI. | Obojí | No | No |
| PowerPlatformInfra | Tato značka představuje IP adresy používané infrastrukturou k hostování služeb Power Platform. | Odchozí | Yes | Yes |
| PowerQueryOnline | Power Query Online. | Obojí | No | No |
| ServiceBus | Azure Service Bus provoz, který používá úroveň služby Premium. | Odchozí | Yes | Yes |
| ServiceFabric | Azure Service Fabric. Poznámka: Tato značka představuje koncový bod služby Service Fabric pro řídicí rovinu na oblast. To umožňuje zákazníkům provádět operace správy pro své Service Fabric clustery ze své virtuální sítě (např. koncový bod https:// westus.servicefabric.azure.com). |
Obojí | No | No |
| Sql | Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Database for MariaDB a Azure Synapse Analytics. Poznámka: Tato značka představuje službu, ale ne konkrétní instance služby. Značka například představuje službu Azure SQL Database, ale ne konkrétní server nebo databázi SQL. Tato značka se nevztahuje na SQL spravovanou instanci. |
Odchozí | Yes | Yes |
| SqlManagement | Provoz správy pro SQL vyhrazená nasazení | Obojí | No | Yes |
| Storage | Azure Storage Poznámka: Tato značka představuje službu, ale ne konkrétní instance služby. Značka například představuje službu Azure Storage, ale ne konkrétní účet služby Azure Storage. |
Odchozí | Yes | Yes |
| StorageSyncService | služba synchronizace Storage. | Obojí | No | No |
| WindowsAdminCenter | Povolte Windows Admin Center back-endové službě komunikovat s instalací Windows Admin Center zákazníků. | Odchozí | No | Yes |
| WindowsVirtualDesktop | Azure Virtual Desktop (dříve Windows Virtual Desktop). | Obojí | No | Yes |
| VirtualNetwork | Adresní prostor virtuální sítě (všechny rozsahy IP adres definované pro virtuální síť), všechny připojené místní adresní prostory, partnerské virtuální sítě, virtuální sítě připojené k bráně virtuální sítě, virtuální IP adresa hostitele a předpony adres používané v trasách definovaných uživatelem. Tato značka může také obsahovat výchozí trasy. | Obojí | No | No |
Poznámka
Při použití značek služeb s Azure Firewall můžete vytvářet pouze cílová pravidla pro příchozí a odchozí provoz. Zdrojová pravidla nejsou podporována. Další informace najdete v dokumentaci k Azure Firewall značky služeb.
Značky služeb Azure označují předpony adres z používaného konkrétního cloudu. Například základní rozsahy IP adres, které odpovídají hodnotě značky Sql ve veřejném cloudu Azure, se budou lišit od podkladových rozsahů v cloudu Azure China.
Pokud implementujete koncový bod služby virtuální sítě pro službu, například Azure Storage nebo Azure SQL Database, Azure přidá trasu do podsítě virtuální sítě pro tuto službu. Předpony adres v trase jsou stejné předpony adres nebo rozsahy CIDR jako předpony odpovídající značky služby.
Značky podporované v modelu nasazení Classic
Model nasazení Classic (před azure Resource Manager) podporuje malou podmnožinu značek uvedených v předchozí tabulce. Značky v modelu nasazení Classic jsou napsané jinak, jak je znázorněno v následující tabulce:
| značka Resource Manager | Odpovídající značka v modelu nasazení Classic |
|---|---|
| AzureLoadBalancer | AZURE_LOADBALANCER |
| Internet | INTERNET |
| VirtualNetwork | VIRTUAL_NETWORK |
Značky služeb v místním prostředí
Aktuální informace o značce služby a rozsahu můžete získat jako součást konfigurací místní brány firewall. Tyto informace jsou aktuálním seznamem rozsahů IP adres, které odpovídají každé značce služby. Informace můžete získat prostřednictvím kódu programu nebo prostřednictvím stahování souboru JSON, jak je popsáno v následujících částech.
Použití rozhraní API pro zjišťování značek služeb
Aktuální seznam značek služeb můžete načíst prostřednictvím kódu programu společně s podrobnostmi rozsahu IP adres:
Pokud chcete například načíst všechny předpony značky služby Storage, můžete použít následující rutiny PowerShellu:
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
Poznámka
- Data rozhraní API představují značky, které lze použít s pravidly skupiny zabezpečení sítě ve vaší oblasti. Data rozhraní API použijte jako zdroj pravdy pro dostupné značky služeb, protože se můžou lišit od souboru JSON ke stažení.
- Rozšíření nových dat značek služeb ve výsledcích rozhraní API ve všech oblastech Azure trvá až 4 týdny. Z tohoto procesu můžou být výsledky dat rozhraní API synchronizované se souborem JSON ke stažení, protože data rozhraní API představují podmnožinu značek, které jsou aktuálně v souboru JSON ke stažení.
- Musíte být ověřeni a mít roli s oprávněními ke čtení pro vaše aktuální předplatné.
Zjišťování značek služeb pomocí souborů JSON ke stažení
Můžete stáhnout soubory JSON, které obsahují aktuální seznam značek služeb společně s podrobnostmi rozsahu IP adres. Tyto seznamy se aktualizují a publikují týdně. Umístění pro každý cloud jsou:
Rozsahy IP adres v těchto souborech jsou v zápisu CIDR.
Následující značky AzureCloudu nemají místní názvy formátované podle normálního schématu:
- AzureCloud.centralfrance (FranceCentral)
- AzureCloud.southfrance (FranceSouth)
- AzureCloud.germanywc (GermanyWestCentral)
- AzureCloud.germanyn (GermanyNorth)
- AzureCloud.norwaye (NorskoEast)
- AzureCloud.norwayw (NorskoWest)
- AzureCloud.switzerlandn (SwitzerlandNorth)
- AzureCloud.switzerlandw (SwitzerlandWest)
- AzureCloud.usstagee (EastUSSTG)
- AzureCloud.usstagec (SouthCentralUSSTG)
Poznámka
Podmnožina těchto informací byla publikována v souborech XML pro Azure Public, Azure China a Azure Germany. Tyto soubory ke stažení XML budou zastaralé do 30. června 2020 a po tomto datu už nebudou k dispozici. Měli byste migrovat na použití rozhraní API zjišťování nebo souborů JSON, jak je popsáno v předchozích částech.
Tip
Aktualizace z jedné publikace na další můžete zjistit tak, že v souboru JSON zjistíte zvýšené hodnoty changeNumber . Každá dílčí část (například Storage). WestUS) má vlastní hodnotu changeNumber, která se při změnách zvýší. Nejvyšší úroveň souboru changeNumber se zvýší, když se změní některá z dílčích částí.
Příklady parsování informací o značce služby (například získání všech rozsahů adres pro Storage v oblasti WestUS) najdete v dokumentaci k rozhraní API pro zjišťování značek služeb v PowerShellu.
Když se do značek služeb přidají nové IP adresy, nebudou se v Azure používat alespoň jeden týden. Tím získáte čas aktualizovat všechny systémy, které by mohly potřebovat sledovat IP adresy přidružené ke značek služeb.
Další kroky
- Zjistěte, jak vytvořit skupinu zabezpečení sítě.