Теги службы виртуальной сети

Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности.

Теги службы можно использовать, чтобы определить элементы управления доступом к сети для групп безопасности сети, Брандмауэра Azure и определяемых пользователем маршрутов. Теги службы можно использовать вместо определенных IP-адресов при создании правил безопасности и маршрутов. Указав имя тега службы (например, ApiManagement) в соответствующем поле источника или назначения для правила безопасности, можно разрешить или запретить трафик для соответствующей службы. Указав имя тега службы в префиксе адреса маршрута, можно маршрутизировать трафик, предназначенный для любого из префиксов, инкапсулированных тегом службы, в нужный тип следующего прыжка.

Примечание.

По состоянию на март 2022 г. возможность использования тегов службы вместо явных префиксов адресов в определяемых пользователем маршрутах предоставляется не в предварительной, а в общедоступной версии.

Теги службы можно использовать для обеспечения изоляции сети и защиты ресурсов Azure от общего доступа через Интернет при доступе к службам Azure, имеющим общедоступные конечные точки. Создайте правила группы безопасности сети для входящих и исходящих подключений, чтобы запретить передачу трафика Интернета и разрешить входящий и исходящий трафик AzureCloud или других доступных тегов служб Azure.

Network isolation of Azure services using service tags

Доступные теги службы

В следующей таблице перечислены все теги службы, доступные для использования в правилах группы безопасности сети.

Столбцы указывают на следующее:

  • Подходит ли тег для правил, охватывающих входящий или исходящий трафик.
  • Поддерживает ли тег региональные области.
  • Можно ли использовать в правилах Брандмауэра Azure только в качестве правила назначения для входящего или исходящего трафика.

По умолчанию теги службы отображают диапазоны для всего облака. Некоторые теги службы также обеспечивают более детализированный контроль за счет запрета соответствующих диапазонов IP-адресов для указанного региона. Например, тег службы Storage представляет службу хранилища Azure для всего облака, тогда как тег Storage.WestUS ограничивает диапазон только диапазонами IP-адресов хранилища из региона WestUS. В приведенной ниже таблице показано, поддерживает ли каждый тег службы такую региональную область, а направление, указанное для каждого тега, является рекомендацией. Например, тег AzureCloud может использоваться для разрешения входящего трафика. В большинстве сценариев мы не рекомендуем разрешать трафик со всех IP-адресов Azure, так как IP-адреса, используемые другими клиентами Azure, включены в тег службы.

Тег Характер использования Может ли использовать входящий или исходящий трафик? Может быть региональным? Можно ли использовать с Брандмауэром Azure?
ActionGroup Группа действий. Входящий трафик No Да
ApiManagement Трафик управления для развертываний, выделенных для управления API Azure.

Примечание. Этот тег представляет конечную точку службы "Управление API Azure" для уровня управления для каждого региона. Тег позволяет клиентам выполнять операции управления с API-интерфейсами, операциями, политиками, именованными значениями, настроенными в службе "Управление API".
Входящий трафик Да Да
ApplicationInsightsAvailability Проверка доступности Application Insights. Входящий трафик No Да
AppConfiguration Конфигурация приложений. Исходящие No Да
AppService Служба приложений Azure; Этот тег рекомендуется для правил безопасности исходящего трафика для веб-приложений и приложений-функций.

Примечание. Этот тег не включает IP-адреса, назначенные при использовании SSL на основе IP-адресов (назначаемый приложением адрес).
Исходящий Да Да
AppServiceManagement Трафик управления для развертываний, выделенных для Среды службы приложений. И то, и другое No Да
AutonomousDevelopmentPlatform Автономная платформа разработки И то, и другое Да Да
AzureActiveDirectory Идентификатор Microsoft Entra. Исходящие No Да
AzureActiveDirectoryDomainServices Трафик управления для развертываний, предназначенных для доменных служб Microsoft Entra. И то, и другое No Да
AzureAdvancedThreatProtection Расширенная защита от угроз Azure Исходящие No Да
AzureArcInfrastructure Серверы с поддержкой Azure Arc, Kubernetes с поддержкой Azure Arc и трафик гостевой конфигурации.

