Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
服务标记表示给定Azure服务中的一组 IP 地址前缀。 Azure管理服务标记包含的地址前缀,并在地址发生更改时自动更新服务标记,最大程度地降低网络安全规则频繁更新的复杂性。
服务标记通过以下方式简化Azure中的网络安全配置:
- 无需手动跟踪和更新Azure服务的 IP 地址
- Azure服务 IP 范围更改时提供自动更新
- 降低安全规则管理的复杂性
- 启用对Azure服务传入和传出网络流量的精细控制
可以使用服务标记在 网络安全组、Azure Firewall 和用户定义路由上定义网络访问控制。 创建安全规则和路由时,请使用服务标记代替特定 IP 地址。
重要
虽然服务标记简化了启用基于 IP 的访问控制列表(ACL)功能,但仅凭服务标记不足以保护流量,还需考虑服务的性质以及它发送的流量的性质。 有关基于 IP 的 ACL 的详细信息,请参阅 什么是基于 IP 的access control列表(ACL)?。
有关流量性质的其他信息,请参阅本文后面的每个服务及其标记。 请务必确保您熟悉在使用基于 IP 的 ACL 的服务标记时所允许的流量。 请考虑增加的安全级别来保护您的环境。
服务标记的工作原理
在安全规则的相应源或目标字段中指定服务标记名称(例如 ApiManagement),可以允许或拒绝相应服务的流量。 服务标记自动包括该服务使用的所有当前和将来的 IP 地址范围。
可以将用于服务标记封装的任何前缀的流量路由到所需的下一个跃点类型。 在路由的地址前缀中指定服务标记名称。
常见用例
服务标记可帮助你:
- Achieve 网络隔离:在访问具有公共终结点的 Azure 服务的同时,保护 Azure 资源免受普通 Internet 的威胁。
- 简化安全规则:创建规则而不管理单个 IP 地址
- 确保自动更新:在不手动干预的情况下随时了解Azure服务 IP 范围
例如,可以创建以下入站/出站网络安全组规则:
- 拒绝传入/传出 Internet 的流量
- 允许特定Azure服务的流量传入/传出AzureCloud或其他可用的服务标记
可用服务标记
下表列出了可在网络安全组规则中使用的所有服务标记。
这些列指示标签是否:
- 适用于涵盖入站或出站流量的规则。
- 支持 区域范围。
- 只能在 Azure Firewall 规则中用作仅限于入站或出站流量的目标 规则。
默认情况下,服务标记反映了整个云的范围。 某些服务标记还可以通过将相应 IP 范围限制为指定的区域,来实现更精细的控制。 例如,服务标记Storage表示 Azure 整个云的存储,但Storage.ChinaNorth将范围缩小为仅限于 ChinaNorth 区域的存储 IP 地址范围。 下表显示了每个服务标签是否支持这样的区域范围,每个标签列出的方向是一个建议。 例如,AzureCloud 标记可用于允许入站流量。 在大多数情况下,我们不建议允许来自所有Azure IP 的流量,因为其他Azure客户使用的 IP 包含在服务标记中。
| 标记 | 目的 | 可以使用入站还是出站连接? | 可以是区域性的吗? | 可与Azure Firewall一起使用? |
|---|---|---|---|---|
| ActionGroup | 操作组。 | 入站 | 否 | 是 |
| ApiManagement | Azure API Management 专用部署的流量管理。 Note:此标记表示 Azure API 管理服务在每个区域的控制平面端点。 该标记使客户能够对 API 管理服务上配置的 API、操作、策略和命名值 (NamedValues) 执行管理操作。 |
入站 | 是 | 是 |
| 应用洞察可用性 (ApplicationInsightsAvailability) | Application Insights 可用性。 | 入站 | 否 | 是 |
| AppConfiguration | 应用配置。 | 出站 | 否 | 是 |
| AppService | Azure App Service。 建议将此标记用于Web应用和函数应用程序的出站安全规则。 注意:此标记不包括使用基于 IP 的 SSL 时分配的 IP 地址(应用分配的地址)。 |
出站 | 是 | 是 |
| AppServiceManagement | 专用于 App Service Environment 部署的管理网络流量。 | 两者 | 否 | 是 |
| AzureActiveDirectory | Microsoft Entra ID服务。 此标记包括登录、MS Graph 和此表中未列出的其他 Microsoft Entra 服务 | 出站 | 否 | 是 |
| AzureAdvancedThreatProtection | Azure高级威胁防护。 | 出站 | 否 | 是 |
| AzureAttestation | Azure Attestation。 | 出站 | 否 | 是 |
