Общедоступные IP-адреса
Общедоступные IP-адреса позволяют устанавливать входящее подключение от интернет-ресурсов к ресурсам Azure. Общедоступный IP-адрес предоставляет ресурсам Azure возможность взаимодействовать с Интернетом и общедоступными службами Azure. Адрес остается назначенным ресурсу, пока вы не отмените его назначение. Ресурс без назначенного общедоступного IP-адреса может передавать исходящие сообщения. Azure динамически назначает доступный IP-адрес, который не выделен для ресурса. Дополнительные сведения об исходящих подключениях в Azure см. в этой статье.
В диспетчере ресурсов Azure общедоступный IP-адрес — это ресурс, который имеет собственные свойства. Ресурс общедоступного IP-адреса можно связать с одним из таких ресурсов:
- сетевые интерфейсы виртуальных машин;
- Масштабируемые наборы виртуальных машин
- Общедоступные подсистемы балансировки нагрузки
- Шлюзы виртуальной сети (VPN/ER)
- шлюзы NAT;
- Шлюзы приложений
- Брандмауэр Azure
- узел-бастион.
- Route Server
Для Масштабируемых наборов виртуальных машин используйте префиксы общедоступных IP-адресов.
Краткий обзор
В следующей таблице показано свойство, с помощью которого общедоступный IP-адрес может быть связан с ресурсом, а также возможные методы выделения. Обратите внимание, что поддержка общедоступного IPv6 сейчас недоступна для всех типов ресурсов.
| Ресурс верхнего уровня | Связанный IP-адрес | Динамический IPv4 | Статический IPv4 | Динамический IPv6 | Статический IPv6 |
|---|---|---|---|---|---|
| Виртуальная машина | сетевому интерфейсу | Да | Да | Да | Да |
| Общедоступная подсистема балансировки нагрузки | Интерфейсная конфигурация | Да | Да | Да | Да |
| Шлюз виртуальной сети (VPN) | Конфигурация IP шлюза | Да (только не относящийся к зоне доступности) | Да | Нет | Нет |
| Шлюз виртуальной сети (ER) | Конфигурация IP шлюза | Да | Нет | Да (предварительная версия) | Нет |
| Шлюз NAT | Конфигурация IP шлюза | Нет | Да | Нет | нет |
| Шлюз приложений | Интерфейсная конфигурация | Да (только конфигурация V1) | Да (только конфигурация V2) | Нет | Нет |
| Брандмауэр Azure | Интерфейсная конфигурация | Нет | Да | Нет | Нет |
| Узел-бастион | Конфигурация общедоступных IP-адресов | Нет | Да | Нет | Нет |
| Route Server | Интерфейсная конфигурация | Нет | Да | Нет | Нет |
Версия IP-адреса
Общедоступные IP-адреса можно создать с адресами IPv4 или IPv6. Возможно, вы получили возможность создать развертывание двойного стека с адресом IPv4 и IPv6.
номер SKU
Общедоступные IP-адреса создаются с использованием одного из следующих номеров SKU:
| Общедоступный IP-адрес | Standard | Basic |
|---|---|---|
| Способ выделения | Статические | Для IPv4: динамический или статический, для IPv6: динамический. |
| Время ожидания в режиме простоя | Имеют настраиваемое время ожидания в случае простоя входящего потока 4–30 минут (значение по умолчанию — 4 минуты) и фиксированное время ожидания в случае простоя входящего потока 4 минуты. | Имеют настраиваемое время ожидания в случае простоя входящего потока 4–30 минут (значение по умолчанию — 4 минуты) и фиксированное время ожидания в случае простоя входящего потока 4 минуты. |
| Безопасность | Защищены моделью по умолчанию и закрыты для входящего трафика при использовании в качестве внешнего интерфейса. Необходимо разрешить трафик с помощью группы безопасности сети (NSG), например на сетевом интерфейсе виртуальной машины с подключенным общедоступным IP-адресом с SKU "Стандартный". | Открыты по умолчанию. Однако это не обязательно. |
| Зоны доступности | Поддерживается. IP-адреса уровня "Стандартный" могут быть незональными, зональными или избыточными между зонами. Многозонные IP-адреса можно создавать только в регионах, где активны 3 зоны доступности. IP-адреса, созданные до того, как зоны станут активными, не будут избыточными между зонами. | Не поддерживается. |
| Предпочтение маршрутизации | Поддерживается, чтобы обеспечить более детализированный контроль маршрутизации трафика между Azure и Интернетом. | Не поддерживается. |
| Глобальный уровень | Поддерживается посредством подсистем балансировки нагрузки в нескольких регионах. | Не поддерживается. |
Примечание
IPv4-адреса с SKU "Базовый" после создания можно обновить до SKU уровня "Стандартный". Дополнительные сведения об обновлении SKU см. в статье Обновление общедоступного IP-адреса.
