Tag layanan jaringan virtual

Tag layanan mewakili sekelompok awalan alamat IP dari layanan Azure tertentu. Microsoft mengelola awalan alamat yang di mencakup tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah, meminimalkan kompleksitas pembaruan yang sering terjadi pada aturan keamanan jaringan.

Anda dapat menggunakan tag layanan jaringan virtual untuk menentukan kontrol pada akses jaringan pada kelompok keamanan jaringan, Azure Firewall, dan rute yang ditentukan pengguna. Gunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat rute dan aturan keamanan. Dengan menentukan nama tag layanan, misalnya ApiManagement di bidang sumber atau tujuan yang sesuai dari suatu aturan keamanan, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai. Dengan menentukan nama tag layanan dalam awalan alamat rute, Anda dapat merutekan lalu lintas yang ditujukan untuk salah satu awalan yang dienkapsulasi oleh tag layanan ke jenis hop berikutnya yang diinginkan.

Catatan

Pada Maret 2022, penggunaan tag layanan sebagai pengganti awalan alamat eksplisit dalam rute yang ditentukan pengguna berakhir masa pratinjaunya dan tersedia untuk umum.

Anda dapat menggunakan tag layanan untuk memungkinkan isolasi jaringan dan melindungi sumber daya Azure dari Internet umum sembari mengakses layanan Azure yang memiliki titik akhir publik. Buat aturan grup keamanan jaringan masuk/keluar untuk menolak lalu lintas ke/dari Internet dan mengizinkan lalu lintas ke/dari AzureCloud atau tag layanan lain yang tersedia dari layanan Azure tertentu.

Network isolation of Azure services using service tags

Tag layanan yang tersedia

Tabel berikut ini meliputi semua tag layanan yang tersedia untuk digunakan dalam aturan kelompok keamanan jaringan.

Kolom menunjukkan apakah tag:

  • Cocok untuk aturan yang meliputi lalu lintas masuk atau keluar.
  • Mendukung ruang lingkup regional.
  • Dapat digunakan dalam aturan Azure Firewall.

Tag layanan mencerminkan rentang untuk seluruh cloud secara default. Beberapa tag layanan juga memungkinkan kendali yang lebih terperinci dengan membatasi rentang IP yang sesuai ke wilayah tertentu. Misalnya, penyimpanan tag layanan mewakili Microsoft Azure Storage untuk seluruh cloud, tetapi Storage.WestUS mempersempit rentang hanya ke alamat IP penyimpanan di sekitar dari wilayah WestUS. Tabel berikut menunjukkan apakah tiap tag layanan mendukung lingkup regional tersebut. Perhatikan bahwa arah yang tercantum untuk setiap tag adalah rekomendasi. Misalnya, tag AzureCloud dapat digunakan untuk mengizinkan lalu lintas masuk. Namun, kami tidak merekomendasikan ini dalam sebagian besar skenario karena ini berarti mengizinkan lalu lintas dari semua IP Azure, termasuk yang digunakan oleh pelanggan Azure lainnya.

Tag Tujuan Dapat menggunakan inbound atau outbound? Dapat dijalankan secara regional? Bisa digunakan dengan Azure Firewall?
Grup Tindakan Grup Tindakan. Masuk Tidak Tidak
ApiManagement Lalu lintas manajemen untuk penyebaran khusus Azure API Management.

Catatan: Tag ini mewakili titik akhir layanan Azure API Management untuk sarana kontrol setiap wilayah. Hal ini memungkinkan pelanggan untuk melakukan operasi manajemen pada API, Operasi, Kebijakan, NamedValues yang dikonfigurasi pada layanan API Management.
Masuk Ya Ya
ApplicationInsightsAvailability Ketersediaan Application Insights. Masuk Tidak Tidak
AppConfiguration App Configuration. Keluar Tidak Tidak
AppService Azure App Service. Tag ini direkomendasikan untuk aturan keamanan keluar ke aplikasi web dan aplikasi Fungsi. Keluar Ya Ya
AppServiceManagement Lalu lintas manajemen penyebaran khusus untuk Lingkungan Azure App Service. Keduanya Tidak Ya
AzureActiveDirectory Azure Active Directory. Keluar Tidak Ya
AzureActiveDirectoryDomainServices Lalu lintas manajemen penyebaran khusus untuk Azure Active Directory Domain Services. Keduanya Tidak Ya
AzureAdvancedThreatProtection Perlindungan Ancaman Tingkat Lanjut Azure. Keluar Tidak Tidak
AzureArcInfrastructure Server yang didukung Azure Arc, Kubernetes yang didukung Azure Arc, dan lalu lintas Guest Configuration.

