Alamat IP masuk dan keluar di Azure App Service
Azure App Service adalah layanan multipenyewa, kecuali untuk Lingkungan App Service. Aplikasi yang tidak berada di lingkungan App Service (bukan di tingkat Terisolasi) berbagi infrastruktur jaringan dengan aplikasi lain. Akibatnya, alamat IP masuk dan keluar dari aplikasi dapat berbeda, dan bahkan dapat berubah dalam situasi tertentu.
Lingkungan Azure App Service menggunakan infrastruktur jaringan khusus, sehingga aplikasi yang berjalan di lingkungan Azure App Service mendapatkan alamat IP khusus yang statik baik untuk sambungan masuk maupun keluar.
Cara kerja alamat IP di Azure App Service
Aplikasi Azure App Service berjalan dalam paket Azure App Service, dan paket Azure App Service disebarkan ke salah satu unit penyebaran di infrastruktur Azure (secara internal disebut ruang web). Masing-masing unit penyebaran ditetapkan dengan set alamat IP virtual, yang mencakup satu alamat IP masuk publik dan satu set alamat IP keluar. Semua paket Azure App Service di unit penyebaran yang sama, dan instans aplikasi yang berjalan di dalamnya, berbagi set alamat IP virtual yang sama. Untuk Lingkungan Azure App Service (paket Azure App Service di tingkat Terisolasi), paket Azure App Service adalah unit penyebaran itu sendiri, sehingga alamat IP virtual didedikasikan untuk Azure App Service sebagai hasilnya.
Karena Anda tidak diizinkan untuk memindahkan paket Azure App Service antara unit penyebaran, alamat IP virtual yang ditetapkan ke aplikasi biasanya tetap sama, tetapi ada pengecualian.
Saat IP masuk berubah
Terlepas dari jumlah instans yang diluaskan skalanya, masing-masing aplikasi memiliki satu alamat IP masuk. Alamat IP masuk dapat berubah saat Anda melakukan salah satu tindakan berikut:
- Hapus aplikasi dan buat ulang di grup sumber daya yang berbeda (unit penyebaran dapat berubah).
- Hapus aplikasi terakhir di grup sumber daya dan kombinasi wilayah serta buat ulang (unit penyebaran dapat berubah).
- Hapus pengikatan TLS/SSL berbasis IP yang ada, seperti selama pembaruan sertifikat (lihat Memperbarui sertifikat).
Temukan IP masuk
Jalankan saja perintah berikut di terminal lokal:
nslookup <app-name>.azurewebsites.net
Dapatkan IP masuk statik
Terkadang Anda mungkin menginginkan alamat IP statik khusus untuk aplikasi. Untuk mendapatkan alamat IP masuk statis, Anda perlu mengamankan nama DNS kustom dengan pengikatan sertifikat berbasis IP. Jika tidak memerlukan fungsionalitas TLS untuk mengamankan aplikasi, Anda bahkan dapat mengunggah sertifikat yang ditandatangani sendiri untuk pengikatan ini. Dalam pengikatan TLS berbasis IP, sertifikat terikat ke alamat IP itu sendiri, sehingga App Service membuat alamat IP statis untuk melahirkannya.
Saat IP keluar berubah
Terlepas dari jumlah instans yang diluaskan skalanya, masing-masing aplikasi memiliki sejumlah alamat IP keluar pada waktu tertentu. Setiap sambungan keluar dari aplikasi Azure App Service, seperti ke database ujung belakang, menggunakan salah satu alamat IP keluar sebagai alamat IP asal. Alamat IP yang akan digunakan dipilih secara acak saat runtime, jadi layanan ujung akhir harus membuka firewall ke semua alamat IP keluar untuk aplikasi Anda.
Set alamat IP keluar untuk aplikasi Anda berubah saat melakukan salah satu tindakan berikut:
- Hapus aplikasi dan buat ulang di grup sumber daya yang berbeda (unit penyebaran dapat berubah).
- Hapus aplikasi terakhir di grup sumber daya dan kombinasi wilayah serta buat ulang (unit penyebaran dapat berubah).
- Skalakan aplikasi Anda antara tingkat bawah (Dasar, Standar, dan Premium), tingkat PremiumV2, tingkat PremiumV3, dan opsi Pmv3 dalam tingkat PremiumV3 (alamat IP dapat ditambahkan ke atau dikurangi dari set).
