公共 IP 地址

公共 IP 地址允许 Internet 资源与 Azure 资源进行入站通信。 公共 IP 地址使 Azure 资源能够与 Internet 和面向公众的 Azure 服务进行出站通信。 此地址专门用于该资源,直到你对其取消分配。 无公共 IP 的资源可以进行出站通信。 Azure 会动态分配非专用于该资源的可用 IP 地址。 有关 Azure 中的出站连接的详细信息,请参阅了解出站连接

在 Azure Resource Manager 中,公共 IP 地址是具有其自身属性的资源。 可与公共 IP 地址资源关联的部分资源包括:

  • 虚拟机网络接口
  • 虚拟机规模集
  • 公共负载均衡器
  • 虚拟网络网关 (VPN/ER)
  • NAT 网关
  • 应用程序网关
  • Azure 防火墙
  • 堡垒主机

对于虚拟机规模集,请使用公共 IP 前缀

概览

下表显示了将公共 IP 可关联到资源的属性和分配方法。 请注意,目前并非所有资源类型都提供对公共 IPv6 的支持。

顶级资源 IP 地址关联 动态 IPv4 静态 IPv4 动态 IPv6 静态 IPv6
虚拟机 Linux
公共负载均衡器 前端配置
虚拟网络网关 (VPN) 网关 IP 配置 是(仅限非 AZ)
虚拟网络网关 (ER) 网关 IP 配置 是(预览版)
NAT 网关 网关 IP 配置
应用程序网关 前端配置 是(仅限 V1) 是(仅限 V2)
Azure 防火墙 前端配置
堡垒主机 公共 IP 配置

IP 地址版本

公共 IP 地址可使用 IPv4 或 IPv6 地址创建。 你还可以选择使用 IPv4 和 IPv6 地址创建双堆栈部署。

SKU

使用以下 SKU 之一创建公共 IP 地址:

公共 IP 地址 标准 基本
分配方法 静态 对于 IPv4:动态或静态;对于 IPv6:动态。
空闲超时 具有可调整的入站发起流空闲超时,范围为 4-30 分钟,默认值为 4 分钟,出站发起流的空闲超时固定为 4 分钟。 具有可调整的入站发起流空闲超时,范围为 4-30 分钟,默认值为 4 分钟,出站发起流的空闲超时固定为 4 分钟。
安全性 “默认安全”模型,并在用作前端时对入站流量关闭。 需要使用网络安全组 (NSG) 允许流量(例如,在附加了标准 SKU 公共 IP 的虚拟机的 NIC 上执行此操作)。 默认处于打开状态。 建议使用网络安全组来对入站或出站流量进行限制,但这是可选的。
可用性区域 。 标准 IP 可以是非区域、区域或区域冗余。 区域冗余 IP 只能在其中 3 个可用性区域均处于实时状态的区域中创建。 在区域处于活动状态之前创建的 IP 不会是区域冗余的。 不支持。

备注

基本 SKU IPv4 地址可在创建后升级到标准 SKU。 若要了解有关 SKU 升级的信息,请参阅公共 IP 升级

重要

负载均衡器和公共 IP 资源需要匹配的 SKU。 不能混合使用基本 SKU 资源和标准 SKU 资源。 无法将独立的虚拟机、可用性集资源中的虚拟机或虚拟机规模集资源同时附加到两个 SKU。 新的设计应当考虑使用标准 SKU 资源。 有关详细信息,请查看标准负载均衡器

IP 地址分配

公共 IP 具有两种类型的分配:

  • 静态:创建资源时,会为资源分配一个 IP 地址。 删除该资源时,将释放此 IP 地址。
  • 动态:如果选择了动态分配,不会在创建资源时向资源提供 IP 地址。 将公共 IP 地址与资源关联时会分配 IP。 停止(或删除)该资源时,就会释放该 IP 地址

以下情况通常使用静态公共 IP 地址:

  • 必须更新防火墙规则才能与 Azure 资源通信。
  • 对 DNS 名称进行解析时,如果更改了 IP 地址,则需更新 A 记录。
  • Azure 资源可与使用基于 IP 地址的安全模型的其他应用或服务通信。
  • 使用链接到 IP 地址的 TLS/SSL 证书。