Catatan: Tag ini memiliki dependensi pada tag AzureActiveDirectory,AzureTrafficManager, dan AzureResourceManager.
Keluar Tidak Ya
AzureAttestation Azure Attestation. Keluar Tidak Ya
AzureBackup Azure Backup.

Catatan: Tag ini memiliki dependensi pada tag Azure Storage dan AzureActiveDirectory.
Keluar Tidak Ya
AzureBotService Azure Bot Service. Keluar Tidak Tidak
AzureCloud Semua alamat IP publik pusat data. Keluar Ya Ya
AzureCognitiveSearch Azure Cognitive Search.

Tag atau alamat IP yang tercakup dalam tag ini dapat digunakan untuk memberikan akses aman kepada pengindeks ke sumber data. Lihat dokumentasi koneksi pengindeks untuk detail lebih lanjut.

Catatan: IP layanan pencarian tidak termasuk dalam daftar rentang IP untuk tag layanan ini dan juga perlu ditambahkan ke IP firewall sumber data.
Masuk Tidak Tidak
AzureConnectors Tag ini mewakili alamat IP yang digunakan untuk konektor terkelola yang melakukan panggilan balik webhook masuk ke layanan Azure Logic Apps dan panggilan keluar ke layanan masing-masing, misalnya, Microsoft Azure Storage atau Pusat Aktivitas Azure. Masuk / Keluar Ya Ya
AzureContainerRegistry Azure Container Registry. Keluar Ya Ya
AzureCosmosDB Azure Cosmos DB. Keluar Ya Ya
AzureDatabricks Azure Databricks. Keduanya Tidak Tidak
AzureDataExplorerManagement Manajemen Azure Data Explorer. Masuk Tidak Tidak
AzureDataLake Azure Data Lake Storage Gen1. Keluar Tidak Ya
AzureDeviceUpdate Device Update for IoT Hub. Keduanya Tidak Ya
AzureDevSpaces Azure Dev Spaces. Keluar Tidak Tidak
AzureDevOps Azure Dev Ops. Masuk Tidak Ya
AzureDigitalTwins Azure Digital Twins.

Catatan: Tag ini atau alamat IP yang dicakup oleh tag ini dapat digunakan untuk membatasi akses ke titik akhir yang dikonfigurasi untuk rute peristiwa.
Masuk Tidak Ya
AzureEventGrid Azure Event Grid. Keduanya Tidak Tidak
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Azure Front Door. Keduanya Tidak Tidak
AzureHealthcareAPIs Alamat IP yang dicakup oleh tag ini dapat digunakan untuk membatasi akses ke Azure Health Data Services. Keduanya Tidak Ya
AzureInformationProtection Perlindungan Informasi Azure.

Catatan: Tag ini memiliki dependensi pada tag AzureActiveDirectory, AzureFrontDoor.Frontend dan AzureFrontDoor.FirstParty.
Keluar Tidak Tidak
AzureIoTHub Azure IoT Hub. Keluar Ya Tidak
AzureKeyVault Azure Key Vault.

Catatan: Tag ini memiliki dependensi pada tag AzureActiveDirectory.
Keluar Ya Ya
AzureLoadBalancer Load balancer infrastruktur Azure. Tag diterjemahkan ke alamat IP virtual host (168.63.129.16) tempat pemeriksaan kesehatan Azure berasal. Namun hanya termasuk lalu lintas pemeriksaan, bukan lalu lintas nyata ke sumber daya backend Anda. Jika Anda tidak menggunakan Azure Load Balancer, Anda dapat mengambil alih aturan ini. Keduanya Tidak Tidak
AzureMachineLearning Azure Machine Learning. Keduanya Tidak Ya
AzureMonitor Analitik Log, Application Insights, AzMon, dan metrik kustom (titik akhir GiG).

Catatan: Catatan: Untuk Log Analytics, tag Azure Storage juga diperlukan. Jika agen Linux digunakan, tag GuestAndHybridManagement juga diperlukan.
Keluar Tidak Ya
AzureOpenDatasets Azure Open Datasets.

