Sanal ağ hizmeti etiketleri

Hizmet etiketi, belirli bir Azure hizmetinden bir IP adresi önekleri grubunu temsil eder. Microsoft, hizmet etiketi ile çevrelenmiş adres öneklerini yönetir ve adres değişikliği olarak hizmet etiketini otomatik olarak güncelleştirir ve ağ güvenlik kuralları için sık sık güncelleştirmelerin karmaşıklığını en aza indirir.

Ağ güvenlik gruplarında veya Azure Güvenlik duvarındaağ erişim denetimleri tanımlamak için hizmet etiketlerini kullanabilirsiniz. Güvenlik kuralları oluştururken belirli IP adreslerinin yerine hizmet etiketleri kullanın. Bir kuralın uygun kaynak veya hedef alanında apimanayönetimi gibi hizmet etiketi adını belirterek, ilgili hizmet için trafiğe izin verebilir veya bu trafiği reddedebilirsiniz.

Not

2021 Mart itibariyle, Kullanıcı tanımlı rotalardaaçık IP aralıkları yerine hizmet etiketleri de kullanabilirsiniz. Bu özellik şu anda Genel Önizlemededir.

Hizmet etiketlerini kullanarak, genel uç noktalarından oluşan Azure hizmetlerine erişirken ağ yalıtımı elde edebilir ve Azure kaynaklarınızı genel Internet üzerinden koruyabilirsiniz. Internet 'ten gelen /giden trafiği reddetmek ve belirli Azure hizmetlerinin diğer kullanılabilir hizmet etiketlerine /sayısına giden trafiğe izin vermek için gelen/giden ağ güvenlik grubu kuralları oluşturun.

Hizmet etiketleri kullanarak Azure hizmetlerinin ağ yalıtımı

Kullanılabilir hizmet etiketleri

Aşağıdaki tablo, ağ güvenlik grubu kurallarında kullanılabilecek tüm hizmet etiketlerini içerir.

Sütunlar, etiketin şu şekilde olduğunu belirtir:

Varsayılan olarak, hizmet etiketleri tüm bulutun aralıklarını yansıtır. Bazı hizmet etiketleri, ilgili IP aralıklarını belirtilen bir bölgeye kısıtlayarak daha ayrıntılı denetime de olanak tanır. örneğin, Depolama hizmet etiketi tüm bulutun Azure Depolama temsil eder, ancak Depolama. WestUS , aralığı yalnızca WestUS bölgesinden depolama IP adresi aralıklarına daraltır. Aşağıdaki tablo, her bir hizmet etiketinin bu tür bölgesel kapsamları destekleyip desteklemediğini gösterir. Her etiket için listelenen yönün bir öneri olduğunu unutmayın. Örneğin, Azurecfi etiketi gelen trafiğe izin vermek için kullanılabilir. Bununla birlikte, bu, diğer Azure müşterileri tarafından kullanılanlar da dahil olmak üzere tüm Azure IP 'lerden gelen trafiğe izin veren anlamına gelen bu yana pek çok senaryoda önerilmez.

Etiket Amaç Gelen veya giden trafiği kullanabilir miyim? Bölgesel olabilir mi? Azure Güvenlik Duvarı ile kullanılabilir mi?
ActionGroup Eylem grubu. Gelen Hayır Hayır
ApiManagement Azure API Management adanmış dağıtımlar için yönetim trafiği.

Note: Bu etiket, bölge başına denetim düzlemi için Azure API Management hizmet uç noktasını temsil eder. Bu, müşterilerin API Management hizmetinde yapılandırılmış API 'Ler, Işlemler, Ilkeler, NamedValues üzerinde yönetim işlemleri gerçekleştirmesini sağlar.
Gelen Yes Yes
Applicationınsi, Savailability kullanılabilirliği Application Insights. Gelen Hayır Hayır
AppConfiguration Uygulama yapılandırması. Giden Hayır Hayır
AppService Azure App Service. Bu etiket, Web uygulamaları ve Işlev uygulamalarına giden güvenlik kuralları için önerilir. Giden Yes Yes
AppServiceManagement App Service Ortamı adanmış dağıtımlar için yönetim trafiği. Her İkisi Hayır Yes
AzureActiveDirectory Azure Active Directory. Giden Hayır Yes
AzureActiveDirectoryDomainServices Azure Active Directory etki alanı hizmetleri 'ne adanmış dağıtımlar için yönetim trafiği. Her İkisi Hayır Yes
AzureAdvancedThreatProtection Azure Gelişmiş tehdit koruması. Giden Hayır Hayır
AzureArcInfrastructure Azure Arc etkin sunucuları, Azure Arc etkin Kubernetes ve konuk yapılandırma trafiği.

