公共 IP 地址
公共 IP 地址允许 Internet 资源与 Azure 资源进行入站通信。 公共 IP 地址使 Azure 资源能够与 Internet 和面向公众的 Azure 服务进行出站通信。 你将此地址专门用于该资源,直到你取消分配它。 未分配公共 IP 的资源仍可以进行出站通信。 Azure 会自动为出站通信分配可用的动态 IP 地址。 此地址并非专用于资源,并且会随着时间而改变。 有关 Azure 中的出站连接的详细信息,请参阅了解出站连接。
在 Azure Resource Manager 中,公共 IP 地址是具有其自身属性的资源。
以下资源可以与公共 IP 地址相关联:
- 虚拟机网络接口
- 虚拟机规模集
- Azure 负载均衡器(公共)
- 虚拟网络网关 (VPN/ER)
- NAT 网关
- 应用程序网关
- Azure 防火墙
- 堡垒主机
- 路由服务器
- API 管理
对于虚拟机规模集,请使用公共 IP 前缀。
概览
下表显示了将公共 IP 可关联到资源的属性和分配方法。 目前并非所有资源类型都提供公共 IPv6 支持。
顶级资源 | IP 地址关联 | 动态 IPv4 | 静态 IPv4 | 动态 IPv6 | 静态 IPv6 |
---|---|---|---|---|---|
虚拟机 | 网络接口 | 是 | 是 | 是 | 是 |
公共负载均衡器 | 前端配置 | 是 | 是 | 是 | 是 |
虚拟网络网关 (VPN) | 网关 IP 配置 | 是(仅限非 AZ) | 是 | 否 | 否 |
虚拟网络网关 (ER) | 网关 IP 配置 | 是 | 是 | 是(预览版) | 否 |
NAT 网关 | 网关 IP 配置 | 否 | 是 | 否 | 否 |
应用程序网关 | 前端配置 | 是(仅限 V1) | 是(仅限 V2) | 否 | 否 |
Azure 防火墙 | 前端配置 | 否 | 是 | 否 | 否 |
堡垒主机 | 公共 IP 配置 | 否 | 是 | 否 | 否 |
路由服务器 | 前端配置 | 否 | 是 | 否 | 否 |
API 管理 | 前端配置 | 否 | 是 | 否 | 否 |
IP 地址版本
公共 IP 地址可使用 IPv4 或 IPv6 地址创建。 你还可以选择使用 IPv4 和 IPv6 地址创建双堆栈部署。
SKU
重要
基本 SKU 公共 IP 将于 2025 年 9 月 30 日停用。 有关详细信息,请查看官方公告。 如果当前使用的是基本 SKU 公共 IP,请确保在停用日期之前升级到标准 SKU 公共 IP。 有关升级的指导,请访问将基本公共 IP 地址升级为标准 SKU - 指导。
公共 IP 地址是使用“标准”或“基本”SKU 创建的。 SKU 决定了 IP 地址的功能,包括分配方法、功能支持以及它们可以关联到的资源。
下表中列出了完整详细信息:
公共 IP 地址 | 标准 | 基本 |
---|---|---|
分配方法 | 静态 | 对于 IPv4:动态或静态;对于 IPv6:动态。 |
空闲超时 | 具有可调整的入站发起流空闲超时,范围为 4-30 分钟,默认值为 4 分钟,出站发起流的空闲超时固定为 4 分钟。 | 具有可调整的入站发起流空闲超时,范围为 4-30 分钟,默认值为 4 分钟,出站发起流的空闲超时固定为 4 分钟。 |
安全性 | “默认安全”模型,并在用作前端时对入站流量关闭。 需要使用网络安全组 (NSG) 允许流量(例如,在附加了标准 SKU 公共 IP 的虚拟机的 NIC 上执行此操作)。 | 默认处于打开状态。 建议使用网络安全组来对入站或出站流量进行限制,但这是可选的。 |
可用性区域 | 支持。 标准 IP 可以是非区域、区域或区域冗余。 区域冗余 IP 只能在其中 3 个可用性区域均处于实时状态的区域中创建。 在区域处于活动状态之前创建的 IP 不会是区域冗余的。 | 不支持。 |
附加到后端池的虚拟机不需要将公共 IP 地址附加到公共负载均衡器。 但是如果已附加,则负载均衡器和公共 IP 资源需要匹配的 SKU。 不能混合使用基本 SKU 资源和标准 SKU 资源。 无法将独立的虚拟机、可用性集资源中的虚拟机或虚拟机规模集资源同时附加到两个 SKU。 新的设计应当考虑使用标准 SKU 资源。 有关标准负载均衡器的详细信息,请参阅标准负载均衡器。
IP 地址分配
公共 IP 具有两种类型的分配:
动态:如果选择了动态分配,不会在创建资源时向资源提供 IP 地址。 将公共 IP 地址与资源关联时会分配 IP。 停止或删除该资源时,就会释放该 IP 地址。 动态公共 IP 地址通常在不依赖于 IP 地址时使用。 例如,虚拟机在停止和启动时都会释放公共 IP 资源。 如果分配方法为动态,则会释放任何关联的 IP 地址。 如果不希望 IP 地址更改,请将分配方法设置为静态,以确保 IP 地址保持不变。