Catatan: Tag ini memiliki dependensi pada tag AzureFrontDoor.Frontend dan Azure Storage.
Keluar Tidak Tidak
AzurePlatformDNS Layanan DNS infrastruktur dasar (default).

Anda bisa menggunakan tag ini untuk menonaktifkan DNS default. Berhati-hatilah saat Anda menggunakan tag ini. Kami menyarankan agar Anda membaca pertimbangan platform Azure. Kami juga menyarankan Agar Anda melakukan pengujian sebelum menggunakan tag ini.
Keluar Tidak Tidak
AzurePlatformIMDS Azure Instance Metadata Service (IMDS) merupakan layanan infrastruktur dasar.

Anda bisa menggunakan tag ini untuk menonaktifkan IMDS default. Berhati-hatilah saat Anda menggunakan tag ini. Kami menyarankan agar Anda membaca pertimbangan platform Azure. Kami juga menyarankan Agar Anda melakukan pengujian sebelum menggunakan tag ini.
Keluar Tidak Tidak
AzurePlatformLKM Layanan lisensi atau manajemen kunci Windows.

Anda bisa menggunakan tag ini untuk menonaktifkan lisensi default. Berhati-hatilah saat Anda menggunakan tag ini. Kami menyarankan agar Anda membaca pertimbangan platform Azure. Kami juga menyarankan Agar Anda melakukan pengujian sebelum menggunakan tag ini.
Keluar Tidak Tidak
AzureResourceManager Azure Resource Manager. Keluar Tidak Tidak
AzureSignalR Azure SignalR. Keluar Tidak Tidak
AzureSiteRecovery Azure Site Recovery.

Catatan: Tag ini memiliki dependensi pada tag AzureActiveDirectory, AzureKeyVault, EventHub,GuestAndHybridManagement dan Azure Storage.
Keluar Tidak Tidak
AzureSphere Tag ini atau alamat IP yang dicakup oleh tag ini dapat digunakan untuk membatasi akses ke Layanan Keamanan Azure Sphere. Keduanya Tidak Ya
AzureStack Layanan Azure Stack Bridge.
Tag ini mewakili titik akhir layanan Azure Stack Bridge per wilayah.
Keluar Tidak Ya
AzureTrafficManager Alamat IP pemeriksaan Azure Traffic Manager.

Untuk informasi lebih lanjut tentang alamat IP pemeriksaan Traffic Manager, lihat Tanya Jawab Umum Azure Traffic Manager.
Masuk Tidak Ya
AzureUpdateDelivery Untuk mengakses Windows Update.

Catatan: Tag ini menyediakan akses ke layanan metadata Windows Update. Untuk berhasil mengunduh pembaruan, Anda juga harus mengaktifkan tag layanan AzureFrontDoor.FirstParty dan mengonfigurasi aturan keamanan keluar dengan protokol dan port yang didefinisikan sebagai berikut:
  • AzureUpdateDelivery: TCP, port 443
  • AzureFrontDoor.FirstParty: TCP, port 80
Keluar Tidak Tidak
BatchNodeManagement Lalu lintas manajemen penyebaran yang ditujukan untuk Azure Batch. Keduanya Tidak Ya
CognitiveServicesManagement Rentang alamat untuk lalu lintas Azure Cognitive Services. Keduanya Tidak Tidak
DataFactory Azure Data Factory Keduanya Tidak Tidak
DataFactoryManagement Lalu lintas manajemen untuk Azure Data Factory. Keluar Tidak Tidak
Dynamics365ForMarketingEmail Rentang alamat untuk layanan email pemasaran Dynamics 365. Keluar Ya Tidak
EOPExternalPublishedIPs Tag ini mewakili alamat IP yang digunakan untuk Keamanan & Pusat Kepatuhan PowerShell. Lihat Hubungkan ke Keamanan & Pusat Kepatuhan PowerShell menggunakan modul EXO V2 untuk detail selengkapnya. Keduanya Tidak Ya
EventHub Azure Event Hubs. Keluar Ya Ya
GatewayManager Lalu lintas manajemen penyebaran khusus untuk VPN Gateway Azure dan Application Gateway. Masuk Tidak Tidak
GuestAndHybridManagement Azure Automation dan Konfigurasi Tamu. Keluar Tidak Ya
HDInsight Azure HDInsight. Masuk Ya Tidak
Internet Ruang alamat IP yang berada di luar jaringan virtual dan dapat dijangkau oleh internet publik.