| AzureBackup | Azure Backup。 Note:此标记依赖于 Storage 和 AzureActiveDirectory 标记。 |
出站 | 否 | 是 |
| AzureBotService | Azure Bot Service。 | 两者 | 否 | 是 |
| AzureCloud | 所有数据中心公共 IP 地址。 此标记不包括 IPv6。 | 两者 | 是 | 是 |
| AzureCognitiveSearch | Azure AI Search。 此标记或此标记涵盖的 IP 地址可用于为索引器授予对数据源的安全访问权限。 有关索引器的详细信息,请参阅索引器连接文档。 Note:此服务标记的 IP 范围列表中不包含搜索服务的 IP,也需要将其添加到数据源的 IP 防火墙中。 |
入站 | 否 | 是 |
| AzureConnectors | 此标记表示用于托管连接器的 IP 地址,这些连接器对 Azure Logic Apps 服务进行入站 Webhook 回调,并对各自服务(例如 Azure Storage 或 Azure Event Hubs)进行出站调用。 | 两者 | 是 | 是 |
| AzureContainerRegistry | Azure Container Registry。 | 出站 | 是 | 是 |
| AzureCosmosDB | Azure Cosmos DB。 | 出站 | 是 | 是 |
| AzureDatabricks | Azure Databricks。 | 两者 | 否 | 是 |
| AzureDataExplorerManagement | Azure Data Explorer 管理。 | 入站 | 否 | 是 |
| AzureDigitalTwins | Azure Digital Twins。 Note:此标记或此标记涵盖的 IP 地址可用于限制对事件路由配置的终结点的访问。 |
入站 | 否 | 是 |
| AzureEventGrid | Azure Event Grid。 | 两者 | 否 | 是 |
|
AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty |
Azure Front Door。 | 两者 | 是 | 是 |
| AzureIoTHub | Azure IoT Hub。 | 出站 | 是 | 是 |
| AzureKeyVault | Azure Key Vault。 注意:此标记依赖于 AzureActiveDirectory 标记 。 |
出站 | 是 | 是 |
| AzureLoadBalancer | Azure基础结构负载均衡器。 该标记转换为Azure运行状况探测起源的主机的虚拟IP地址(168.63.129.16)。 这只包括探测流量,而不包括到后端资源的实际流量。 如果不使用Azure Load Balancer,则可以替代此规则。 | 两者 | 否 | 否 |
| AzureMachineLearning | Azure Machine Learning。 | 两者 | 否 | 是 |
| AzureMachineLearningInference | 此服务标记用于限制专用网络托管推理场景中的公用网络入口。 | 入站 | 否 | 是 |
| AzureMonitor | Log Analytics、Application Insights、Azure Monitor Workspace、AzMon 和自定义指标(GiG 终结点)。 Note:对于 Azure Monitor 代理,还需要 AzureResourceManager。 对于 Log Analytics 代理,还需要 Storage 标记。 如果使用了 Linux Log Analytics 代理,还需要提供“GuestAndHybridManagement”标记。 (截至 2024 年 8 月 31 日,旧版 Log Analytics 代理已弃用。 |
出站 | 否 | 是 |
| AzurePlatformDNS | 基本基础结构(默认)DNS 服务。 可以使用此标记来禁用默认 DNS。 使用此标记时要格外小心。 建议阅读 Azure 平台注意事项。 我们还建议你在使用此标记之前执行测试。 |
出站 | 否 | 否 |
| AzurePlatformIMDS | Azure实例元数据服务(IMDS),这是一项基本的基础结构服务。 可以使用此标记来禁用默认 IMDS。 使用此标记时要格外小心。 建议阅读 Azure 平台注意事项。 我们还建议你在使用此标记之前执行测试。 |
出站 | 否 | 否 |
| AzurePlatformLKM | Windows 授权或密钥管理服务。 可以使用此标记来禁用授权默认值。 使用此标记时要格外小心。 建议阅读 Azure 平台注意事项。 我们还建议你在使用此标记之前执行测试。 |
出站 | 否 | 否 |
