Azure Monitor 终结点访问和防火墙配置

2025/07/18

If your monitored application or infrastructure is behind a firewall, you need to configure network access to allow communication with Azure Monitor services.

Azure Monitor uses service tags, which provide a more reliable and dynamic way to manage network access. 服务标记会定期更新，并且可以通过 API 检索，确保你拥有最新的可用 IP 地址信息，而无需手动更新。

如果使用 Azure 网络安全组，则可以 Azure 网络服务标记管理访问权限。 For hybrid or on-premises resources, you can download the equivalent IP address lists as JSON files, which are refreshed weekly. 若要涵盖所有必要的异常，请使用服务标记 ActionGroup、ApplicationInsightsAvailability和 AzureMonitor。有关详细信息，请参阅 Azure 服务标记概述。

备注

所有 Application Insights 流量都表示出站流量，但可用性监视和 Webhook作组除外，这些组还需要入站防火墙规则。
服务标记不会替换客户 Azure 资源和其他服务标记资源之间跨租户通信所需的验证/身份验证检查。

Outgoing ports

需要在服务器的防火墙中打开一些传出端口，才能允许 Application Insights SDK 或 Application Insights 代理将数据发送到门户。

Purpose	Hostname	类型	Ports
Telemetry	`dc.applicationinsights.azure.cn` `dc.applicationinsights.microsoft.com` `dc.services.visualstudio.com` `{region}.in.applicationinsights.azure.cn`	Global Global Global Regional	443
Live Metrics	`live.applicationinsights.azure.cn` `rt.applicationinsights.microsoft.com` `rt.services.visualstudio.com` `{region}.livediagnostics.monitor.azure.cn` `{region}`示例：`chinanorth2`	Global Global Global Regional	443

备注

Application Insights 引入终结点仅支持 IPv4。

Application Insights 代理

仅在你进行更改时才需要 Application Insights 代理配置。

Purpose	Hostname	Ports
Configuration	`management.core.chinacloudapi.cn`	`443`
Configuration	`management.chinacloudapi.cn`	`443`
Configuration	`login.chinacloudapi.cn`	`443`
Configuration	`login.partner.microsoftonline.cn`	`443`
Configuration	`secure.aadcdn.partner.microsoftonline-p.cn`	`443`
Configuration	`auth.gfx.ms`	`443`
Configuration	`login.live.com`	`443`
Installation	`globalcdn.nuget.org`、、`packages.nuget.orgapi.nuget.org/v3/index.jsonnuget.org`、、 `api.nuget.orgdc.services.vsallin.net`	`443`

Availability tests

日志查询 API 终结点

从 2025 年 7 月 1 日起，Log Analytics 会强制实施 TLS 1.2 或更高版本进行安全通信。有关详细信息，请参阅传输中的安全日志数据。

Purpose	Hostname	Ports
Application Insights	`api.applicationinsights.io` `api1.applicationinsights.io` `api2.applicationinsights.io` `api3.applicationinsights.io` `api4.applicationinsights.io` `api5.applicationinsights.io` `api.applicationinsights.azure.cn` `*.api.applicationinsights.azure.cn`	443
Log Analytics	`api.loganalytics.io` `.api.loganalytics.io` `api.loganalytics.azure.cn` `api.monitor.azure.cn` `.api.monitor.azure.cn`	443
Azure 数据资源管理器	`ade.loganalytics.io` `ade.applicationinsights.io` `adx.monitor.azure.cn` `.adx.monitor.azure.cn` `.adx.applicationinsights.azure.cn` `adx.applicationinsights.azure.cn` `adx.loganalytics.azure.com` `*.adx.loganalytics.azure.com`	443

记录引入 API 终结点

从 2026 年 3 月 1 日开始，日志引入会强制实施 TLS 1.2 或更高版本的安全通信。有关详细信息，请参阅传输中的安全日志数据。

Purpose	Hostname	Ports
日志引入 API	`.ingest.monitor.azure.cn` `prod.la.ingest.monitor.core.windows.NET` `.prod.la.ingestion.msftcloudes.com` `prod.la.ingestion.msftcloudes.com` `*.prod.la.ingest.monitor.core.windows.NET`	443