Rentang alamat mencakup ruang alamat IP publik milik Azure.
Keduanya Tidak Tidak
LogicApps Logic Apps. Keduanya Tidak Tidak
LogicAppsManagement Lalu lintas manajemen Azure Logic Apps. Masuk Tidak Tidak
M365ManagementActivityApi Office 365 Management Activity API menyediakan informasi tentang berbagai tindakan dan peristiwa pengguna, admin, sistem, dan kebijakan dari log aktivitas Office 365 dan Azure Active Directory. Pelanggan dan mitra dapat menggunakan informasi ini untuk membuat solusi baru atau menyempurnakan operasi, keamanan, dan pemantauan kepatuhan yang ada untuk perusahaan.

Catatan: Tag ini memiliki dependensi pada tag AzureActiveDirectory.
Keluar Ya Tidak
M365ManagementActivityApiWebhook Pemberitahuan dikirim ke webhook yang dikonfigurasi untuk berlangganan saat konten baru tersedia. Masuk Ya Tidak
MicrosoftAzureFluidRelay Tag ini merepresentasikan alamat IP yang digunakan untuk Azure Microsoft Fluid Relay Server. Keluar Tidak Tidak
MicrosoftCloudAppSecurity Pertahanan Microsoft untuk Aplikasi Cloud. Keluar Tidak Tidak
MicrosoftContainerRegistry Registri kontainer untuk Microsoft container images.

Catatan: Tag ini memiliki dependensi pada tag AzureFrontDoor.FirstParty.
Keluar Ya Ya
PowerBI Power BI. Keduanya Tidak Tidak
PowerPlatformInfra Tag ini mewakili alamat IP yang digunakan oleh infrastruktur untuk menghosting layanan Power Platform. Keluar Ya Ya
PowerQueryOnline Power Query Online. Keduanya Tidak Tidak
ServiceBus Lalu lintas Azure Service Bus yang menggunakan tingkat layanan Premium. Keluar Ya Ya
ServiceFabric Azure Service Fabric.

Catatan: Tag ini mewakili titik akhir layanan Service Fabric untuk sarana kontrol setiap wilayah. Hal ini memungkinkan pelanggan untuk melakukan operasi manajemen untuk klaster Service Fabric mereka dari VNET mereka (endpoint mis. https://westus.servicefabric.azure.com).
Keduanya Tidak Tidak
Sql Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Database for MariaDB, dan Azure Synapse Analytics.

Catatan: Tag ini mewakili layanan, tetapi bukan instans spesifik dari layanan. Misalnya, tag mewakili layanan Database Azure SQL, tetapi bukan database atau server SQL tertentu. Tag ini tidak berlaku untuk SQL Managed Instance.
Keluar Ya Ya
SqlManagement Lalu lintas manajemen penyebaran khusus SQL. Keduanya Tidak Ya
Penyimpanan Azure Storage.

Catatan: Tag ini mewakili layanan, tetapi bukan instans spesifik dari layanan. Misalnya, tag mewakili layanan Azure Storage, tetapi bukan akun Azure Storage tertentu.
Keluar Ya Ya
StorageSyncService Layanan Sinkronisasi Penyimpanan. Keduanya Tidak Tidak
WindowsAdminCenter Izinkan layanan backend Pusat Admin Windows untuk berkomunikasi dengan penginstalan Pusat Admin Windows milik pelanggan. Keluar Tidak Ya
WindowsVirtualDesktop Azure Virtual Desktop (sebelumnya Windows Virtual Desktop). Keduanya Tidak Ya
JaringanVirtual Ruang alamat jaringan virtual (semua rentang alamat IP ditentukan untuk jaringan virtual), semua ruang alamat lokal yang terhubung, jaringan virtual yang menerapkan komunikasi dua arah, jaringan virtual yang terhubung ke gateway jaringan virtual,alamat IP virtual host, dan awalan alamat yang digunakan pada rute yang ditentukan pengguna. Tag ini mungkin juga berisi rute default. Keduanya Tidak Tidak

Catatan

  • Tag layanan Azure menunjukkan awalan alamat dari cloud tertentu yang digunakan. Misalnya, rentang IP yang mendasari yang sesuai dengan nilai tag Sql di cloud Azure Public akan berbeda dari rentang yang mendasarinya di cloud Azure Tiongkok.