| AzureResourceManager | Azure Resource Manager。 | 出站 | 否 | 是 |
| AzureSignalR | Azure SignalR。 | 出站 | 否 | 是 |
| AzureSiteRecovery | Azure Site Recovery。 Note:此标记依赖于 AzureActiveDirectoryAzureKeyVault、EventHub、GuestAndHybridManagement 和 Storage 标记。 |
出站 | 否 | 是 |
| AzureSpringCloud | 允许流量流向 Azure Spring Apps 中托管的应用程序。 | 出站 | 否 | 是 |
| AzureTrafficManager | Azure Traffic Manager探测 IP 地址。 有关流量管理器探测 IP 地址的详细信息,请参阅 Azure Traffic Manager FAQ。 |
入站 | 否 | 是 |
| AzureWebPubSub | AzureWebPubSub | 两者 | 是 | 是 |
| BatchNodeManagement | 专用于Azure Batch的部署的管理流量。 | 两者 | 是 | 是 |
| CognitiveServicesManagement | Foundry Tools 网络流量的地址范围。 | 两者 | 否 | 是 |
| DataFactory | Azure Data Factory | 两者 | 是 | 是 |
| DataFactoryManagement | Azure Data Factory的管理流量。 | 出站 | 否 | 是 |
| EventHub | Azure Event Hubs。 | 出站 | 是 | 是 |
| GatewayManager | 专用于 Azure VPN Gateway 和 Azure Application Gateway 部署的管理流量。 | 入站 | 否 | 否 |
| GuestAndHybridManagement | Azure Automation和客户配置。 | 出站 | 否 | 是 |
| HDInsight | Azure HDInsight。 | 入站 | 是 | 是 |
| 互联网 | 虚拟网络外部并可通过公共互联网访问的 IP 地址空间。 地址范围包括Azure拥有的公共 IP 地址空间。 |
两者 | 否 | 否 |
| KustoAnalytics | Kusto Analytics。 | 两者 | 否 | 否 |
| LogicApps | 逻辑应用。 | 两者 | 否 | 是 |
| LogicAppsManagement | 逻辑应用的管理流量。 | 入站 | 否 | 是 |
| MicrosoftAzureFluidRelay | 此标记表示用于Azure Fluid Relay服务器的 IP 地址。
注意:此标记依赖于 AzureFrontDoor.Frontend 标记。 |
两者 | 否 | 是 |
| MicrosoftCloudAppSecurity | Azure Defender for Cloud Apps。 | 出站 | 否 | 是 |
| MicrosoftContainerRegistry | 用于Azure容器映像的容器注册表。 注意:此标记依赖于 AzureFrontDoor.FirstParty 标记 。 |
出站 | 是 | 是 |
| PowerBI | Power BI。 | 两者 | 否 | 是 |
| PowerPlatformInfra | 此标记表示由基础结构用来托管 Power Platform 服务的 IP 地址。 | 两者 | 是 | 是 |
| PowerPlatformPlex | 此标记表示基础结构用于代表客户托管 Power Platform 扩展执行的 IP 地址。 | 两者 | 是 | 是 |
| PowerQueryOnline | Power Query 在线 | 两者 | 否 | 是 |
| Scuba | Microsoft 安全产品(Sentinel、Defender 等)的数据连接器。 | 入站 | 否 | 否 |
| SerialConsole | 限制对启动诊断存储帐户的访问权限,仅限于串行控制台服务标记。 | 入站 | 否 | 是 |
| 服务总线 | Azure Service Bus 流量。 | 出站 | 是 | 是 |
| ServiceFabric | Azure Service Fabric。 注意:此标记表示每个区域的控制平面的 Service Fabric 服务终结点。 通过它,客户可从其 VNET 终结点对 Service Fabric 群集执行管理操作。 (例如,https:// chinanorth.cloudapp.chinacloudapi.cn)。 |
两者 | 否 | 是 |