Application Insights 分析

Purpose	Hostname	Ports
CDN （内容分发网络）	`applicationanalytics.azureedge.net`	80,443
Media CDN	`applicationanalyticsmedia.azureedge.net`	80,443

Application Insights 团队拥有 *.applicationinsights.io 域。

Log Analytics 门户

Purpose	Hostname	Ports
Portal	`portal.loganalytics.io`	443

Log Analytics 团队拥有 *.loganalytics.io 域。

Application Insights Azure 门户扩展

Purpose	Hostname	Ports
Application Insights 扩展	`stamp2.app.insightsportal.visualstudio.com`	80,443
Application Insights 扩展 CDN	`insightsportal-prod2-cdn.aisvc.visualstudio.com` `insightsportal-prod2-asiae-cdn.aisvc.visualstudio.com` `insightsportal-cdn-aimon.applicationinsights.io`	80,443

Application Insights SDK （软件开发工具包）

Purpose	Hostname	Ports
Application Insights JS SDK CDN	`az416426.vo.msecnd.net` `js.monitor.azure.com`	80,443

操作组 Webhook

可使用 Get-AzNetworkServiceTag PowerShell 命令查询操作组使用的 IP 地址列表。

操作组服务标记

管理对源 IP 地址的更改可能会非常耗时。 Using service tags eliminates the need to update your configuration. 服务标记表示来自特定 Azure 服务的一组 IP 地址前缀。 Microsoft 会管理 IP 地址，并在地址更改时自动更新服务标记，而无需更新操作组的网络安全规则。

In the Azure portal under Azure Services, search for Network Security Group.
Select Add and create a network security group:
1. Add the resource group name, and then enter Instance details information.
2. 选择查看 + 创建，然后选择创建。
Go to Resource Group, and then select the network security group you created:
1. 选择“入站安全规则”。
2. Select Add.
右侧窗格中将打开一个新窗口：
1. Under Source, enter Service Tag.
2. 在“源服务”标记下，输入 ActionGroup。
3. Select Add.

Application Insights Profiler (.NET)

Purpose	Hostname	Ports
Agent	`agent.azureserviceprofiler.net` `*.agent.azureserviceprofiler.net` `profiler.monitor.azure.cn`	443
Portal	`gateway.azureserviceprofiler.net` `dataplane.diagnosticservices.azure.com`	443
存储	`*.core.chinacloudapi.cn`	443

Snapshot Debugger

备注

用于 .NET 的 Application Insights Profiler 和 Snapshot Debugger 共享同一组 IP 地址。

Purpose	Hostname	Ports
Agent	`agent.azureserviceprofiler.net` `*.agent.azureserviceprofiler.net` `snapshot.monitor.azure.cn`	443
Portal	`gateway.azureserviceprofiler.net` `dataplane.diagnosticservices.azure.com`	443
存储	`*.core.chinacloudapi.cn`	443

常见问题

本部分提供常见问题的解答。

是否可以监视 Intranet Web 服务器？

是的，但你需要允许防火墙例外或代理重定向到我们的服务的流量。

请参阅 Azure Monitor 使用的 IP 地址，以查看服务和 IP 地址的完整列表。

如何将流量从我的服务器重新路由到我 Intranet 上的网关？

通过重写配置中的终结点，将流量从服务器路由到 Intranet 上的网关。如果配置中不存在 Endpoint 属性，则这些类使用 azure Monitor 使用的IP 地址中记录的默认值。

你的网关应将流量路由到我们的终结点的基址。在你的配置中，将默认值替换为 http://<your.gateway.address>/<relative path>。

如果我的产品不支持服务标记，该怎么办？

如果产品不支持服务标记，请执行以下步骤以确保完全连接：

检查可下载的 Azure IP 范围和服务标记 JSON 文件中的最新 IP 范围，以每周更新一次。
查看防火墙日志，了解阻止的请求，并根据需要更新允许列表。

有关详细信息，请参阅 Azure 服务标记概述。

通过