Примечание. Этот тег зависит от тегов AzureActiveDirectory, AzureTrafficManager и AzureResourceManager.
Исходящие No Да
AzureAttestation Аттестация Azure выполняет перечисленные ниже функции. Исходящие No Да
AzureBackup Azure Backup.

Примечание. Этот тег зависит от тегов Storage и AzureActiveDirectory.
Исходящие No Да
AzureBotService Служба Azure Bot. И то, и другое No Да
AzureCloud Все общедоступные IP-адреса центра обработки данных. Включает IPv6. И то, и другое Да Да
AzureCognitiveSearch Поиск по искусственному интеллекту Azure.

Этот тег или IP-адреса, охватываемые этим тегом, можно использовать для предоставления индексаторам безопасного доступа к источникам данных. Дополнительные сведения об индексаторах см. в документации по подключению индексатора.

Примечание. IP-адрес службы поиска не включен в список диапазонов IP-адресов для этого тега службы, и его также необходимо добавить в брандмауэр IP-адресов источников данных.
Входящий трафик No Да
AzureConnectors Этот тег представляет IP-адреса для управляемых соединителей, которые выполняют обратные вызовы входящего веб-перехватчика в службу Azure Logic Apps и исходящие вызовы соответствующих служб, таких как служба хранилища Azure или Центры событий Azure. И то, и другое Да Да
AzureContainerAppsService Служба приложений контейнеров Azure И то, и другое Да Нет
AzureContainerRegistry Реестр контейнеров Azure. Исходящий Да Да
AzureCosmosDB Azure Cosmos DB. Исходящий Да Да
AzureDatabricks Azure Databricks. И то, и другое No Да
AzureDataExplorerManagement Управление обозревателем Azure Data Explorer. Входящий трафик No Да
AzureDataLake Azure Data Lake Storage 1-го поколения. Исходящие No Да
AzureDeviceUpdate Обновление устройств для Центра Интернета вещей. И то, и другое No Да
AzureDevSpaces Azure Dev Spaces. Исходящие No Да
AzureDevOps Azure DevOps. Входящий трафик Да Да
AzureDigitalTwins Azure Digital Twins.

Примечание. Этот тег или IP-адреса, охватываемые этим тегом, можно использовать для ограничения доступа к конечным точкам, настроенным для маршрутов событий.
Входящий трафик No Да
AzureEventGrid Сетка событий Azure. И то, и другое No Да
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Тег службы frontend содержит IP-адреса, используемые клиентами для доступа к Front Door. Вы можете применить тег службы AzureFrontDoor.Frontend , если вы хотите контролировать исходящий трафик, который может подключаться к службам за Azure Front Door. Тег серверной службы содержит IP-адреса, которые Azure Front Door использует для доступа к источникам. Этот тег службы можно применить при настройке безопасности для источников. FirstParty — это специальный тег, зарезервированный для выбранной группы службы Майкрософт размещенной в Azure Front Door. И то, и другое Да Да
AzureHealthcareAPIs IP-адреса, охватываемые этим тегом, можно использовать для ограничения доступа к службам данных о работоспособности Azure. И то, и другое No Да
AzureInformationProtection Azure Information Protection.

Примечание. Этот тег зависит от тегов AzureActiveDirectory, AzureFrontDoor.Frontend и AzureFrontDoor.FirstParty.
Исходящие No Да
AzureIoTHub Центр Интернета вещей Azure. Исходящий Да Да
AzureKeyVault Azure Key Vault.

Примечание. Этот тег зависит от тега AzureActiveDirectory.
Исходящий Да Да
AzureLoadBalancer. Подсистема балансировки нагрузки инфраструктуры Azure. Этот тег преобразуется в виртуальный IP-адрес узла (168.63.129.16), из которого поступают пробы работоспособности Azure. Сюда входит только пробный а не реальный трафик к вашему серверному ресурсу. Если Azure Load Balancer не используется, это правило можно переопределить. И то, и другое No No
AzureLoadTestingInstanceManagement Этот тег службы используется для входящего подключения из службы "Нагрузочное тестирование Azure" к экземплярам создания нагрузки, внедренным в виртуальную сеть в частном сценарии тестовой нагрузки.