| Sql | Azure SQL Database、Azure Database for MariaDB 和 Azure Synapse Analytics。 注意:此标记表示服务而不是服务的特定实例。 例如,标签用于表示 Azure SQL Database 的服务,而不是特定的 SQL 数据库或服务器。 此标记不适用于SQL managed instance。 |
出站 | 是 | 是 |
| SqlManagement | SQL 专用部署的管理流量。 | 两者 | 否 | 是 |
| 存储 | Azure Storage。 注意:此标记表示服务而不是服务的特定实例。 例如,该标记表示Azure Storage服务,而非特定的Azure Storage帐户。 |
出站 | 是 | 是 |
| StorageSyncService | 存储同步服务。 | 两者 | 否 | 是 |
| StorageMover | Storage Mover。 | 出站 | 是 | 是 |
| WindowsAdminCenter | 允许 Windows Admin Center 后端服务与客户安装的 Windows Admin Center 进行通信。 | 出站 | 否 | 是 |
| WindowsVirtualDesktop | Azure虚拟桌面(以前是 Windows 虚拟桌面)。 | 两者 | 否 | 是 |
| VirtualNetwork | 虚拟网络地址空间(为虚拟网络定义的所有 IP 地址范围)、所有连接的本地地址空间、对等连接的虚拟网络、连接到 虚拟网络网关 的虚拟网络、主机的 虚拟 IP 地址,以及用于 用户定义路由的地址前缀。 此标记还可能包含默认路由。 | 两者 | 否 | 否 |
注意事项
将服务标记用于Azure Firewall时,只能针对入站和出站流量创建目标规则。 不支持源规则。 有关详细信息,请参阅 Azure Firewall 服务标记文档。
Azure服务的服务标记表示所使用的特定云中的地址前缀。 例如,与 Azure 公有云上的 Sql 标记值对应的基础 IP 范围不同于21Vianet运营的 Azure 云上的基础范围。
如果为服务(如 Azure Storage 或 Azure SQL Database)实现 virtual network 服务终结点,Azure会将 route 添加到服务的virtual network子网中。 路由中的地址前缀与相应服务标记的地址前缀或 CIDR 范围相同。
用户定义的路由 (UDR) 不支持标记
当前不支持将以下标记列表用于用户定义的路由(UDR)。
- AzurePlatformDNS
- AzurePlatformIMDS
- AzurePlatformLKM
- 虚拟网络
- Azure负载均衡器
- Internet
本地服务标记
可获取服务标记和范围的当前信息,将其包含在本地防火墙配置中。 此信息是对应于每个服务标记的 IP 范围的最新列表(截止目前)。 应通过编程方式或 JSON 文件下载来获取此信息,如下述部分所述。
使用服务标记发现 API
可以编程方式检索最新的服务标记列表和 IP 地址范围详细信息:
例如,若要检索Storage服务标记的所有前缀,可以使用以下 PowerShell cmdlet:
$serviceTags = Get-AzNetworkServiceTag -Location chinaeast2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
注意事项
- API 数据表示可以在区域中与 NSG 规则一起使用的那些标记。 使用 API 数据作为可用服务标记的真相来源,因为它可能与 JSON 可下载文件不同。
- 新的服务标记数据最多需要四周时间,才能在所有 Azure 区域的 API 结果中传播。 由于此过程,API 数据结果可能与可下载的 JSON 文件不同步,因为 API 数据表示当前在可下载 JSON 文件中的标记子集。
- 必须完成身份验证,并具有一个对当前订阅拥有读取权限的角色。
使用可下载的 JSON 文件发现服务标记
可以下载包含最新服务标记列表和 IP 地址范围详细信息的 JSON 文件。 这些列表每周更新和发布。 每个云的具体位置是:
- 由世纪互联运营的 Azure
这些文件中的 IP 地址范围采用 CIDR 表示法。
提示
- 可以通过注意到 JSON 文件中增加的 changeNumber 值,检测从一个发布到下一个发布的更新。 每个子节(例如,Storage.ChinaNorth)都有自己的 changeNumber,当更改发生时会递增。 当任意子节发生更改时,文件的顶层 "changeNumber" 将会递增。
- 有关如何分析服务标记信息(例如,获取 ChinaNorth 中Storage的所有地址范围)的示例,请参阅 Service Tag Discovery API PowerShell 文档。
- 将新的 IP 地址添加到服务标记时,它们不会在Azure至少一周内使用。 可以利用这段时间更新任何可能需要跟踪与服务标记相关的 IP 地址的系统。
后续步骤
- 了解如何创建网络安全组。