Note: Bu etiketin AzureActiveDirectory,AzureTrafficManager ve AzureResourceManager etiketlerine bir bağımlılığı vardır. Bu etiket Şu anda Azure Portal aracılığıyla yapılandırılamaz.
Giden Hayır Yes
AzureAttestation Azure kanıtlama.

Not: Bu etiket Şu anda Azure Portal aracılığıyla yapılandırılamaz
Giden Hayır Yes
AzureBackup Azure Backup.

Note: bu etiketin Depolama ve AzureActiveDirectory etiketlerine bir bağımlılığı vardır.
Giden Hayır Yes
AzureBotService Azure bot hizmeti. Giden Hayır Hayır
AzureCloud Tüm veri merkezi genel IP adresleri. Giden Yes Yes
Azurecognivesearch Azure Bilişsel Arama.

Bu etiket veya bu etiketin kapsadığı IP adresleri, dizin oluşturucularının veri kaynaklarına güvenli erişimini sağlamak için kullanılabilir. Daha fazla ayrıntı için Dizin Oluşturucu bağlantı belgelerine bakın.

Not: Arama hizmetinin IP 'si, bu hizmet etıketı için IP aralıkları listesine dahil değildir ve ayrıca VERI kaynaklarının IP güvenlik duvarına eklenmelidir .
Gelen Hayır Hayır
AzureConnectors bu etiket, Azure Logic Apps hizmetine gelen web kancası geri aramalarını ve ilgili hizmetlerine giden çağrıları (örneğin, azure Depolama veya azure Event Hubs) oluşturan yönetilen bağlayıcılar için kullanılan ıp adreslerini temsil eder. Gelen/giden Yes Yes
AzureContainerRegistry Azure Container Registry. Giden Yes Yes
Azu, Smosdb Azure Cosmos DB. Giden Yes Yes
AzureDatabricks Azure Databricks. Her İkisi Hayır Hayır
AzureDataExplorerManagement Azure Veri Gezgini yönetimi. Gelen Hayır Hayır
AzureDataLake Azure Data Lake Storage 1.. Giden Hayır Yes
AzureDevSpaces Azure Dev Spaces. Giden Hayır Hayır
AzureDevOps Azure dev Ops.

Not: Bu etiket Şu anda Azure Portal aracılığıyla yapılandırılamaz
Gelen Hayır Yes
AzureDigitalTwins Azure dijital TWINS.

Note: Bu etiket veya bu etiketin kapsadığı IP adresleri, olay yolları için yapılandırılmış uç noktalara erişimi kısıtlamak için kullanılabilir. Bu etiket Şu anda Azure portalı aracılığıyla yapılandırılamaz
Gelen Hayır Yes
AzureEventGrid Azure Event Grid. Her İkisi Hayır Hayır
Azurefrontkapısı. ön uç
Azurefrontkapısı. arka uç
Azurefrontkapısı. Firstpartisi
Azure ön kapısı. Her İkisi Hayır Hayır
AzureInformationProtection Azure Information Protection.

Note: Bu etiketin AzureActiveDirectory, Azurefrontkapı. ön uç ve Azurefrontkapısı. firstpartisi etiketlerine bağımlılığı vardır.
Giden Hayır Hayır
AzureIoTHub Azure IoT Hub. Giden Yes Hayır
AzureKeyVault Azure Key Vault.

Note: Bu etiketin AzureActiveDirectory etiketine bağımlılığı vardır.
Giden Yes Yes
AzureLoadBalancer Azure altyapı yük dengeleyici. Etiketi, Azure sistem durumu araştırmalarının gerçekleştiği konağın sanal IP adresine (168.63.129.16) çevirir. Bu, arka uç kaynağınızın gerçek trafiğini değil yalnızca araştırma trafiği içerir. Azure Load Balancer kullanmıyorsanız, bu kuralı geçersiz kılabilirsiniz. Her İkisi Hayır Hayır
AzureMachineLearning Azure Machine Learning. Her İkisi Hayır Yes
AzureMonitor Log Analytics, Application Insights, azmon ve özel ölçümler (gb uç noktaları).

