علامات خدمة الشبكة الظاهرية
تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. تقوم Microsoft بإدارة بادئات العناوين التي تشملها علامة الخدمة، كما تقوم بتحديث علامة الخدمة تلقائيًا مع تغيير العناوين، ما يقلل من تعقيد التحديثات المتكررة لقواعد أمان الشبكة.
هام
بينما تبسط علامات الخدمة القدرة على تمكين قوائم التحكم في الوصول المستندة إلى IP (ACLs)، فإن علامات الخدمة وحدها ليست كافية لتأمين حركة المرور دون النظر في طبيعة الخدمة وحركة المرور التي ترسلها. لمزيد من المعلومات حول قوائم التحكم بالوصول المستندة إلى IP، راجع ما هي قائمة التحكم في الوصول المستندة إلى IP (ACL)؟.
يمكن العثور على معلومات إضافية حول طبيعة حركة المرور لاحقا في هذه المقالة لكل خدمة وعلامة لها. من المهم التأكد من أنك على دراية بنسبة استخدام الشبكة التي تسمح بها عند استخدام علامات الخدمة لقوائم التحكم بالوصول المستندة إلى IP. ضع في اعتبارك مستويات إضافية من الأمان لحماية بيئتك.
يمكنك استخدام علامات الخدمة لتعريف عناصر التحكم في الوصول إلى الشبكة على مجموعات أمان الشبكة أو جدار حماية Azure، والمسارات من تعريف المستخدم. استخدم علامات الخدمة بدلاً من عناوين IP معينة عند إنشاء قواعد ومسارات الأمان. من خلال تحديد اسم علامة الخدمة مثل ApiManagement في حقل المصدر أو الوجهة المناسب لقاعدة أمان، يمكنك تعديل نقل البيانات للخدمة المقابلة. من خلال تحديد اسم علامة الخدمة في بادئة عنوان المسار، يمكنك توجيه نسبة استخدام الشبكة المخصصة لأي من البادئات المغلفة بعلامة الخدمة إلى نوع وثب تالٍ مطلوب.
يمكنك استخدام علامات الخدمة لتحقيق عزل الشبكة وحماية موارد Azure خاصتك من الإنترنت العام مع إمكانية الوصول إلى خدمات Azure التي تحتوي على نقاط نهاية عامة. قم بإنشاء قواعد مجموعة أمان الشبكة الواردة/الصادرة لرفض نسبة استخدام الشبكة من وإلى الإنترنت والسماح بنسبة استخدام الشبكة إلى/من AzureCloud أو غيرها من علامات الخدمة المتوفرة لخدمات Azure محددة.
علامات الخدمة المتوفرة
يتضمن الجدول التالي كل علامات الخدمة المتوفرة للاستخدام في قواعد مجموعة الأمان للشبكة.
تشير الأعمدة إلى ما إذا كانت العلامة:
- مناسبة للقواعد التي تغطي نسبة استخدام الشبكة الواردة أو الصادرة.
- تدعم النطاق الإقليمي.
- قابل للاستخدام في قواعد جدار حماية Azure كقاعدة وجهة فقط لنسبة استخدام الشبكة الواردة أو الصادرة.
تعكس علامات الخدمة بشكل افتراضي نطاقات السحابة بأكملها. تسمح بعض علامات الخدمة أيضًا بمزيد من التحكم الدقيق عن طريق تقييد نطاقات IP المطابقة لمنطقة محددة. على سبيل المثال، علامة خدمة التخزين تمثل Azure Storage للسحابة بأكملها، ولكن Storage.WestUS يضيق النطاق إلى نطاقات عناوين IP للتخزين فقط من منطقة WestUS. يشير الجدول التالي إلى ما إذا كانت كل علامة خدمة تدعم هذا النطاق الإقليمي، والاتجاه المدرج لكل علامة هو توصية. على سبيل المثال، يمكن استخدام علامة AzureCloud للسماح بنسبة استخدام الشبكة الواردة. في معظم السيناريوهات، لا نوصي بالسماح بنسبة استخدام الشبكة من جميع عناوين IP في Azure نظراً لأن عناوين IP المستخدمة من قبل عملاء Azure الآخرين يتم تضمينها كجزء من علامة الخدمة.
