Теги службы виртуальной сети

Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности.

Теги службы можно использовать, чтобы определить элементы управления доступом к сети для групп безопасности сети или Брандмауэра Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, ApiManagement) в соответствующем поле источника или назначения для правила, можно разрешить или запретить трафик для соответствующей службы.

Примечание

По состоянию на март 2021 г. теги службы также можно использовать вместо явных диапазонов IP-адресов в определяемых пользователем маршрутах. Эта функция в настоящее время доступна в общедоступной предварительной версии. она будет переведена на бесплатные 2022.

Теги службы можно использовать для обеспечения изоляции сети и защиты ресурсов Azure от общего доступа через Интернет при доступе к службам Azure, имеющим общедоступные конечные точки. Создайте правила группы безопасности сети для входящих и исходящих подключений, чтобы запретить передачу трафика Интернета и разрешить входящий и исходящий трафик AzureCloud или других доступных тегов служб Azure.

Сетевая изоляция служб Azure с помощью тегов служб

Доступные теги службы

В следующей таблице перечислены все теги службы, доступные для использования в правилах группы безопасности сети.

Столбцы указывают на следующее:

  • Подходит ли тег для правил, охватывающих входящий или исходящий трафик.
  • Поддерживает ли тег региональные области.
  • Можно ли использовать тег в правилах Брандмауэра Azure.

По умолчанию теги службы отображают диапазоны для всего облака. Некоторые теги службы также обеспечивают более детализированный контроль за счет запрета соответствующих диапазонов IP-адресов для указанного региона. Например, тег службы Storage представляет службу хранилища Azure для всего облака, тогда как тег Storage.WestUS ограничивает диапазон только диапазонами IP-адресов хранилища из региона WestUS. В следующей таблице показано, поддерживает ли каждый тег службы такую региональную область. Обратите внимание, что направление, указанное для каждого тега, является рекомендуемым. Например, тег AzureCloud может использоваться для разрешения входящего трафика. Однако мы не рекомендуем использовать его в большинстве сценариев, так как это разрешает трафик со всех IP-адресов Azure, включая те, которые используются другими клиентами Azure.

Тег Назначение Может ли использовать входящий или исходящий трафик? Может быть региональным? Можно ли использовать с Брандмауэром Azure?
ActionGroup Группа действий. Входящий трафик Нет Нет
ApiManagement Трафик управления для развертываний, выделенных для управления API Azure.

Примечание. Этот тег представляет конечную точку службы управления API Azure для плоскости управления на регион. Это позволяет клиентам выполнять операции управления с API-интерфейсами, операциями, политиками, именованными значениями, настроенными в службе управления API.
Входящий трафик Да Да
ApplicationInsightsAvailability Проверка доступности Application Insights. Входящий трафик Нет Нет
AppConfiguration Конфигурация приложений. Исходящие Нет Нет
AppService служба приложений Azure; Этот тег рекомендуется использовать в правилах безопасности исходящего трафика в веб-приложения и приложения-функции. Исходящие Да Да
AppServiceManagement Трафик управления для развертываний, выделенных для Среды службы приложений. both Нет Да
AzureActiveDirectory Azure Active Directory; Исходящие Нет Да
AzureActiveDirectoryDomainServices Трафик управления для развертываний, выделенных для доменных служб Azure Active Directory. both Нет Да
AzureAdvancedThreatProtection Расширенная защита от угроз Azure Исходящие Нет Нет
AzureArcInfrastructure Серверы с поддержкой Arc Azure, Kubernetes и трафик конфигурации гостя с поддержкой ARC.

Примечание. Этот тег зависит от тегов AzureActiveDirectory,AzureTrafficManager и AzureResourceManager . На данный момент этот тег нельзя настроить с помощью портала Azure.
Исходящие Нет Да
AzureAttestation Аттестация Azure выполняет перечисленные ниже функции.

Примечание. Этот тег в настоящее время не настраивается с помощью портал Azure.
Исходящие Нет Да
AzureBackup Azure Backup.

примечание. этот тег зависит от тегов служба хранилища и AzureActiveDirectory .
Исходящие Нет Да
AzureBotService Служба Azure Bot. Исходящие Нет Нет
AzureCloud Все общедоступные IP-адреса центра обработки данных. Исходящие Да Да
AzureCognitiveSearch Когнитивный поиск Azure.

Этот тег или IP-адреса, охватываемые этим тегом, можно использовать для предоставления индексаторам безопасного доступа к источникам данных. Дополнительные сведения см. в документации по подключению к индексатору.