Note: Log Analytics için Depolama etiketi de gereklidir. Linux aracıları kullanılıyorsa Guestandhybridmanagement Tag de gereklidir.
Giden Hayır Yes
AzureOpenDatasets Azure veri kümelerini açın.

Note: bu etiketin azurefrontkapısı. ön uç ve Depolama etiketine bağımlılığı vardır.
Giden Hayır Hayır
AzurePlatformDNS Temel altyapı (varsayılan) DNS hizmeti.

Varsayılan DNS 'yi devre dışı bırakmak için bu etiketi kullanabilirsiniz. Bu etiketi kullanırken dikkatli olun. Azure platformu konularınıokumanızı öneririz. Ayrıca, bu etiketi kullanmadan önce test gerçekleştirmenizi öneririz.
Giden Hayır Hayır
AzurePlatformIMDS Temel bir altyapı hizmeti olan Azure Instance Metadata Service (ıMDS).

Bu etiketi, varsayılan ıDS 'yi devre dışı bırakmak için kullanabilirsiniz. Bu etiketi kullanırken dikkatli olun. Azure platformu konularınıokumanızı öneririz. Ayrıca, bu etiketi kullanmadan önce test gerçekleştirmenizi öneririz.
Giden Hayır Hayır
AzurePlatformLKM Windows lisanslama veya anahtar yönetimi hizmeti.

Lisanslama için Varsayılanları devre dışı bırakmak üzere bu etiketi kullanabilirsiniz. Bu etiketi kullanırken dikkatli olun. Azure platformu konularınıokumanızı öneririz. Ayrıca, bu etiketi kullanmadan önce test gerçekleştirmenizi öneririz.
Giden Hayır Hayır
AzureResourceManager Azure Resource Manager. Giden Hayır Hayır
AzureSignalR Azure SignalR. Giden Hayır Hayır
Azuresterecovery Azure Site Recovery.

Note: bu etiketin AzureActiveDirectory, AzureKeyVault, EventHub,guestandhybridmanagement ve Depolama etiketlerine bir bağımlılığı vardır.
Giden Hayır Hayır
AzureTrafficManager araştırma ıp adreslerini Azure Traffic Manager.

Traffic Manager araştırma ıp adresleri hakkında daha fazla bilgi için bkz. Azure Traffic Manager sss.
Gelen Hayır Yes
AzureUpdateDelivery Windows güncelleştirmelere erişim için.

Note: bu etiket Windows Update meta veri hizmetlerine erişim sağlar. Güncelleştirmeleri başarılı bir şekilde indirmek için, Azurefrontkapısı. Firstparti hizmeti etiketini etkinleştirmeniz ve giden güvenlik kurallarını aşağıdaki şekilde tanımlanan protokol ve bağlantı noktasıyla yapılandırmanız gerekir:
  • AzureUpdateDelivery: TCP, bağlantı noktası 443
  • Azurefrontkapısı. Firstpartisi: TCP, bağlantı noktası 80
Bu etiket Şu anda Azure portalı aracılığıyla yapılandırılamaz
Giden Hayır Hayır
BatchNodeManagement Azure Batch adanmış dağıtımlar için yönetim trafiği. Her İkisi Hayır Yes
Biliveservicesmanagement Azure bilişsel hizmetler için trafik için adres aralıkları. Her İkisi Hayır Hayır
DataFactory Azure Data Factory Her İkisi Hayır Hayır
DataFactoryManagement Azure Data Factory için yönetim trafiği. Giden Hayır Hayır
Dynamics365ForMarketingEmail Dynamics 365 pazarlama e-posta hizmeti için adres aralıkları. Giden Yes Hayır
EOPExternalPublishedIPs Bu etiket, güvenlik & Uyumluluk Merkezi PowerShell için kullanılan IP adreslerini temsil eder. daha fazla ayrıntı için exo V2 modülünü kullanarak güvenlik & uyumluluk merkezi PowerShell Bağlanbaşvurun.