Примечание. Этот тег предназначен для использования в Брандмауэре Azure, NSG, UDR и всех остальных шлюзах для входящего подключения.
Входящий трафик No Да
AzureMachineLearning Машинное обучение Azure. И то, и другое No Да
AzureMachine Обучение Inference Этот тег службы используется для ограничения входящего трафика общедоступной сети в сценариях вывода, управляемых частной сетью. Входящий трафик No Да
AzureManagedGrafana Конечная точка управляемого экземпляра Grafana Azure. Исходящие No Да
AzureMonitor Log Analytics, Application Insights, AzMon и настраиваемые метрики (конечные точки GiG).

Примечание. Для Log Analytics также требуется тег Storage. Если используются агенты Linux, также требуется тег GuestAndHybridManagement.
Исходящие No Да
AzureOpenDatasets Открытые наборы данных Azure.

Примечание. Этот тег зависит от тегов AzureFrontDoor.Frontend и Storage.
Исходящие No Да
AzurePlatformDNS Служба DNS базовой инфраструктуры (по умолчанию).

Этот тег можно использовать для отключения DNS по умолчанию. Это тег следует использовать с осторожностью. Ознакомьтесь с рекомендациями по использованию платформы Azure. Также рекомендуется протестировать этот тег, прежде чем использовать его.
Исходящие No No
AzurePlatformIMDS Служба метаданных экземпляров Azure (IMDS), которая является базовой службой инфраструктуры.

Этот тег можно использовать для отключения IMDS по умолчанию. Это тег следует использовать с осторожностью. Ознакомьтесь с рекомендациями по использованию платформы Azure. Также рекомендуется протестировать этот тег, прежде чем использовать его.
Исходящие No No
AzurePlatformLKM Лицензирование Windows или служба управления ключами.

С помощью этого тега можно отключить значения по умолчанию для лицензирования. Это тег следует использовать с осторожностью. Ознакомьтесь с рекомендациями по использованию платформы Azure. Также рекомендуется протестировать этот тег, прежде чем использовать его.
Исходящие No No
AzureResourceManager Azure Resource Manager. Исходящие No Да
AzureSentinel Microsoft Sentinel. Входящий трафик No Да
AzureSignalR Служба Azure SignalR. Исходящие No Да
AzureSiteRecovery Azure Site Recovery.

Примечание. Этот тег зависит от тегов AzureActiveDirectory, AzureKeyVault, EventHub, GuestAndHybridManagement и Storage.
Исходящие No Да
AzureSphere Этот тег или IP-адреса, охватываемые этим тегом, можно использовать для ограничения доступа к службам безопасности Azure Sphere. И то, и другое No Да
AzureSpringCloud Разрешить трафик приложениям, размещенным в Azure Spring Apps. Исходящие No Да
AzureStack Службы моста Azure Stack.
Этот тег представляет конечную точку службы Azure Stack Bridge в каждом регионе.
Исходящие No Да
AzureTrafficManager IP-адреса пробы Диспетчера трафика Azure.

Дополнительные сведения об IP-адресах пробы Диспетчера трафика см. в статье Диспетчер трафика Azure: вопросы и ответы.
Входящий трафик No Да
AzureUpdateDelivery Для доступа к обновлениям Windows.

Примечание. Этот тег предоставляет доступ к службам метаданных Центра обновления Windows. Чтобы успешно скачать обновления, необходимо также включить тег службы AzureFrontDoor.FirstParty и настроить правила безопасности исходящего трафика с помощью протокола и порта, определенного следующим образом:
  • AzureUpdateDelivery: TCP, порт 443
  • AzureFrontDoor.FirstParty: TCP, порт 80
Исходящие No Да
AzureWebPubSubSub AzureWebPubSubSub И то, и другое Да Да
BatchNodeManagement Трафик управления для развертываний, выделенных для пакетной службы Azure. И то, и другое Да Да
ChaosStudio Azure Chaos Studio.