Примечание. IP-адрес службы поиска не включен в список диапазонов IP-адресов для этого тега службы, и его также необходимо добавить в брандмауэр IP-адресов источников данных.
Входящий трафик Нет Нет
AzureConnectors Этот тег представляет IP-адреса для управляемых соединителей, которые выполняют обратные вызовы входящего веб-перехватчика в службу Azure Logic Apps и исходящие вызовы соответствующих служб, таких как служба хранилища Azure или Центры событий Azure. Входящий и исходящий трафик Да Да
AzureContainerRegistry Реестр контейнеров Azure. Исходящие Да Да
AzureCosmosDB Azure Cosmos DB. Исходящие Да Да
AzureDatabricks Azure Databricks. both Нет Нет
AzureDataExplorerManagement Управление обозревателем Azure Data Explorer. Входящий трафик Нет Нет
AzureDataLake Azure Data Lake Storage 1-го поколения. Исходящие Нет Да
азуредевицеупдате Обновление устройства для центра Интернета вещей. both Нет Да
AzureDevSpaces Azure Dev Spaces. Исходящие Нет Нет
AzureDevOps Azure Dev Ops.

Примечание. Этот тег в настоящее время не настраивается с помощью портал Azure.
Входящий трафик Нет Да
AzureDigitalTwins Azure Digital Twins.

Примечание. Этот тег или IP-адреса, охваченные этим тегом, можно использовать для ограничения доступа к конечным точкам, настроенным для маршрутов событий. На данный момент этот тег нельзя настроить с помощью портала Azure.
Входящий трафик Нет Да
AzureEventGrid Сетка событий Azure. both Нет Нет
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Azure Front Door. both Нет Нет
AzureInformationProtection Azure Information Protection.

Примечание. Этот тег зависит от тегов AzureActiveDirectory, азурефронтдур. интерфейс и азурефронтдур. фирстпарти .
Исходящие Нет Нет
AzureIoTHub Центр Интернета вещей Azure. Исходящие Да Нет
AzureKeyVault Azure Key Vault.

Примечание. Этот тег зависит от тега AzureActiveDirectory .
Исходящие Да Да
AzureLoadBalancer. Подсистема балансировки нагрузки инфраструктуры Azure. Этот тег преобразуется в виртуальный IP-адрес узла (168.63.129.16), из которого поступают пробы работоспособности Azure. Сюда входит только пробный а не реальный трафик к вашему серверному ресурсу. Если Azure Load Balancer не используется, это правило можно переопределить. both Нет Нет
AzureMachineLearning Машинное обучение Azure. both Нет Да
AzureMonitor Log Analytics, Application Insights, AzMon и настраиваемые метрики (конечные точки GiG).

примечание. для Log Analytics также требуется тег служба хранилища . Если используются агенты Linux, также требуется тег GuestAndHybridManagement.
Исходящие Нет Да
AzureOpenDatasets Открытые наборы данных Azure.

примечание. этот тег зависит от тега азурефронтдур. интерфейс и служба хранилища .
Исходящие Нет Нет
AzurePlatformDNS Служба DNS базовой инфраструктуры (по умолчанию).

Этот тег можно использовать для отключения DNS по умолчанию. Это тег следует использовать с осторожностью. Ознакомьтесь с рекомендациями по использованию платформы Azure. Также рекомендуется протестировать этот тег, прежде чем использовать его.
Исходящие Нет Нет
AzurePlatformIMDS Служба метаданных экземпляров Azure (IMDS), которая является базовой службой инфраструктуры.

Этот тег можно использовать для отключения IMDS по умолчанию. Это тег следует использовать с осторожностью. Ознакомьтесь с рекомендациями по использованию платформы Azure. Также рекомендуется протестировать этот тег, прежде чем использовать его.
Исходящие Нет Нет
AzurePlatformLKM Лицензирование Windows или служба управления ключами.

С помощью этого тега можно отключить значения по умолчанию для лицензирования. Это тег следует использовать с осторожностью. Ознакомьтесь с рекомендациями по использованию платформы Azure. Также рекомендуется протестировать этот тег, прежде чем использовать его.
Исходящие Нет Нет
AzureResourceManager Azure Resource Manager. Исходящие Нет Нет
AzureSignalR Служба Azure SignalR. Исходящие Нет Нет
AzureSiteRecovery Azure Site Recovery.

примечание. этот тег зависит от тегов AzureActiveDirectory, AzureKeyVault, EventHub,гуестандхибридманажемент и служба хранилища .
Исходящие Нет Нет
азуресфере Этот тег или IP-адреса, охваченные этим тегом, можно использовать для ограничения доступа к Azure Sphere службам безопасности.
Примечание. Этот тег в настоящее время не настраивается с помощью портал Azure.
both Нет Да
AzureStack Azure Stack службы моста.
Этот тег представляет Azure Stack конечной точки службы моста для каждого региона.
Примечание. На данный момент этот тег нельзя настроить с помощью портала Azure.
Исходящие Нет Да
AzureTrafficManager IP-адреса пробы Диспетчера трафика Azure.