静态:创建资源时,会为资源分配一个 IP 地址。 删除该资源时,将释放此 IP 地址。 当将分配方法设置为“静态”,则无法通过指定方式将实际 IP 地址分配到公共 IP 地址资源。 Azure 会从创建资源时所在的 Azure 位置的可用 IP 地址池中分配 IP 地址。
以下情况通常使用静态公共 IP 地址:
- 必须更新防火墙规则才能与 Azure 资源通信。
- 对 DNS 名称进行解析时,如果更改了 IP 地址,则需更新 A 记录。
- Azure 资源可与使用基于 IP 地址的安全模型的其他应用或服务通信。
- 使用链接到 IP 地址的 TLS/SSL 证书。
资源 | Static | 动态 |
---|---|---|
标准公共 IPv4 | ✅ | x |
标准公共 IPv6 | ✅ | x |
基本公共 IPv4 | ✅ | ✅ |
基本公共 IPv6 | x | ✅ |
域名标签
选择该选项为公共 IP 资源指定 DNS 标签。 此功能适用于 IPv4 地址(32 位 A 记录)和 IPv6 地址(128 位 AAAA 记录)。 此项选择将创建 domainnamelabel.location.chinacloudapp.cn 到 Azure 托管 DNS 中的公共 IP 的映射。
例如,使用以下设置创建公共 IP:
将 contoso 作为 domainnamelabel
中国北部 3 Azure 位置
完全限定的域名 (FQDN) contoso.chinanorth3.cloudapp.chinacloudapi.cn 解析为该资源的公共 IP 地址。
如果自定义域是使用公共 IP 的服务所需要的,则可将 Azure DNS 或外部 DNS 提供程序用于 DNS 记录。
域名标签范围(预览版)
公共 IP 还有一个可选参数,它用于域名标签范围,定义具有相同名称的对象将使用哪些域标签。 此功能有助于防止恶意行为者重复使用的“悬空 DNS 名称”。 选择此选项后,公共 IP 地址的 DNS 名称将在 domainnamelabel 和 location 字段之间有一个附加字符串(例如 contoso.fjdng2acavhkevd8.westus.cloudapp.Azure.com)。 (此字符串是根据特定于订阅、资源组、域名标签和其他属性的输入生成的哈希)。
域名标签范围只能在创建公共 IP 地址时指定。
重要
域名标签范围目前为公共预览版。 它不提供服务级别协议,不建议将其用于生产工作负荷。 有关详细信息,请参阅适用于 Azure 预览版的补充使用条款。
域名标签范围的值必须与以下选项之一匹配:
值 | 行为 |
---|---|
TenantReuse | 同一租户中同名的对象将收到相同的域标签 |
SubscriptionReuse | 同一订阅中同名的对象将收到相同的域标签 |
ResourceGroupReuse | 同一资源组中同名的对象将收到相同的域标签 |
NoReuse | 对于每个新实例,同名的对象都将收到一个新的域标签 |
例如,如果选择了 SubscriptionReuse 作为选项,并且具有示例域名标签 contoso.fjdng2acavhkevd8.chinanorth3.cloudapp.chinacloudapi.cn 的客户删除了一个公共 IP 地址并使用与之前相同的模板重新部署了该地址,则域名标签将保持不变。 如果客户在另一个订阅下使用相同的模板部署了公共 IP 地址,则域名标签将更改(例如 *contoso.c9ghbqhhbxevhzg9.chinanorth3.cloudapp.chinacloudapi.cn)。
其他公共 IP 地址功能
还有可用于公共 IP 地址(仅限标准 SKU)的其他属性。
全局层选项创建可用于跨区域负载均衡器的全局任意广播 IP。
Internet 的“路由首选项”选项可最大程度地减少流量在 Microsoft 网络上花费的时间,从而降低出口数据传输成本。
限制
Azure 中的网络限制全面列出了 IP 寻址的限制。 这些限制根据区域和订阅设置。
联系支持人员,根据业务需要增加到默认限制以上。
定价
公共 IPv4 地址收取象征性费用;公共 IPv6 地址不收费。
有关 Azure 中 IP 地址定价的详细信息,请阅读 IP 地址定价页。
IPv6 的限制
VPN 网关不能在启用了 IPv6 的虚拟网络中使用,不管是直接使用,还是通过“UseRemoteGateway”进行对等互连。
Azure 不支持容器的 IPv6 通信。
不支持使用仅限 IPv6 的虚拟机或虚拟机规模集。 每个 NIC 必须至少包含一个 IPv4 IP 配置(双堆栈)。
将 IPv6 添加到现有 IPv4 部署时,无法将 IPv6 范围添加到具有现有资源导航链接的虚拟网络。
Azure 公共 DNS 支持 IPv6 的正向 DNS。 不支持反向 DNS。
不支持路由首选项 Internet。
有关 Azure 中 IPv6 的详细信息,请参阅此处。