Not: Bu etiket Şu anda Azure Portal aracılığıyla yapılandırılamaz.
Her İkisi Hayır Yes
EventHub Azure Event Hubs. Giden Yes Yes
GatewayManager Azure VPN Gateway ve Application Gateway adanmış dağıtımlar için yönetim trafiği. Gelen Hayır Hayır
GuestAndHybridManagement Azure Otomasyonu ve konuk yapılandırması. Giden Hayır Yes
HDInsight Azure HDInsight. Gelen Yes Hayır
İnternet Sanal ağın dışında olan ve genel İnternet tarafından erişilebilen IP adresi alanı.

Adres aralığı, Azure 'a ait genel IP adresi alanınıiçerir.
Her İkisi Hayır Hayır
LogicApps Logic Apps. Her İkisi Hayır Hayır
LogicAppsManagement Logic Apps için yönetim trafiği. Gelen Hayır Hayır
MicrosoftCloudAppSecurity Microsoft Cloud App Security. Giden Hayır Hayır
MicrosoftContainerRegistry Microsoft Container görüntüleri için kapsayıcı kayıt defteri.

Note: Bu etiket, Azurefrontkapısı. Firstpartisi etiketine bir bağımlılığı vardır.
Giden Yes Yes
PowerBI PowerBI. Not: Bu etiket Şu anda Azure Portal aracılığıyla yapılandırılamaz. Her İkisi Hayır Hayır
PowerQueryOnline Çevrimiçi Power Query. Her İkisi Hayır Hayır
ServiceBus Azure Service Bus Premium hizmet katmanını kullanan trafik. Giden Yes Yes
ServiceFabric Azure Service Fabric.

Note: bu etiket, bölge başına denetim düzlemi için Service Fabric hizmet uç noktasını temsil eder. bu, müşterilerin VNET 'lerden Service Fabric kümeleri için yönetim işlemleri gerçekleştirmesini sağlar (uç nokta örn. https://westus.servicefabric.azure.com)
Her İkisi Hayır Hayır
SQL Azure SQL Veritabanı, MySQL için azure veritabanı, postgresql için azure veritabanı, mariadb için azure veritabanı ve azure Synapse Analytics.

Note: Bu etiket hizmetin belirli örneklerini değil hizmeti temsil eder. Örneğin etiket belirli bir SQL veritabanını veya sunucusunu değil Azure SQL Veritabanı hizmetini temsil eder. bu etiket SQL yönetilen örnek için uygulanmıyor.
Giden Yes Yes
SqlManagement SQL adanmış dağıtımlar için yönetim trafiği. Her İkisi Hayır Yes
Depolama Azure Depolama.

Note: Bu etiket hizmetin belirli örneklerini değil hizmeti temsil eder. Örneğin etiket belirli bir Azure Depolama hesabını değil Azure Depolama hizmetini temsil eder.
Giden Yes Yes
StorageSyncService Depolama Eşitleme Hizmeti. Her İkisi Hayır Hayır
WindowsAdminCenter Windows Merkezi arka uç hizmetinin, müşterilerin Yönetim Merkezi'ni yüklemesi ile Windows izin ver. Not: Bu etiket şu anda Azure Portal üzerinden yapılandırılamaz. Giden Hayır Yes
WindowsVirtualDesktop Windows Sanal Masaüstü. Her İkisi Hayır Yes
VirtualNetwork Sanal ağ adres alanı (sanal ağ için tanımlanan tüm IP adresi aralıkları), tüm bağlı şirket içi adres alanları, eşli sanal ağlar, bir sanal ağ geçidine bağlı sanal ağlar,ana bilgisayarının sanal IPadresi ve kullanıcı tanımlı yollarda kullanılan adres ön ekleri. Bu etiket varsayılan yolları da içerebilir. Her İkisi Hayır Hayır

Not

Klasik dağıtım modelinde (Azure Resource Manager önce), önceki tabloda listelenen etiketlerin bir alt kümesi de desteklenmiştir. Bu etiketler farklı yazılmıştır:

Klasik yazım Eşdeğer Resource Manager etiketi
AZURE_LOADBALANCER AzureLoadBalancer
INTERNET İnternet
VIRTUAL_NETWORK VirtualNetwork

Not

Azure hizmetlerinin hizmet etiketleri, kullanılan buluta özgü adres ön eklerini ifade ediyor. Örneğin, Azure Genel bulutdaki Sql etiketi değerine karşılık gelen temel IP aralıkları, Azure Çin bulutu üzerinde temel alınan aralıklardan farklı olur.