Дополнительные сведения об IP-адресах пробы Диспетчера трафика см. в статье Диспетчер трафика Azure: вопросы и ответы.
Входящий трафик Нет Да
AzureUpdateDelivery Для доступа к обновлениям Windows.

примечание. этот тег предоставляет доступ к службам метаданных Центр обновления Windows. Чтобы успешно скачать обновления, необходимо также включить тег службы AzureFrontDoor.FirstParty и настроить правила безопасности исходящих подключений, указав следующие протокол и порт:
  • AzureUpdateDelivery: TCP, порт 443
  • AzureFrontDoor.FirstParty: TCP, порт 80
В настоящее время этот тег не настраивается с помощью портал Azure
Исходящие Нет нет
BatchNodeManagement Трафик управления для развертываний, выделенных для пакетной службы Azure. both Нет Да
CognitiveServicesManagement Диапазоны адресов для трафика Cognitive Services Azure. both Нет Нет
DataFactory Фабрика данных Azure both Нет Нет
DataFactoryManagement Трафик управления для Фабрики данных Azure. Исходящие Нет Нет
Dynamics365ForMarketingEmail Диапазоны адресов для службы маркетинговой электронной почты Dynamics 365. Исходящие Да Нет
EOPExternalPublishedIPs Этот тег представляет IP-адреса, используемые для Powershell Центра безопасности и соответствия требованиям. Дополнительные сведения см. в статье Подключение к PowerShell Центра безопасности и соответствия требованиям с помощью модуля EXO V2.

Примечание. Этот тег в настоящее время не настраивается с помощью портал Azure.
both Нет Да
EventHub . Исходящие Да Да
GatewayManager Трафик управления для развертываний, выделенных для VPN-шлюза Azure и шлюза приложений. Входящий трафик Нет Нет
GuestAndHybridManagement Служба автоматизации Azure и гостевая конфигурация. Исходящие Нет Да
HDInsight Azure HDInsight; Входящий трафик Да Нет
Интернет; Пространство IP-адресов, которые находятся за пределами виртуальной сети и к которым можно получить доступ из общедоступного сегмента Интернета.

К этим адресам относится общедоступное пространство IP-адресов, принадлежащее Azure.
both Нет Нет
LogicApps Azure Logic Apps. both Нет Нет
LogicAppsManagement Трафик управления для Logic Apps. Входящий трафик Нет Нет
микрософтазурефлуидрелай Этот тег представляет IP-адреса, используемые для сервера Microsoft жидкостного ретранслятора Azure. Исходящие Нет Нет
MicrosoftCloudAppSecurity Защитник Майкрософт для облачных приложений. Исходящие Нет Нет
MicrosoftContainerRegistry Реестр контейнеров для образов контейнеров Майкрософт.

Примечание. Этот тег зависит от тега азурефронтдур. фирстпарти .
Исходящие Да Да
PowerBI Power BI. Примечание. Этот тег в настоящее время не настраивается с помощью портал Azure. both Нет Нет
поверплатформинфра Этот тег представляет IP-адреса, используемые инфраструктурой для размещения служб Power Platform. Примечание. Этот тег в настоящее время не настраивается с помощью портал Azure. Исходящие Нет Нет
PowerQueryOnline Power Query Online. both Нет Нет
Служебная шина Трафик служебной шины Azure, использующий уровень служб "Премиум". Исходящие Да Да
Service Fabric Azure Service Fabric.

примечание. этот тег представляет конечную точку службы Service Fabric для плоскости управления на регион. Это позволяет клиентам выполнять операции управления для своих кластеров Service Fabric из виртуальной сети (конечная точка, например, https://westus.servicefabric.azure.com).
both Нет Нет
SQL "База данных Azure SQL", "База данных Azure для MySQL", "База данных Azure для PostgreSQL", "База данных Azure для MariaDB" и Azure Synapse Analytics.

Примечание. Этот тег представляет службу, но не конкретные экземпляры службы. Например, тег представляет службу "База данных SQL Microsoft Azure", но не определенную базу данных или сервер SQL Azure. Этот тег не применяется к управляемому экземпляру SQL.
Исходящие Да Да
SqlManagement Трафик управления для развертываний, выделенных для SQL. both Нет Да
Память служба хранилища Azure.

