公共 IP 地址
公共 IP 地址允许 Internet 资源与 Azure 资源进行入站通信。 公共 IP 地址使 Azure 资源能够与 Internet 和面向公众的 Azure 服务进行出站通信。 你将此地址专门用于该资源,直到你取消分配它。 未分配公共 IP 的资源仍可以进行出站通信。 Azure 会自动为出站通信分配可用的动态 IP 地址。 此地址并非专用于资源,并且会随着时间而改变。 有关 Azure 中的出站连接的详细信息,请参阅了解出站连接。
在 Azure Resource Manager 中,公共 IP 地址是具有其自身属性的资源。
以下资源可以与公共 IP 地址相关联:
- 虚拟机网络接口
- 虚拟机规模集
- Azure 负载均衡器(公共)
- 虚拟网络网关 (VPN/ER)
- NAT 网关
- 应用程序网关
- Azure 防火墙
- 堡垒主机
- 路由服务器
- API 管理
对于虚拟机规模集,请使用公共 IP 前缀。
下表显示了将公共 IP 可关联到资源的属性和分配方法。 目前并非所有资源类型都提供公共 IPv6 支持。
顶级资源 | IP 地址关联 | 动态 IPv4 | 静态 IPv4 | 动态 IPv6 | 静态 IPv6 |
---|---|---|---|---|---|
虚拟机 | 网络接口 | 是 | 是 | 是 | 是 |
公共负载均衡器 | 前端配置 | 是 | 是 | 是 | 是 |
虚拟网络网关 (VPN) | 网关 IP 配置 | 是(仅限非 AZ) | 是 | 否 | 否 |
虚拟网络网关 (ER) | 网关 IP 配置 | 是 | 是 | 是(预览版) | 否 |
NAT 网关 | 网关 IP 配置 | 否 | 是 | 否 | 否 |
应用程序网关 | 前端配置 | 是(仅限 V1) | 是(仅限 V2) | 否 | 否 |
Azure 防火墙 | 前端配置 | 否 | 是 | 否 | 否 |
堡垒主机 | 公共 IP 配置 | 否 | 是 | 否 | 否 |
路由服务器 | 前端配置 | 否 | 是 | 否 | 否 |
API 管理 | 前端配置 | 否 | 是 | 否 | 否 |
公共 IP 地址可使用 IPv4 或 IPv6 地址创建。 你还可以选择使用 IPv4 和 IPv6 地址创建双堆栈部署。
重要
基本 SKU 公共 IP 将于 2025 年 9 月 30 日停用。 有关详细信息,请查看官方公告。 如果当前使用的是基本 SKU 公共 IP,请确保在停用日期之前升级到标准 SKU 公共 IP。 有关升级的指导,请访问将基本公共 IP 地址升级为标准 SKU - 指导。
公共 IP 地址是使用“标准”或“基本”SKU 创建的。 SKU 决定了 IP 地址的功能,包括分配方法、功能支持以及它们可以关联到的资源。
下表中列出了完整详细信息:
公共 IP 地址 | 标准 | 基本 |
---|---|---|
分配方法 | 静态 | 对于 IPv4:动态或静态;对于 IPv6:动态。 |
空闲超时 | 具有可调整的入站发起流空闲超时,范围为 4-30 分钟,默认值为 4 分钟,出站发起流的空闲超时固定为 4 分钟。 | 具有可调整的入站发起流空闲超时,范围为 4-30 分钟,默认值为 4 分钟,出站发起流的空闲超时固定为 4 分钟。 |
安全性 | “默认安全”模型,并在用作前端时对入站流量关闭。 需要使用网络安全组 (NSG) 允许流量(例如,在附加了标准 SKU 公共 IP 的虚拟机的 NIC 上执行此操作)。 | 默认处于打开状态。 建议使用网络安全组来对入站或出站流量进行限制,但这是可选的。 |
可用性区域 | 支持。 标准 IP 可以是非区域、区域或区域冗余。 区域冗余 IP 只能在其中 3 个可用性区域均处于实时状态的区域中创建。 在区域处于活动状态之前创建的 IP 不会是区域冗余的。 | 不支持。 |
附加到后端池的虚拟机不需要将公共 IP 地址附加到公共负载均衡器。 但是如果已附加,则负载均衡器和公共 IP 资源需要匹配的 SKU。 不能混合使用基本 SKU 资源和标准 SKU 资源。 无法将独立的虚拟机、可用性集资源中的虚拟机或虚拟机规模集资源同时附加到两个 SKU。 新的设计应当考虑使用标准 SKU 资源。 有关标准负载均衡器的详细信息,请参阅标准负载均衡器。
公共 IP 具有两种类型的分配:
动态:如果选择了动态分配,不会在创建资源时向资源提供 IP 地址。 将公共 IP 地址与资源关联时会分配 IP。 停止或删除该资源时,就会释放该 IP 地址。 动态公共 IP 地址通常在不依赖于 IP 地址时使用。 例如,虚拟机在停止和启动时都会释放公共 IP 资源。 如果分配方法为动态,则会释放任何关联的 IP 地址。 如果不希望 IP 地址更改,请将分配方法设置为静态,以确保 IP 地址保持不变。