Not

Azure Depolama veya Azure SQL Veritabanı gibi bir hizmet için bir sanal ağ hizmet uç noktası uygularsanız Azure, sanal ağ alt ağına hizmet için bir rota ekler. Yol içinde adres ön ekleri, karşılık gelen hizmet etiketiyle aynı adres ön ekleri veya CIDR aralıklarıdır.

Şirket içi hizmet etiketleri

Şirket içi güvenlik duvarı yapılandırmalarının bir parçası olarak dahil etmek için geçerli hizmet etiketi ve aralık bilgilerini edinebilirsiniz. Bu bilgiler, her hizmet etiketine karşılık gelen IP aralıklarının geçerli zaman noktası listesidir. Aşağıdaki bölümlerde açıklandığı gibi bilgileri program aracılığıyla veya JSON dosyası indirme yoluyla edinebilirsiniz.

Hizmet Etiketi Bulma API'sini kullanma (genel önizleme)

Geçerli hizmet etiketleri listesini IP adresi aralığı ayrıntılarıyla birlikte program aracılığıyla edinebilirsiniz:

Not

Yeni Hizmet Etiketi verilerini API sonuçlarına yayma 4 haftaya kadar sürer. Bu durumda yanıt meta verilerinde değişiklik sayısı artırılır. Farklı konum değerleri belirtilirken sonuçlarda geçici farklılıklar olabilir. NSG kuralları oluşturmak için sonuçları kullanırken konum paramater'i NSG'nin bölgesiyle eş olacak şekilde ayarlayabilirsiniz.

Not

API verileri, indirilebilir JSON dosyasındaki etiketlerin bir alt kümesi olan NSG kurallarıyla kullanılmaktadır. Genel önizlemede olduğu gibi, verilerin bir güncelleştirmeden sonrakine kadar aynı kalmasını garanti etmek garanti edilemez.

İndirilebilir JSON dosyalarını kullanarak hizmet etiketlerini bulma

Geçerli hizmet etiketleri listesini içeren JSON dosyalarını IP adresi aralığı ayrıntılarıyla birlikte indirebilirsiniz. Bu listeler haftalık olarak güncelleştirilir ve yayımlanır. Her bulutun konumları:

Bu dosyalarda IP adresi aralıkları CIDR ifadesindedir.

Not

Bu bilgilerin bir alt kümesi Azure Genel, AzureÇin ve AzureAlmanya için XML dosyalarında yayımlanmıştır. Bu XML indirmeleri 30 Haziran 2020'ye kadar kullanım dışı olacak ve bu tarihten sonra kullanılamaz. Önceki bölümlerde açıklandığı gibi Bulma API'sini veya JSON dosyası indirmelerini kullanmaya geçirmeniz gerekir.

İpuçları

  • JSON dosyasındaki changeNumber değerlerinin artmış olduğunu fark etmek için bir yayından bir sonrakine güncelleştirmeleri algıabilirsiniz. Her alt bölüm (örneğin, Depolama. WestUS) kendi changeNumber değerine sahiptir ve bu değişiklik gerçekleşirken artırılır. Dosyanın changeNumber değerinin üst düzeyi, alt bölümlerden herhangi biri değiştiriken artırılır.
  • Hizmet etiketi bilgilerini ayrıştırma örnekleri için (örneğin, Batı ABD'de Depolama için tüm adres aralıklarını alın), Hizmet Etiketi Bulma API'si PowerShell belgelerine bakın.
  • Hizmet etiketlerine yeni IP adresleri ekleniyorsa, bunlar Azure'da en az bir hafta boyunca kullanılmaz. Bu size hizmet etiketleriyle ilişkili IP adreslerini izlemesi gerektiren sistemleri güncelleştirmeniz için size zaman verir.

Sonraki adımlar