Примечание. Этот тег представляет службу, но не конкретные экземпляры службы. Например, тег представляет службу хранилища Azure, но не определенную учетную запись хранения Azure.
Исходящие Да Да
StorageSyncService Служба хранилища Azure. both Нет нет
WindowsAdminCenter Разрешает серверной службе Windows Admin Center взаимодействовать с установкой Windows Admin Center пользователей. Примечание. Этот тег в настоящее время не настраивается с помощью портал Azure. Исходящие Нет Да
WindowsVirtualDesktop Виртуальный рабочий стол Windows. both Нет Да
VirtualNetwork; Адресное пространство виртуальной сети (все диапазоны IP-адресов, определенные для виртуальной сети), все адресное пространство подключенных локальных сетей, пиринговые виртуальные сети, виртуальные сети, подключенные к шлюзу виртуальной сети, виртуальный IP-адрес узла и префиксы адресов, используемые в определенных пользователем маршрутах. Этот тег также может содержать маршруты по умолчанию. both Нет Нет

Примечание

  • Теги службы для служб Azure обозначают используемые префиксы адресов из определенного облака. Например, базовые диапазоны IP-адресов, соответствующие значению тега Sql в общедоступном облаке Azure, будут отличаться от базовых диапазонов в облаке Azure для Китая.

  • Если вы реализуете конечную точку службы для виртуальной сети для службы, такой как служба хранилища Azure или "База данных SQL Azure", Azure добавляет для нее маршрут в подсеть виртуальной сети. Префиксы адресов для маршрута — это те же префиксы или диапазоны CIDR, которые заданы в теге соответствующей службы.

Теги, поддерживаемые в классической модели развертывания

Классическая модель развертывания (до Azure Resource Manager) поддерживает небольшое подмножество тегов, перечисленных в предыдущей таблице. Теги в классической модели развертывания написаны по-разному, как показано в следующей таблице.

Тег диспетчер ресурсов Соответствующий тег в классической модели развертывания
AzureLoadBalancer. AZURE_LOADBALANCER
Интернет; ИНТЕРНЕТ
VirtualNetwork; VIRTUAL_NETWORK

Теги служб в локальной среде

Вы можете получить текущий тег службы и сведения о диапазоне, которые будут включены в конфигурации локального брандмауэра. Эта информация является актуальным списком точек во времени для диапазонов IP-адресов, соответствующих каждому тегу службы. Эти сведения можно получить программно или скачав файл JSON, как описано в следующих разделах.

Использование API обнаружения тегов служб

Актуальный список тегов служб вместе со сведениями о диапазоне IP-адресов можно получить программным способом:

например, чтобы получить все префиксы для тега службы служба хранилища, можно использовать следующие командлеты PowerShell:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Примечание

  • Для распространения новых данных тега службы в результатах API во всех регионах Azure занимает до 4 недель.
  • Необходимо пройти проверку подлинности и получить роль с разрешениями на чтение для текущей подписки.
  • Данные API представляют эти теги, которые можно использовать с правилами NSG, представляющими подмножество тегов, которые в настоящее время находятся в загружаемом JSON-файле.

Обнаружение тегов службы с помощью скачиваемых файлов JSON

Вы можете скачать файлы JSON, которые содержат актуальный список тегов служб вместе со сведениями о диапазоне IP-адресов. Эти списки обновляются и публикуются еженедельно. Расположения для каждого облака:

Диапазоны IP-адресов в этих файлах даны в нотации CIDR.

Следующие теги AzureCloud не имеют региональных имен, отформатированных в соответствии со стандартной схемой:

  • AzureCloud. централфранце (Францецентрал)
  • AzureCloud. саусфранце (Францесаус)
  • AzureCloud. жерманивк (Жерманивестцентрал)
  • AzureCloud. жерманин (Жерманинорс)
  • AzureCloud. Норвегия (Норвайеаст)
  • AzureCloud. норвайв (Норвайвест)
  • AzureCloud. свитзерландн (Свитзерланднорс)
  • AzureCloud. свитзерландв (Свитзерландвест)
  • AzureCloud. усстажее (Еастусстг)
  • AzureCloud. усстажек (Саусцентралусстг)

Примечание

Подмножество этих сведений опубликовано в файлах XML для Azure Public, Azure для Китая и Azure для Германии. Эти загрузки XML станут устаревшими 30 июня 2020 г. и больше не будут доступны после этой даты. Необходимо выполнить миграцию для использования API обнаружения или скачивания файла JSON, как описано в предыдущих разделах.

Совет

  • Наличие обновления можно отслеживать по увеличению значения changeNumber в файле JSON. Для каждого подраздела (например, Storage.WestUS) имеется собственное значение changeNumber, которое увеличивается по мере появления изменений. Значение changeNumber в файле увеличивается при изменении любого из подразделов.

  • Примеры синтаксического анализа сведений о теге службы (например, получение всех диапазонов адресов для хранилища в WestUS) см. в документации по API обнаружения тегов служб PowerShell.

  • При добавлении новых IP-адресов в теги службы они не будут использоваться в Azure по крайней мере в течение одной недели. Это дает время на обновление любых систем, которым может потребоваться отслеживание IP-адресов, связанных с тегами службы.

Дальнейшие действия