静态:创建资源时,会为资源分配一个 IP 地址。 删除该资源时,将释放此 IP 地址。 当将分配方法设置为“静态”,则无法通过指定方式将实际 IP 地址分配到公共 IP 地址资源。 Azure 会从创建资源时所在的 Azure 位置的可用 IP 地址池中分配 IP 地址。
以下情况通常使用静态公共 IP 地址:
- 必须更新防火墙规则才能与 Azure 资源通信。
- 对 DNS 名称进行解析时,如果更改了 IP 地址,则需更新 A 记录。
- Azure 资源可与使用基于 IP 地址的安全模型的其他应用或服务通信。
- 使用链接到 IP 地址的 TLS/SSL 证书。
资源 | Static | 动态 |
---|---|---|
标准公共 IPv4 | ✅ | x |
标准公共 IPv6 | ✅ | x |
基本公共 IPv4 | ✅ | ✅ |
基本公共 IPv6 | x | ✅ |
选择该选项为公共 IP 资源指定 DNS 标签。 此功能适用于 IPv4 地址(32 位 A 记录)和 IPv6 地址(128 位 AAAA 记录)。 此项选择将创建 domainnamelabel.location.chinacloudapp.cn 到 Azure 托管 DNS 中的公共 IP 的映射。
例如,使用以下设置创建公共 IP:
将 contoso 作为 domainnamelabel
中国北部 3 Azure 位置
完全限定的域名 (FQDN) contoso.chinanorth3.cloudapp.chinacloudapi.cn 解析为该资源的公共 IP 地址。
如果自定义域是使用公共 IP 的服务所需要的,则可将 Azure DNS 或外部 DNS 提供程序用于 DNS 记录。
公共 IP 还有一个可选参数,它用于域名标签范围,定义具有相同名称的对象将使用哪些域标签。 此功能有助于防止恶意行为者重复使用的“悬空 DNS 名称”。 选择此选项后,公共 IP 地址的 DNS 名称将在 domainnamelabel 和 location 字段之间有一个附加字符串(例如 contoso.fjdng2acavhkevd8.westus.cloudapp.Azure.com)。 (此字符串是根据特定于订阅、资源组、域名标签和其他属性的输入生成的哈希)。
域名标签范围只能在创建公共 IP 地址时指定。
重要
域名标签范围目前为公共预览版。 它不提供服务级别协议,不建议将其用于生产工作负荷。 有关详细信息,请参阅适用于 Azure 预览版的补充使用条款。
域名标签范围的值必须与以下选项之一匹配:
值 | 行为 |
---|---|
TenantReuse | 同一租户中同名的对象将收到相同的域标签 |
SubscriptionReuse | 同一订阅中同名的对象将收到相同的域标签 |
ResourceGroupReuse | 同一资源组中同名的对象将收到相同的域标签 |
NoReuse | 对于每个新实例,同名的对象都将收到一个新的域标签 |
例如,如果选择了 SubscriptionReuse 作为选项,并且具有示例域名标签 contoso.fjdng2acavhkevd8.chinanorth3.cloudapp.chinacloudapi.cn 的客户删除了一个公共 IP 地址并使用与之前相同的模板重新部署了该地址,则域名标签将保持不变。 如果客户在另一个订阅下使用相同的模板部署了公共 IP 地址,则域名标签将更改(例如 *contoso.c9ghbqhhbxevhzg9.chinanorth3.cloudapp.chinacloudapi.cn)。
还有可用于公共 IP 地址(仅限标准 SKU)的其他属性。
全局层选项创建可用于跨区域负载均衡器的全局任意广播 IP。
Internet 的“路由首选项”选项可最大程度地减少流量在 Microsoft 网络上花费的时间,从而降低出口数据传输成本。
Azure 中的网络限制全面列出了 IP 寻址的限制。 这些限制根据区域和订阅设置。
联系支持人员,根据业务需要增加到默认限制以上。
公共 IPv4 地址收取象征性费用;公共 IPv6 地址不收费。
有关 Azure 中 IP 地址定价的详细信息,请阅读 IP 地址定价页。
VPN 网关不能在启用了 IPv6 的虚拟网络中使用,不管是直接使用,还是通过“UseRemoteGateway”进行对等互连。
Azure 不支持容器的 IPv6 通信。
不支持使用仅限 IPv6 的虚拟机或虚拟机规模集。 每个 NIC 必须至少包含一个 IPv4 IP 配置(双堆栈)。
将 IPv6 添加到现有 IPv4 部署时,无法将 IPv6 范围添加到具有现有资源导航链接的虚拟网络。
Azure 公共 DNS 支持 IPv6 的正向 DNS。 不支持反向 DNS。
不支持路由首选项 Internet。
有关 Azure 中 IPv6 的详细信息,请参阅此处。