Примечание. Если вы включили интеграцию приложений Аналитика с агентом Chaos, также требуется тег AzureMonitor.
И то, и другое No Да
CognitiveServicesFrontend Диапазоны адресов для трафика внешних порталов служб ИИ Azure. И то, и другое No Да
CognitiveServicesManagement Диапазоны адресов для трафика для служб ИИ Azure. И то, и другое No Да
DataFactory Azure Data Factory И то, и другое Да Да
DataFactoryManagement Трафик управления для Фабрики данных Azure. Исходящие No Да
Dynamics365ForMarketingEmail Диапазоны адресов для службы маркетинговой электронной почты Dynamics 365. И то, и другое Да Да
Dynamics365BusinessCentral Этот тег или IP-адреса, охваченные этим тегом, можно использовать для ограничения доступа к службам Dynamics 365 Business Central. И то, и другое No Да
EOPExternalPublishedIPs Этот тег представляет IP-адреса, используемые для Powershell Центра безопасности и соответствия требованиям. Дополнительные сведения см. в статье Подключение к PowerShell Центра безопасности и соответствия требованиям с помощью модуля EXO V2. И то, и другое No Да
EventHub . Исходящий Да Да
GatewayManager Трафик управления для развертываний, выделенных для VPN-шлюза Azure и шлюза приложений. Входящий трафик No No
GuestAndHybridManagement Служба автоматизации Azure и гостевая конфигурация. Исходящие No Да
HDInsight Azure HDInsight. Входящий трафик Да Да
Интернет Пространство IP-адресов, которые находятся за пределами виртуальной сети и к которым можно получить доступ из общедоступного сегмента Интернета.

К этим адресам относится общедоступное пространство IP-адресов, принадлежащее Azure.
И то, и другое No No
KustoAnalytics Kusto Analytics. И то, и другое No No
LogicApps Logic Apps. И то, и другое No Да
LogicAppsManagement Трафик управления для Logic Apps. Входящий трафик No Да
Marketplace Представляет весь набор служб Azure "Коммерческий marketplace Experiences". И то, и другое No Да
M365ManagementActivityApi API действий управления Office 365 предоставляет сведения о различных пользователях, администраторах, системах и событиях политики и событиях из журналов действий Office 365 и Microsoft Entra. Клиенты и партнеры могут использовать эти сведения для создания новых или улучшения существующих корпоративных решений для отслеживания операций, безопасности и соответствия требованиям.

Примечание. Этот тег зависит от тега AzureActiveDirectory.
Исходящий Да Да
M365ManagementActivityApiWebhook Уведомления отправляются в веб-перехватчик, настроенный для подписки, по мере появления нового содержимого. Входящий трафик Да Да
MicrosoftAzureFluidRelay Этот тег представляет IP-адреса, используемые для сервера Microsoft Azure Fluid Relay.
Примечание. Этот тег имеет зависимость от тега AzureFrontDoor.Frontend .
Исходящие No Да
MicrosoftCloudAppSecurity Microsoft Defender for Cloud Apps. Исходящие No Да
MicrosoftContainerRegistry Реестр контейнеров для образов контейнеров Майкрософт.

Примечание. Этот тег зависит от тега AzureFrontDoor.FirstParty.
Исходящий Да Да
MicrosoftDefenderForEndpoint Microsoft Defender для конечной точки .
Этот тег службы доступен в общедоступной предварительной версии.
Дополнительные сведения см. в разделе "Подключение устройств" с помощью упрощенного подключения для Microsoft Defender для конечной точки
И то, и другое No Да
MicrosoftPurviewPolicyDistribution Этот тег следует использовать в правилах безопасности исходящего трафика для источника данных (например, Azure SQL MI), настроенного с частной конечной точкой для получения политик из Microsoft Purview. Исходящие No No
PowerBI Серверные службы и конечные точки API платформы Power BI.