备注

即使将分配方法设置为“静态”,也无法通过指定方式将实际 IP 地址分配到公共 IP 地址资源。 Azure 会从创建资源时所在的 Azure 位置的可用 IP 地址池中分配 IP 地址。

基本公共 IP 地址通常用于不依赖于 IP 地址时。 例如,从名为“资源 A”的资源释放公共 IP 资源。如果重新分配了公共 IP 资源,则“资源 A”将在启动时接收另一个 IP。 如果分配方法从静态更改为动态,就会释放任何关联的 IP 地址 。 如果将分配方法从动态更改为静态,则任何关联的 IP 地址都保持不变。 可将分配方法设置为静态,以确保 IP 地址始终相同。

资源 Static 动态
标准公共 IPv4 x
标准公共 IPv6 x
基本公共 IPv4
基本公共 IPv6 x

DNS 名称标签

选择该选项为公共 IP 资源指定 DNS 标签。 此功能适用于 IPv4 地址(32 位 A 记录)和 IPv6 地址(128 位 AAAA 记录)。 选择后,会为 domainnamelabel.location.cloudapp.chinacloudapi.cn 创建一个到 Azure 托管 DNS 中的公共 IP 的映射 。

例如,创建公共 IP,其中:

  • 将 contoso 作为 domainnamelabel
  • 中国北部 3 Azure 位置

完全限定的域名 (FQDN) contoso.chinanorth3.cloudapp.chinacloudapi.cn 解析为该资源的公共 IP 地址。

重要

所创建的每个域名标签在其 Azure 位置必须是唯一的。

如果自定义域是使用公共 IP 的服务所需要的,则可将 Azure DNS 或外部 DNS 提供程序用于 DNS 记录。

可用性区域

标准 SKU 公共 IP 地址可以创建为非区域公共 IP 地址、区域公共 IP 地址或支持可用性区域的区域中的区域冗余公共 IP 地址。 区域冗余 IP 是在一个地区的所有区域中创建的,可以承受任何单区域故障。 区域 IP 绑定到特定可用性区域,其命运与该区域的运行状况息息相关。 “非区域”公共 IP 地址由 Azure 放置在区域中,不保证冗余。

在没有可用性区域的区域中,所有公共 IP 地址都创建为非区域公共 IP 地址。 在后来升级为具有可用性区域的区域中创建的公共 IP 地址将保持非区域性。

注意

所有基本 SKU 公共 IP 地址都创建为非区域公共 IP 地址。 从基本 SKU 升级到标准 SKU 的任何 IP 都将保持非区域性。

其他公共 IP 地址功能

注意

Azure 会为未分配公共 IP 地址的 VM 或位于内部基本 Azure 负载均衡器的后端池中的 VM 提供默认出站访问 IP。 默认出站访问 IP 机制会提供不可配置的出站 IP 地址。

当将公共 IP 地址分配给 VM、将 VM 放置在具有或不具有出站规则的标准负载均衡器的后端池中,或者将 Azure 虚拟网络 NAT 网关资源分配给 VM 的子网时,默认禁用出站访问 IP。

有关 Azure 中的出站连接的详细信息,请参阅 Azure 中的默认出站访问权限使用用于出站连接的源网络地址转换 (SNAT)

限制

Azure 中的网络限制全面列出了 IP 寻址的限制。 这些限制根据区域和订阅设置。 联系支持人员,根据业务需要增加到默认限制以上。

定价

公共 IPv4 地址收取象征性费用;公共 IPv6 地址不收费。 有关 Azure 中 IP 地址定价的详细信息,请阅读 IP 地址定价页。

IPv6 的限制

  • VPN 网关不能在启用了 IPv6 的虚拟网络中使用,直接使用或与“UseRemoteGateway”对等互连均不能。

  • 公共 IPv6 地址空闲超时 4 分钟就会锁定。

  • Azure 不支持容器的 IPv6 通信。

  • 不支持使用仅限 IPv6 的虚拟机或虚拟机规模集。 每个 NIC 必须至少包含一个 IPv4 IP 配置(双堆栈)。

  • 将 IPv6 添加到现有 IPv4 部署时,无法将 IPv6 范围添加到具有现有资源导航链接的虚拟网络。

  • Azure 公共 DNS 支持 IPv6 的正向 DNS。 不支持反向 DNS。

有关 Azure 中 IPv6 的详细信息,请参阅此处

后续步骤