Endereços IP de entrada e saída no Serviço de Aplicativo do Azure
O Serviço de Aplicativo do Azure é um serviço multilocatário, exceto para Ambientes de Serviço de Aplicativo. Aplicativos que não estão em um ambiente de Serviço de Aplicativo (não na Camada isolada) compartilham a infraestrutura de rede com outros aplicativos. Como resultado, os endereços IP de entrada e saída de um aplicativo podem ser diferentes e até alterar em determinadas situações.
Ambientes de Serviço de Aplicativo usam infraestruturas de rede dedicadas para que aplicativos executados em um ambiente de Serviço de Aplicativo obtenham endereços IP dedicados e estáticos para conexões de entrada e saída.
Como os endereços IP funcionam no Serviço de Aplicativo
Um aplicativo do Serviço de Aplicativo é executado em um Plano do Serviço de Aplicativo, e os planos do serviço de aplicativo são implantados em uma das unidades de implantação na infraestrutura do Azure (internamente chamada de webspace). Cada unidade de implantação recebe um conjunto de endereços IP virtuais, que inclui um endereço IP público de entrada e um conjunto de endereços IP de saída. Todos os planos do Serviço de Aplicativo na mesma unidade de implantação e as instâncias de aplicativo que são executadas neles compartilham o mesmo conjunto de endereços IP virtuais. Para um Ambiente do Serviço de Aplicativo (um plano do Serviço de Aplicativo na Camada isolada), o plano do Serviço de Aplicativo é a própria unidade de implantação e, como resultado, os endereços IP virtuais são dedicados a ele.
Como você não tem permissão para mover um plano do Serviço de Aplicativo entre as unidades de implantação, os endereços IP virtuais atribuídos ao aplicativo geralmente permanecem os mesmos, mas há exceções.
Quando ocorrem alterações do IP de entrada
Independentemente do número de instâncias dimensionadas, cada aplicativo tem um único endereço IP de entrada. O endereço IP de entrada pode alterar ao executar uma das ações a seguir:
- Excluir um aplicativo e recriá-lo em um grupo de recursos diferente (a unidade de implantação pode mudar).
- Excluir o último aplicativo em uma combinação de grupo de recursos e região e, em seguida, recriá-lo (a unidade de implantação pode mudar).
- Excluir uma associação TLS/SSL baseada em IP existente, como durante a renovação do certificado (consulte Renovar certificado).
Localizar o IP de entrada
Basta executar o seguinte comando em um terminal local:
nslookup <app-name>.azurewebsites.net
Obter um IP de entrada estático
Às vezes, é possível querer um endereço IP dedicado e estático para o aplicativo. Para obter um endereço IP de entrada estático, você precisa proteger um nome DNS personalizado com uma associação de certificado baseado em IP. Se realmente não for necessária a funcionalidade TLS para proteger o aplicativo, você poderá até carregar um certificado autoassinado para essa associação. Em uma associação TLS baseada em IP, o certificado é associado ao próprio endereço IP, portanto, o Serviço de Aplicativo fornece um endereço IP estático para que isso aconteça.
Quando ocorrem alterações dos IPs de saída
Independentemente do número de instâncias dimensionadas, cada aplicativo tem um número definido de endereços IP de saída a qualquer momento. Qualquer conexão de saída do aplicativo do Serviço de Aplicativo, como um banco de dados back-end, usa um dos endereços IP de saída como o endereço IP de origem. O endereço IP a ser usado é selecionado aleatoriamente em tempo de execução, de modo que o serviço de back-end deve abrir seu firewall para todos os endereços IP de saída para o aplicativo.
O conjunto de endereços IP de saída para o aplicativo é alterado quando você executa uma das seguintes ações:
- Excluir um aplicativo e recriá-lo em um grupo de recursos diferente (a unidade de implantação pode mudar).
- Excluir o último aplicativo em uma combinação de grupo de recursos e região e, em seguida, recriá-lo (a unidade de implantação pode mudar).
- Dimensione seu aplicativo entre as camadas inferiores (Basic, Standard e Premium), a camada PremiumV2, a camada PremiumV3, e as opções PMv3 dentro da camada PremiumV3 (Endereços IP podem ser adicionados ou subtraídos do conjunto).
Você pode encontrar o conjunto de todos os endereços IP de saída possíveis que o aplicativo pode usar, independentemente dos tipos de preço, procurando a propriedade possibleOutboundIpAddresses ou no campo Endereços IP de saída adicionais na folha Propriedades no portal do Azure. Consulte Localizar IPs de saída.
Observe que o conjunto de todos os endereços IP de saída possíveis pode aumentar ao longo do tempo se p Serviço de Aplicativo adicionar novos tipos de preço ou opções às implantações de Serviço de Aplicativo existentes. Por exemplo, se o Serviço de Aplicativo adicionar a camada PremiumV3 a uma implantação de Serviço de Aplicativo existente, então o conjunto de todos os endereços IP de saída possíveis aumentará. Semelhantemente, se o Serviço de Aplicativo adicionar novas opções Pmv3 a uma implantação que já dá suporte à camada PremiumV3, o conjunto de todos os endereços IP de saída possíveis também aumentará. Isto não tem efeito imediato, pois os endereços IP de saída para aplicativos em execução não são alterados quando um novo tipo de preço ou opção é adicionado a uma implantação de Serviço de Aplicativo. Entretanto, se os aplicativos mudarem para um novo tipo de preço ou opção que não estava disponível anteriormente, então novos endereços de saída serão usados e os clientes precisarão de atualizar as regras de firewall downstream e as restrições de endereço IP.
Localizar IPs de saída
Para localizar os endereços IP de saída atualmente usados pelo aplicativo no Portal do Azure, clique em Propriedades na navegação esquerda do aplicativo. Eles são listados no campo Endereços IP de saída.
É possível localizar as mesmas informações, executando o comando a seguir no Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses
Para localizar todos os endereços IP de saída possíveis para o aplicativo, independentemente dos tipos de preço, clique em Propriedades na navegação esquerda do aplicativo. Eles são listados no campo Endereços IP de saída adicionais.
É possível localizar as mesmas informações, executando o comando a seguir no Cloud Shell.
az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv
(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses
Obter um endereço IP de saída estático
Você pode controlar o endereço IP do tráfego de saída no aplicativo usando a integração de VNet regional com o gateway NAT de rede virtual a fim de direcionar o tráfego por meio de um endereço IP público estático. A integração de VNet regional está disponível nos planos Básico, Standard, Premium, PremiumV2 e PremiumV3 do Serviço de Aplicativo. Para saber mais sobre essa configuração, confira Integração do gateway NAT.
Próximas etapas
Saiba como restringir o tráfego de entrada por endereços IP de origem.