Примечание. Не включает интерфейсные конечные точки в данный момент (например, app.powerbi.com).

Доступ к внешним конечным точкам должен предоставляться с помощью тега AzureCloud (исходящий трафик, HTTPS, может быть региональным).
И то, и другое No Да
PowerPlatformInfra Этот тег представляет IP-адреса, используемые инфраструктурой для размещения служб Power Platform. И то, и другое Да Да
PowerPlatformPlex Этот тег представляет IP-адреса, используемые инфраструктурой, для размещения выполнения расширения Power Platform от имени клиента. Входящий трафик Да Да
PowerQueryOnline Power Query Online. И то, и другое No Да
Подводное Соединители данных для продуктов безопасности Майкрософт (Sentinel, Defender и т. д.). Входящий трафик No No
SerialConsole Ограничение доступа к загрузочным учетным записям хранения диагностика только из тега службы последовательной консоли Входящий трафик No Да
Служебная шина Трафик служебной шины Azure, использующий уровень служб "Премиум". Исходящий Да Да
Service Fabric Azure Service Fabric.

Примечание. Этот тег представляет конечную точку службы Service Fabric для уровня управления для каждого региона. Это позволяет клиентам выполнять операции управления для своих кластеров Service Fabric из конечной точки виртуальной сети. (Например, https:// westus.servicefabric.azure.com).
И то, и другое No Да
SQL "База данных Azure SQL", "База данных Azure для MySQL", "База данных Azure для PostgreSQL", "База данных Azure для MariaDB" и Azure Synapse Analytics.

Примечание. Этот тег представляет службу, но не определенные экземпляры службы. Например, тег представляет службу "База данных SQL Microsoft Azure", но не определенную базу данных или сервер SQL Azure. Этот тег не применяется к управляемому экземпляру SQL.
Исходящий Да Да
SqlManagement Трафик управления для развертываний, выделенных для SQL. И то, и другое No Да
Память служба хранилища Azure;

Примечание. Этот тег представляет службу, но не определенные экземпляры службы. Например, тег представляет службу хранилища Azure, но не определенную учетную запись хранения Azure.
Исходящий Да Да
StorageSyncService Служба синхронизации хранилища. И то, и другое No Да
служба хранилища Мover служба хранилища Mover. Исходящий Да Да
WindowsAdminCenter Разрешает серверной службе Windows Admin Center взаимодействовать с установкой Windows Admin Center пользователей. Исходящие No Да
WindowsVirtualDesktop Виртуальный рабочий стол Azure (ранее — виртуальный рабочий стол Windows). И то, и другое No Да
VideoIndexer Службах мультимедиа Azure.
Используется для предоставления клиентам возможности открытия NSG в службе индексатора видео и получения обратных вызовов в службу.
И то, и другое No Да
VirtualNetwork; Адресное пространство виртуальной сети (все диапазоны IP-адресов, определенные для виртуальной сети), все адресное пространство подключенных локальных сетей, пиринговые виртуальные сети, виртуальные сети, подключенные к шлюзу виртуальной сети, виртуальный IP-адрес узла и префиксы адресов, используемые в определенных пользователем маршрутах. Этот тег также может содержать маршруты по умолчанию. И то, и другое No Нет

Примечание.

  • При использовании тегов службы с Брандмауэром Azure можно создавать только правила назначения для входящего и исходящего трафика. Правила источника не поддерживаются. Дополнительные сведения см. в документе Теги службы Брандмауэра Azure.

  • Теги службы для служб Azure обозначают используемые префиксы адресов из определенного облака. Например, базовые диапазоны IP-адресов, соответствующие значению тега Sql в общедоступном облаке Azure, будут отличаться от базовых диапазонов в Microsoft Azure, управляемом облаком 21Vianet.

  • Если вы реализуете конечную точку службы для виртуальной сети для службы, такой как служба хранилища Azure или "База данных SQL Azure", Azure добавляет для нее маршрут в подсеть виртуальной сети. Префиксы адресов для маршрута — это те же префиксы или диапазоны CIDR, которые заданы в теге соответствующей службы.