| العلامة | الغرض | هل يمكن استخدام الوارد أو الصادر؟ | هل يمكن أن تكون إقليمية؟ | هل يمكن استخدامها مع جدار Azure Firewall؟ |
|---|---|---|---|---|
| مجموعة الإجراءات | مجموعة الإجراء. | وارد | لا | نعم |
| إدارة واجهة برمجة التطبيقات | إدارة نسبة استخدام الشبكة الخاصة بعمليات التوزيع المخصصة لإدارة Azure API. ملاحظة: تمثل هذه العلامة نقطة تقديم خدمة APIM Azure لعنصر التحكم لكل منطقة. والعلامة تمكن العملاء من تنفيذ عمليات الإدارة على واجهات برمجة التطبيقات والعمليات والنُهج وNamedValues المكونة على خدمة APIM. |
وارد | نعم | نعم |
| توفر ApplicationInsights | توفر Application Insights. | وارد | لا | نعم |
| تكوين التطبيق | تكوين التطبيق. | صادر | لا | نعم |
| AppService | خدمة تطبيق Azure. يوصى بهذه العلامة لقواعد الأمان الصادرة لتطبيقات الويب وتطبيقات الوظائف. ملاحظة: لا تتضمن هذه العلامة عناوين IP المعينة عند استخدام SSL المستندة إلى IP (العنوان المعين من قبل التطبيق). |
صادر | نعم | نعم |
| إدارة AppService | إدارة نسبة استخدام الشبكة للنشر مخصصة لبيئة خدمة التطبيقات. | كلاهما | لا | نعم |
| AzureActiveDirectory | Microsoft Entra ID Services. تتضمن هذه العلامة تسجيل الدخول وMS Graph وخدمات إنترا الأخرى غير المدرجة خصيصا في هذا الجدول | صادر | لا | نعم |
| AzureActiveDirectoryDomainServices | إدارة نسبة استخدام الشبكة للتوزيعات المخصصة لخدمات مجال Microsoft Entra. | كلاهما | لا | نعم |
| AzureAdvancedThreatProtection | Microsoft Defender for Identity. | صادر | لا | نعم |
| البنية الأساسية ل AzureArc | خوادم مُمكّن عليها Azure Arc وKubernetes مُمكّن عليه Azure Arc ونسبة استخدام الشبكة لتكوين الضيف. ملاحظة: هذه العلامة تعتمد على العلامات AzureActiveDirectory، وAzureTrafficManager، وAzureResourceManager. |
صادر | لا | نعم |
| AzureAttestation | Azure Attestation. | صادر | لا | نعم |
| AzureBackup | النسخ الاحتياطي لـ Azure. ملاحظة: هذه العلامة لها تبعية على العلامتين Storage وAzureActiveDirectory. |
صادر | لا | نعم |
| AzureBotService | Azure Bot Service. | كلاهما | لا | نعم |
| AzureCloud | جميع عناوين IP العامة لمركز البيانات. لا تتضمن هذه العلامة IPv6. | كلاهما | نعم | نعم |
| البحث عن AzureCognitiveSearch | Azure الذكاء الاصطناعي Search. تحدد هذه العلامة نطاقات IP لبيئات التنفيذ متعددة المستأجرين المستخدمة من قبل خدمة البحث للفهرسة المستندة إلى المفهرس. ملاحظة: عنوان IP لخدمة البحث نفسها غير مشمول بعلامة الخدمة هذه. في تكوين جدار الحماية لمورد Azure الخاص بك، يجب تحديد علامة الخدمة وأيضا عنوان IP المحدد لخدمة البحث نفسها. |
وارد | لا | نعم |
| موصلات Azure | تمثل هذه العلامة عناوين IP المستخدمة للموصلات المدارة التي تقوم بإجراء عمليات استدعاء لخطاف الويب الوارد إلى خدمة Azure Logic Apps وعمليات الاستدعاء الصادرة إلى خدماتها الخاصة، على سبيل المثال، Azure Storage أو Azure Event Hubs. | كلاهما | نعم | نعم |
| AzureContainerAppsService | Azure Container Apps Service | كلاهما | نعم | لا |
| AzureContainerRegistry | Azure Container Registry. | صادر | نعم | نعم |
| AzureCosmosDB | قاعدة بيانات Azure Cosmos. | صادر | نعم | نعم |
| AzureDatabricks | Azure Databricks. | كلاهما | لا | نعم |
| إدارة AzureDataExplorer | Azure Data Explorer Management. | وارد | لا | نعم |
| AzureDeviceUpdate | قم بتحديث الأجهزة لـ IoT Hub. | كلاهما | لا | نعم |