Важно!
Необходимо использовать соответствующие номера SKU для Load Balancer и ресурсов с общедоступными IP-адресами. Невозможно объединить ресурсы номеров SKU уровня "Базовый" и "Стандартный". Изолированные виртуальные машины, виртуальные машины в ресурсе группы доступности и ресурсы масштабируемого набора виртуальных машин нельзя подключить к обоим SKU одновременно. В новых конструкциях рекомендуется использовать номер SKU уровня "Стандартный". Дополнительные сведения вы найдете в статье Azure Load Balancer Standard overview (Обзор Load Balancer уровня "Стандартный").
Назначение IP-адресов
Для общедоступных IP-адресов предусмотрены два типа назначений:
- Статический: ресурсу назначается IP-адрес во время его создания. При остановке ресурса этот IP-адрес удаляется.
- Динамический: IP-адрес не предоставляется ресурсу во время создания при выборе динамического типа. IP-адрес назначается при связывании общедоступного IP-адреса с ресурсом. IP-адрес освобождается, если ресурс остановлен или удален.
Статические общедоступные IP-адреса обычно используются в таких сценариях:
- Если необходимо обновить правила брандмауэра для обмена данными с ресурсами Azure.
- разрешение DNS-имени, в рамках которого изменение IP-адреса влечет за собой необходимость обновить записи A;
- ваши ресурсы Azure взаимодействуют с другими веб-приложениями или службами, которые используют модель безопасности, основанную на IP-адресах;
- вы используете TLS/SSL-сертификаты, связанные с IP-адресом.
Примечание
Даже если выбран статический способ выделения, нельзя указать фактический IP-адрес, назначенный ресурсу с общедоступным IP-адресом. Azure назначает IP-адрес из пула доступных IP-адресов в расположении Azure, в котором создан ресурс.
Общедоступные IP-адреса уровня "Базовый" обычно используются, если нет зависимости от IP-адреса. Например, ресурс общедоступного IP-адреса освобождается из ресурса с именем Resource A. Resource A получает другой IP-адрес при запуске, если ресурс общедоступного IP-адреса переназначается. Связанный IP-адрес выпускается, если метод выделения изменяется со статического на динамический. Если метод выделения изменяется со статического на динамический, связанный IP-адрес не меняется. Чтобы IP-адрес не изменялся, вы можете задать статический метод выделения.
| Ресурс | Статические | Динамический |
|---|---|---|
| Общедоступные IPv4-адреса уровня "Стандартный" | ✅ | x |
| Общедоступные IPv6-адреса уровня "Стандартный" | ✅ | x |
| Общедоступные IPv4-адреса уровня "Базовый" | ✅ | ✅ |
| Общедоступные IPv6-адреса уровня "Базовый" | x | ✅ |
Метка имени DNS
Выберите этот параметр, чтобы указать метку DNS для ресурса общедоступного IP-адреса. Эта функция работает как для IPv4-адресов (32-битные записи типа A), так и для IPv6-адресов (128-битные записи типа AAAA). Этот выбор создает сопоставление для domainnamelabel.location.cloudapp.azure.com с общедоступным IP-адресом в управляемой Azure DNS.
Например, если создать ресурс с общедоступным IP-адресом
- и задать значение contoso для domainnamelabel
- в расположении Azure Западная часть США,
полное доменное имя contoso.westus.cloudapp.azure.com разрешается в общедоступный IP-адрес ресурса.
Важно!
Каждая созданная метка имени домена должна быть уникальной в пределах своего расположения в Azure.
Если для служб, которые используют общедоступный IP-адрес, требуется личный домен, для записи DNS можно использовать Azure DNS или внешнего поставщика DNS.