  • Jika Anda menerapkan titik akhir layanan jaringan virtual untuk layanan, seperti Azure Storage atau Database Azure SQL, Azure menambahkan rute ke subnet jaringan virtual untuk layanan tersebut. Awalan alamat dalam rute adalah awalan alamat yang sama, atau rentang CIDR seperti yang ada di tag layanan yang sesuai.

Tag yang didukung dalam model penyebaran klasik

Model penyebaran klasik (sebelum Azure Resource Manager) mendukung subset kecil dari tag yang tercantum dalam tabel sebelumnya. Tag dalam model penyebaran klasik dieja secara berbeda, seperti yang ditunjukkan pada tabel berikut:

Tag Azure Resource Manager Tag yang sesuai dalam model penyebaran klasik
AzureLoadBalancer AZURE_LOADBALANCER
Internet INTERNET
JaringanVirtual VIRTUAL_NETWORK

Tag layanan lokal

Anda dapat memperoleh tag layanan saat ini dan informasi rentang untuk disertakan sebagai bagian dari konfigurasi firewall lokal Anda. Informasi ini adalah daftar point-in-time saat ini dari rentang IP yang sesuai dengan setiap tag layanan. Anda dapat memperoleh informasi secara terprogram atau melalui unduhan file JSON, seperti yang dijelaskan di bagian berikut ini.

Menggunakan API Penemuan Tag Layanan

Anda dapat secara terprogram mengambil daftar tag layanan terkini bersama-sama dengan detail rentang alamat IP:

Misalnya, untuk mengambil semua awalan untuk Tag Layanan Azure Storage, Anda dapat menggunakan cmdlet PowerShell berikut:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Catatan

  • Diperlukan waktu hingga 4 minggu agar data Tag Layanan baru menyebar di hasil API di semua wilayah Azure.
  • Anda harus diautentikasi dan memiliki peran dengan izin membaca untuk langganan Anda saat ini.
  • Data API mewakili tag yang dapat digunakan dengan aturan NSG, yang mewakili subset dari tag yang saat ini ada dalam file JSON yang dapat diunduh.

Temukan tag layanan menggunakan file JSON yang dapat diunduh

Anda dapat mengunduh file JSON yang berisi daftar tag layanan saat ini bersama dengan detail rentang alamat IP. Daftar ini diperbarui dan diterbitkan setiap minggu. Lokasi untuk setiap cloud adalah:

Rentang alamat IP dalam file-file ini berada dalam notasi CIDR.

Tag AzureCloud berikut tidak memiliki nama regional yang diformat menurut skema normal:

  • AzureCloud.centralfrance (FranceCentral)
  • AzureCloud.southfrance (FranceSouth)
  • AzureCloud.germanywc (GermanyWestCentral)
  • AzureCloud.germanyn (GermanyNorth)
  • AzureCloud.norwaye (NorwayEast)
  • AzureCloud.norwayw (NorwayWest)
  • AzureCloud.switzerlandn (SwitzerlandNorth)
  • AzureCloud.switzerlandw (SwitzerlandWest)
  • AzureCloud.usstagee (EastUSSTG)
  • AzureCloud.usstagec (SouthCentralUSSTG)

Catatan

Subset informasi ini telah diterbitkan dalam file XML untuk Azure Publik, Azure Tiongkok, dan Azure Jerman. Unduhan XML ini tidak digunakan lagi pada 30 Juni 2020 dan tidak akan lagi tersedia setelah tanggal tersebut. Anda harus bermigrasi menggunakan Discovery API atau unduhan file JSON seperti yang dijelaskan di bagian sebelumnya.

Tip

  • Anda dapat mendeteksi pembaruan dari satu publikasi ke publikasi berikutnya dengan mencatat peningkatan nilai changeNumber dalam file JSON. Setiap subbagian (misalnya, Storage.WestUS) memiliki changeNumber sendiri yang bertahap saat perubahan terjadi. Tingkat atas changeNumber file bertahap ketika salah satu subbagian diubah.

  • Misalnya tentang cara memilah informasi tag layanan (misalnya, mendapatkan semua rentang alamat untuk Penyimpanan di WestUS), lihat dokumentasi Layanan Tag Discovery API PowerShell.

  • Ketika alamat IP baru ditambahkan ke tag layanan, alamat tersebut tidak akan digunakan di Azure setidaknya selama satu minggu. Ini memberi Anda waktu untuk memperbarui sistem apa pun yang mungkin perlu melacak alamat IP yang terhubung dengan tag layanan.

Langkah berikutnya