| AzureDevOps | Azure DevOps. | وارد | نعم | نعم |
| AzureDigitalTwins | Azure Digital Twins. ملاحظة: يمكن استخدام هذه العلامة أو عناوين IP التي تغطيها هذه العلامة لتقييد الوصول إلى نقاط النهاية المكونة لمسارات الأحداث. |
وارد | لا | نعم |
| AzureEventGrid | Azure Event Grid. | كلاهما | لا | نعم |
|
AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty |
تحتوي علامة خدمة الواجهة الأمامية على عناوين IP التي يستخدمها العملاء للوصول إلى Front Door. يمكنك تطبيق علامة خدمة AzureFrontDoor.Frontend عندما تريد التحكم في نسبة استخدام الشبكة الصادرة التي يمكنها الاتصال بالخدمات خلف Azure Front Door. تحتوي علامة خدمة الواجهة الخلفية على عناوين IP التي يستخدمها Azure Front Door للوصول إلى أصولك. يمكنك تطبيق علامة الخدمة هذه عند تكوين الأمان لأصولك. FirstParty هي علامة خاصة محجوزة لمجموعة محددة من خدمات Microsoft مستضافة على Azure Front Door. | كلاهما | نعم | نعم |
| AzureHealthcareAPIs | يمكن استخدام عناوين IP التي تغطيها هذه العلامة لتقييد الوصول إلى خدمات بيانات الحالة في Azure. | كلاهما | لا | نعم |
| AzureInformationProtection | حماية البيانات في Azure. ملحوظة: هذه العلامة تعتمد على العلامات AzureActiveDirectory وAzureFrontDoor.Frontend و AzureFrontDoor.FirstParty. |
صادر | لا | نعم |
| AzureIoTHub | Azure IoT Hub. | صادر | نعم | نعم |
| AzureKeyVault | Azure Key Vault. ملحوظة: هذه العلامة لها تبعية في العلامة AzureActiveDirectory. |
صادر | نعم | نعم |
| AzureLoadBalancer | موازنة التحميل لبنية Azure الأساسية. تُترجم العلامة إلى عنوان IP الظاهري للمضيف (168.63.129.16) حيث تنشأ تحقيقات سلامة Azure. وهذا يشمل فقط نسبة استخدام شبكة التحقيق، وليس نسبة استخدام الشبكة الحقيقية لمورد الخلفية الخاصة بك. إذا كنت لا تستخدم Azure Load Balancer، يمكنك تجاوز هذه القاعدة. | كلاهما | لا | لا |
| AzureMachineLearningInference | يتم استخدام علامة الخدمة هذه لتقييد دخول الشبكة العامة في سيناريوهات الاستدلال المدارة للشبكة الخاصة. | وارد | لا | نعم |
| AzureManagedGrafana | نقطة نهاية مثيل Azure Managed Grafana. | صادر | لا | نعم |
| AzureMonitor | Log Analytics وApplication Insights وAzure Monitor Workspace وAzMon والمقاييس المخصصة (نقاط نهاية GiG). ملاحظة: بالنسبة لعامل Azure Monitor، مطلوب AzureResourceManager أيضا. بالنسبة لعامل Log Analytics، تكون علامة التخزين مطلوبة أيضا. إذا تم استخدام عوامل Linux Log Analytics، فإن علامة GuestAndHybridManagement مطلوبة أيضا. (القديمة تم إهمال عامل Log Analytics اعتبارا من 31 أغسطس 2024.) |
صادر | لا | نعم |
| مجموعات بيانات AzureOpenDatasets | مجموعات بيانات Azure المفتوحة. ملاحظة: هذه العلامة لها تبعية على AzureFrontDoor.Frontend وعلامة Storage. |
صادر | لا | نعم |
| AzurePlatformDNS | البنية الأساسية (الافتراضية) لخدمة DNS. يمكنك استخدام هذه العلامة لتعطيل DNS الافتراضية. كن حذرًا عند استخدام هذه العلامة. نوصي بقراءة اعتبارات النظام الأساسي لـ Azure. نوصي أيضًا بإجراء الاختبار قبل استخدام هذه العلامة. |
صادر | لا | لا |
| AzurePlatformIMDS | Azure Instance Metadata Service (IMDS)، وهي خدمة بنية أساسية رئيسية. يمكنك استخدام هذه العلامة لتعطيل IMDS الافتراضي. كن حذرًا عند استخدام هذه العلامة. نوصي بقراءة اعتبارات النظام الأساسي لـ Azure. نوصي أيضًا بإجراء الاختبار قبل استخدام هذه العلامة. |