Anda dapat menemukan kumpulan semua kemungkinan alamat IP keluar yang dapat digunakan aplikasi Anda, terlepas dari tingkat harga, dengan mencari possibleOutboundIpAddresses properti atau di bidang Alamat IP Keluar Tambahan di halaman Properti di portal Azure. Lihat Menemukan IP keluar.
Kumpulan semua kemungkinan alamat IP keluar dapat meningkat dari waktu ke waktu jika App Service menambahkan tingkat harga atau opsi baru ke penyebaran App Service yang ada. Misalnya, jika App Service menambahkan tingkat PremiumV3 ke penyebaran App Service yang ada, maka kumpulan semua kemungkinan alamat IP keluar meningkat. Demikian pula, jika App Service menambahkan opsi Pmv3 baru ke penyebaran yang sudah mendukung tingkat PremiumV3, maka kumpulan semua kemungkinan alamat IP keluar meningkat. Menambahkan alamat IP ke penyebaran tidak memiliki efek langsung karena alamat IP keluar untuk menjalankan aplikasi tidak berubah saat tingkat harga atau opsi baru ditambahkan ke penyebaran App Service. Namun, jika aplikasi beralih ke tingkat harga atau opsi baru yang sebelumnya tidak tersedia, maka alamat keluar baru digunakan dan pelanggan perlu memperbarui aturan firewall hilir dan pembatasan alamat IP.
Menemukan IP keluar
Untuk menemukan alamat IP keluar yang saat ini digunakan oleh aplikasi Anda di portal Azure, pilih Properti di navigasi sebelah kiri aplikasi Anda. Mereka tercantum di bidang Alamat IP Keluar.
Anda dapat menemukan informasi yang sama dengan menjalankan perintah berikut di Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses
Untuk menemukan semua kemungkinan alamat IP keluar untuk aplikasi Anda, terlepas dari tingkat harga, pilih Properti di navigasi sebelah kiri aplikasi Anda. Alamat IP Keluar Tambahan tercantum di bidang Alamat IP Keluar Tambahan.
Anda dapat menemukan informasi yang sama dengan menjalankan perintah berikut di Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses
Mendapatkan IP keluar statik
Anda dapat mengontrol alamat IP lalu lintas keluar dari aplikasi Anda dengan menggunakan integrasi jaringan virtual bersama dengan gateway NAT jaringan virtual untuk mengarahkan lalu lintas melalui alamat IP publik statis. Integrasi jaringan virtual tersedia pada paket App Service Dasar, Standar, Premium, PremiumV2, dan PremiumV3 . Untuk mempelajari selengkapnya tentang penyiapan ini, lihat integrasi gateway NAT.
Tag layanan
Dengan menggunakan AppService tag layanan, Anda dapat menentukan akses jaringan untuk layanan Azure App Service tanpa menentukan alamat IP individual. Tag layanan adalah sekelompok awalan alamat IP yang Anda gunakan untuk meminimalkan kompleksitas pembuatan aturan keamanan. Saat Anda menggunakan tag layanan, Azure secara otomatis memperbarui alamat IP saat berubah untuk layanan. Namun, tag layanan bukan mekanisme kontrol keamanan. Tag layanan hanyalah daftar alamat IP.
Tag AppService layanan hanya menyertakan alamat IP masuk aplikasi multipenyewa. Alamat IP masuk dari aplikasi yang disebarkan di terisolasi (App Service Environment) dan aplikasi yang menggunakan pengikatan TLS berbasis IP tidak disertakan. Selanjutnya semua alamat IP keluar yang digunakan di multipenyewa dan terisolasi tidak disertakan dalam tag.
Tag dapat digunakan untuk mengizinkan lalu lintas keluar dalam kelompok keamanan jaringan (NSG) ke aplikasi. Jika aplikasi menggunakan TLS berbasis IP atau aplikasi disebarkan dalam mode terisolasi, Anda harus menggunakan alamat IP khusus sebagai gantinya.
Catatan
Tag layanan membantu Anda menentukan akses jaringan, tetapi tidak boleh dianggap sebagai pengganti langkah-langkah keamanan jaringan yang tepat karena tidak memberikan kontrol terperinci atas alamat IP individual.
Langkah berikutnya
- Pelajari cara membatasi lalu lintas masuk menurut alamat IP sumber.
- Pelajari selengkapnya tentang tag layanan.