Поддерживаемые теги в классической модели развертывания

В классической модели развертывания (до Azure Resource Manager) поддерживается небольшое подмножество тегов, перечисленных в предыдущей таблице. Теги в классической модели развертывания написаны по-другому, как показано в таблице ниже.

Тег Resource Manager Соответствующий тег в классической модели развертывания
AzureLoadBalancer. AZURE_LOADBALANCER
Интернет ИНТЕРНЕТ
VirtualNetwork; VIRTUAL_NETWORK

Теги, неподдерживаемые для определяемых пользователем маршрутов (UDR)

Ниже приведен список тегов, которые в настоящее время не поддерживаются для использования с пользовательскими маршрутами (UDR).

  • AzurePlatformDNS

  • AzurePlatformIMDS

  • AzurePlatformLKM

  • Виртуальная сеть

  • AzureLoadBalancer

  • Интернет

Теги служб в локальной среде

Вы можете получить текущий тег службы и сведения о диапазоне, которые будут включены в конфигурации локального брандмауэра. Эта информация является актуальным списком точек во времени для диапазонов IP-адресов, соответствующих каждому тегу службы. Эти сведения можно получить программно или скачав файл JSON, как описано в следующих разделах.

Использование API обнаружения тегов служб

Актуальный список тегов служб вместе со сведениями о диапазоне IP-адресов можно получить программным способом:

Например, чтобы получить все префиксы для тега службы хранилища, можно использовать следующие командлеты PowerShell:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Примечание.

  • Данные API, представляющие эти теги, можно использовать с правилами группы безопасности сети в вашем регионе. Используйте данные API в качестве источника истины для доступных тегов служб, так как они могут отличаться от данных в скачиваемом файле JSON.
  • На распространение новых данных тегов служб в результатах API по всем регионам требуется до 4 недель. Из-за этого результаты данных API могут быть не синхронизированы со скачиваемым JSON-файлом, так как данные API представляют подмножество тегов в скачиваемом JSON-файле.
  • Нужно пройти проверку подлинности и иметь роль с разрешениями на чтение для текущей подписки.

Обнаружение тегов службы с помощью скачиваемых файлов JSON

Вы можете скачать файлы JSON, которые содержат актуальный список тегов служб вместе со сведениями о диапазоне IP-адресов. Эти списки обновляются и публикуются еженедельно. Расположения для каждого облака:

Диапазоны IP-адресов в этих файлах даны в нотации CIDR.

В следующих тегах AzureCloud имена регионов имеют формат, отличающийся от обычной схемы.

  • AzureCloud.centralfrance (FranceCentral)

  • AzureCloud.southfrance (FranceSouth)

  • AzureCloud.germanywc (GermanyWestCentral)

  • AzureCloud.germanyn (GermanyNorth)

  • AzureCloud.norwaye (NorwayEast)

  • AzureCloud.norwayw (NorwayWest)

  • AzureCloud.switzerlandn (SwitzerlandNorth)

  • AzureCloud.switzerlandw (SwitzerlandWest)

  • AzureCloud.usstagee (EastUSSTG)

  • AzureCloud.usstagec (SouthCentralUSSTG)

  • AzureCloud.бразилия (БразилияSoutheast)

Совет

  • Наличие обновления можно отслеживать по увеличению значения changeNumber в файле JSON. Для каждого подраздела (например, Storage.WestUS) имеется собственное значение changeNumber, которое увеличивается по мере появления изменений. Значение changeNumber в файле увеличивается при изменении любого из подразделов.

  • Примеры синтаксического анализа сведений о теге службы (например, получение всех диапазонов адресов для хранилища в WestUS) см. в документации по API обнаружения тегов служб PowerShell.

  • Добавленные в теги службы новые IP-адреса не будут использоваться в Azure по крайней мере в течение одной недели. Это дает время на обновление любых систем, которым может потребоваться отслеживание IP-адресов, связанных с тегами службы.

Следующие шаги