Зона доступности
Общедоступные IP-адреса с номером SKU ценовой категории "Стандартный" можно создавать как незональные, зональные или избыточные между зонами в регионах, поддерживающих зоны доступности. IP-адрес, избыточный между зонами, создается во всех зонах региона и может выдержать любой сбой одной зоны. Зональный IP-адрес привязан к определенной зоне доступности, и его работоспособность зависит от работоспособности зоны. Незональные общедоступные IP-адреса размещаются в зоне с помощью Azure и не гарантируют избыточность.
В регионах без зон доступности все общедоступные IP-адреса создаются как незональные. Общедоступные IP-адреса, созданные в регионе, в котором позднее появились зоны доступности, остаются незональными.
Примечание
Все общедоступные IP-адреса с номером SKU ценовой категории "Базовый" создаются как незональные. IP-адрес, сменивший номер SKU "Базовый" на "Стандартный", остается незональным.
Другие возможности общедоступного IP-адреса
Существуют и другие атрибуты, которые можно использовать для общедоступного IP-адреса.
- Глобальный уровень позволяет использовать общедоступный IP-адрес с подсистемами балансировки нагрузки между регионами.
- Параметр предпочтения маршрутизации в Интернете позволяет уменьшить время, затрачиваемое трафиком на сеть Майкрософт, снижая затраты на передачу исходящих данных.
Примечание
Сейчас как уровень, так и возможность предпочтения маршрутизации доступны только для IPv4-адресов номера SKU категории "Стандартный". Они также не могут одновременно использоваться на одном и том же IP-адресе.
Примечание
Azure предоставляет IP-адрес исходящего трафика по умолчанию для виртуальных машин, которым не назначен общедоступный IP-адрес или которые находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure ценовой категории "Базовый". Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.
Дополнительные сведения см. в статье Исходящий доступ по умолчанию в Azure.
IP-адрес исходящего трафика по умолчанию отключается, когда виртуальной машине назначается общедоступный IP-адрес или когда виртуальная машина помещается в серверный пул подсистем балансировки нагрузки ценовой категории "Стандартный" с правилами для исходящего трафика или без них. Если подсети виртуальной машины назначен ресурс шлюза для преобразования сетевых адресов (NAT) в виртуальной сети Azure, IP-адрес исходящего трафика по умолчанию отключается.
На виртуальных машинах, созданных с помощью масштабируемых наборов виртуальных машин в режиме гибкой оркестрации, исходящий доступ по умолчанию не предоставляется.
Дополнительные сведения об исходящих подключениях в Azure см. в статье Преобразование исходных сетевых адресов (SNAT) для исходящих подключений.
Ограничения
Ограничения для IP-адресации перечислены в полном наборе ограничений для сетей в Azure. Ограничения указаны по региону и по подписке. Для увеличения ограничений по умолчанию в зависимости от потребностей вашего бизнеса обратитесь в службу поддержки.
Цены
За использование общедоступных IP-адресов взимается номинальная плата. Дополнительные сведения о ценах на IP-адреса в Azure см. на соответствующей странице.
Ограничения для IPv6
- Шлюзы VPN нельзя использовать в виртуальной сети с поддержкой IPv6 ни непосредственно, ни если она является одноранговой для UseRemoteGateway.
- Общедоступные IPv6-адреса блокируются на время тайм-аута простоя, которое составляет 4 минуты.
- Azure не поддерживает обмен данными по протоколу IPv6 для контейнеров.
- Использование виртуальных машин или масштабируемых наборов виртуальных машин только для IPv6 не поддерживается. Каждый сетевой адаптер должен содержать по крайней мере одну конфигурацию IPv4 (с двумя стеками).
- При добавлении IPv6 в уже имеющиеся развертывания IPv4 диапазоны IPv6 нельзя добавить в виртуальную сеть с уже имеющимися ссылками для навигации по ресурсам.
- Переадресация DNS для IPv6 поддерживается для общедоступной зоны DNS Azure. Обратные зоны DNS не поддерживаются.
- Предпочтение маршрутизации и балансировка нагрузки между регионами не поддерживаются.
Дополнительные сведения об IPv6 в Azure см. здесь.