Inkommande och utgående IP-adresser i Azure App Service

Azure App Service är en tjänst med flera klientorganisationer, förutom App Service-miljön. Appar som inte finns i en App Service-miljö (inte på den isolerade nivån) delar nätverksinfrastruktur med andra appar. Därför kan inkommande och utgående IP-adresser för en app vara olika och kan till och med ändras i vissa situationer.

App Service-miljön använder dedikerade nätverksinfrastrukturer, så appar som körs i en App Service-miljö får statiska, dedikerade IP-adresser både för inkommande och utgående anslutningar.

Så här fungerar IP-adresser i App Service

En App Service-app körs i en App Service-plan och App Service-planer distribueras till en av distributionsenheterna i Azure-infrastrukturen (kallas internt för en webbrymd). Varje distributionsenhet tilldelas en uppsättning virtuella IP-adresser, som innehåller en offentlig inkommande IP-adress och en uppsättning utgående IP-adresser. Alla App Service-planer i samma distributionsenhet och appinstanser som körs i dem delar samma uppsättning virtuella IP-adresser. För en App Service-miljön (en App Service-plan på isolerad nivå) är App Service-planen själva distributionsenheten, så de virtuella IP-adresserna är dedikerade till den som ett resultat.

Eftersom du inte får flytta en App Service-plan mellan distributionsenheter förblir de virtuella IP-adresserna som tilldelats din app vanligtvis desamma, men det finns undantag.

När inkommande IP-adresser ändras

Oavsett antalet utskalade instanser har varje app en enda inkommande IP-adress. Den inkommande IP-adressen kan ändras när du utför någon av följande åtgärder:

• En app tas bort och återskapas i en annan resursgrupp (distributionsenheten kan ändras).
• Ta bort den senaste appen i en kombination av resursgrupp och region och återskapa den (distributionsenheten kan ändras).
• Ta bort en befintlig IP-baserad TLS/SSL-bindning, till exempel under certifikatförnyelse (se Förnya certifikat).

Hitta den inkommande IP-adressen

Kör bara följande kommando i en lokal terminal:

nslookup <app-name>.azurewebsites.net

Hämta en statisk inkommande IP-adress

Ibland kanske du vill ha en dedikerad, statisk IP-adress för din app. För att få en statisk inkommande IP-adress måste du skydda ett anpassat DNS-namn med en IP-baserad certifikatbindning. Om du inte behöver TLS-funktioner för att skydda din app kan du till och med ladda upp ett självsignerat certifikat för den här bindningen. I en IP-baserad TLS-bindning är certifikatet bundet till själva IP-adressen, så App Service skapar en statisk IP-adress för att få det att hända.

När utgående IP-adresser ändras

Oberoende av antalet utskalade instanser har varje app ett bestämt antal utgående IP-adresser vid en viss given tidpunkt. Alla utgående anslutningar från App Service-appen, till exempel till en serverdelsdatabas, använder en av de utgående IP-adresserna som ursprungs-IP-adress. Den IP-adress som ska användas väljs slumpmässigt vid körning, så serverdelstjänsten måste öppna brandväggen för alla utgående IP-adresser för din app.

Uppsättningen med utgående IP-adresser för din app ändras när du utför någon av följande åtgärder:

• En app tas bort och återskapas i en annan resursgrupp (distributionsenheten kan ändras).
• Ta bort den senaste appen i en kombination av resursgrupp och region och återskapa den (distributionsenheten kan ändras).
• Skala din app mellan de lägre nivåerna (Basic, Standard och Premium), PremiumV2-nivån, PremiumV3-nivån och Pmv3-alternativen på PremiumV3-nivån (IP-adresser kan läggas till eller subtraheras från uppsättningen).

Du hittar uppsättningen med alla möjliga utgående IP-adresser som appen kan använda, oavsett prisnivåer, genom att leta possibleOutboundIpAddresses efter egenskapen eller i fältet Ytterligare utgående IP-adresser på sidan Egenskaper i Azure-portalen. Se Hitta utgående IP-adresser.

Uppsättningen med alla möjliga utgående IP-adresser kan öka med tiden om App Service lägger till nya prisnivåer eller alternativ för befintliga App Service-distributioner. Om App Service till exempel lägger till PremiumV3-nivån till en befintlig App Service-distribution ökar uppsättningen med alla möjliga utgående IP-adresser. På samma sätt, om App Service lägger till nya Pmv3-alternativ till en distribution som redan stöder PremiumV3-nivån , ökar uppsättningen med alla möjliga utgående IP-adresser. Att lägga till IP-adresser i en distribution har ingen omedelbar effekt eftersom de utgående IP-adresserna för program som körs inte ändras när en ny prisnivå eller ett nytt alternativ läggs till i en App Service-distribution. Men om program växlar till en ny prisnivå eller ett alternativ som inte tidigare var tillgängligt, används nya utgående adresser och kunderna måste uppdatera brandväggsregler och IP-adressbegränsningar.

Ta reda på utgående IP-adresser

Om du vill ta reda på de utgående IP-adresser som för närvarande används av din app i Azure-portalen väljer du Egenskaper i appens vänstra navigering. De visas i fältet Utgående IP-adresser .

Du hittar samma information genom att köra följande kommando i Cloud Shell.

az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv

(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses

Om du vill hitta alla möjliga utgående IP-adresser för din app, oavsett prisnivåer, väljer du Egenskaper i appens vänstra navigering. De visas i fältet Ytterligare utgående IP-adresser .

Du hittar samma information genom att köra följande kommando i Cloud Shell.

az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv

(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses

Hämta en statisk utgående IP-adress

Du kan styra IP-adressen för utgående trafik från din app genom att använda integrering av virtuella nätverk tillsammans med en NAT-gateway för virtuellt nätverk för att dirigera trafik via en statisk offentlig IP-adress. Integrering av virtuella nätverk är tillgängligt i App Service-abonnemangen Basic, Standard, Premium, PremiumV2 och PremiumV3 . Mer information om den här konfigurationen finns i NAT-gatewayintegrering.

Tjänsttagg

Med hjälp av AppService tjänsttaggen kan du definiera nätverksåtkomst för Azure App Service-tjänsten utan att ange enskilda IP-adresser. Tjänsttaggen är en grupp MED IP-adressprefix som du använder för att minimera komplexiteten i att skapa säkerhetsregler. När du använder tjänsttaggar uppdaterar Azure automatiskt IP-adresserna när de ändras för tjänsten. Tjänsttaggen är dock inte en säkerhetskontrollmekanism. Tjänsttaggen är bara en lista över IP-adresser.

Tjänsttaggen AppService innehåller endast inkommande IP-adresser för appar med flera klientorganisationer. Inkommande IP-adresser från appar som distribueras i isolerade (App Service-miljön) och appar som använder IP-baserade TLS-bindningar ingår inte. Dessutom ingår inte alla utgående IP-adresser som används i både multitenant och isolerade i taggen.

Taggen kan användas för att tillåta utgående trafik i en nätverkssäkerhetsgrupp (NSG) till appar. Om appen använder IP-baserad TLS eller om appen distribueras i isolerat läge måste du använda den dedikerade IP-adressen i stället.

Kommentar

Tjänsttaggen hjälper dig att definiera nätverksåtkomst, men den bör inte betraktas som en ersättning för lämpliga nätverkssäkerhetsåtgärder eftersom den inte ger detaljerad kontroll över enskilda IP-adresser.

Nästa steg

• Lär dig hur du begränsar inkommande trafik efter källans IP-adresser.
• Läs mer om servicetaggar.