صادر | لا | لا |
| AzurePlatformLKM | ترخيص Windows أو خدمة إدارة المفاتيح. يمكنك استخدام هذه العلامة لتعطيل الإعدادات الافتراضية للترخيص. كن حذرًا عند استخدام هذه العلامة. نوصي بقراءة اعتبارات النظام الأساسي لـ Azure. نوصي أيضًا بإجراء الاختبار قبل استخدام هذه العلامة. |
صادر | لا | لا |
| AzureResourceManager | Azure Resource Manager . | صادر | لا | نعم |
| AzureSentinel | Microsoft Sentinel. | وارد | لا | نعم |
| AzureSignalR | Azure SignalR. | صادر | لا | نعم |
| AzureSiteRecovery | خدمة استرداد الموقع من Azure. ملحوظة: هذه العلامة لها تبعية على العلامات AzureActiveDirectory وAzureKeyVault وEventHub وGuestAndHybridManagement وStorage. |
صادر | لا | نعم |
| AzureSphere | يمكن استخدام هذه العلامة أو عناوين IP التي تغطيها هذه العلامة لتقييد الوصول إلى خدمات Sphere Security في Azure. | كلاهما | لا | نعم |
| AzureSpringCloud | السماح بحركة المرور إلى التطبيقات المستضافة في Azure Spring Apps. | صادر | لا | نعم |
| AzureStack | خدمات جسر مكدس الذاكرة المؤقتة من Azure. تمثل هذه العلامة نقطة نهاية خدمة Azure Stack Bridge لكل منطقة. |
صادر | لا | نعم |
| AzureTrafficManager | يتحقق Azure Traffic Manager من عناوين IP. لمزيد من المعلومات حول تحقق Traffic Manager من عناوين IP، راجع الأسئلة المتداولة حول Azure Traffic Manager. |
وارد | لا | نعم |
| AzureUpdateDelivery | يتم وضع علامة على علامة خدمة Azure Update Delivery المستخدمة للوصول إلى Windows Updates للإهمال وسيتم إيقاف تشغيلها في المستقبل.
ينصح العملاء بعدم الاعتماد على علامة الخدمة هذه وبالنسبة للعملاء الذين يستخدمونها بالفعل ينصحون بالترحيل إلى أحد الخيارات التالية: تكوين جدار حماية Azure لأجهزة Windows 10/11 كما هو موثق: • إدارة نقاط نهاية الاتصال ل Windows 11 Enterprise • إدارة نقاط نهاية الاتصال ل Windows 10 Enterprise، الإصدار 21H2 نشر خادم Windows Server Update Services (WSUS) خطط للتوزيع لتحديث أجهزة Windows الظاهرية في Azure ثم انتقل إلى الخطوة 2: تكوين WSUS |
صادر | لا | نعم |
| AzureWebPubSub | AzureWebPubSub | كلاهما | نعم | نعم |
| إدارة BatchNode | نسبة استخدام الشبكة للإدارة من أجل عمليات التوزيع المخصصة لـ Azure Batch. | كلاهما | نعم | نعم |
| ChaosStudio | Azure Chaos Studio. ملاحظة: إذا قمت بتمكين تكامل Application Insights على Chaos Agent، فإن علامة AzureMonitor مطلوبة أيضا. |
كلاهما | لا | نعم |
| واجهة الخدمات المعرفية | نطاقات العناوين لنسبة استخدام الشبكة لمداخل الواجهة الأمامية لخدمات Azure الذكاء الاصطناعي. | كلاهما | لا | نعم |
| إدارة الخدمات المعرفية | نطاقات العناوين لنسبة استخدام الشبكة لخدمات Azure الذكاء الاصطناعي. | كلاهما | لا | نعم |
| DataFactory | Azure Data Factory | كلاهما | نعم | نعم |
| إدارة DataFactory | نسبة استخدام الشبكة للإدارة لـ Azure Data Factory. | صادر | لا | نعم |
| Dynamics365ForMarketingEmail | نطاقات العنوان لخدمة البريد الإلكتروني التسويقية لـ Dynamics 365. | كلاهما | نعم | نعم |
| Dynamics365BusinessCentral | يمكن استخدام هذه العلامة أو عناوين IP التي تغطيها هذه العلامة لتقييد الوصول من/إلى Dynamics 365 Business Central Services. | كلاهما | لا | نعم |
| EOPExternalPublishedIPs | تمثل هذه العلامة عناوين IP المستخدمة في مركز التوافق والأمان لـ PowerShell. راجع وحدة الاتصال بمركز الأمان والتوافق PowerShell باستخدام وحدة EXO V2 لمزيد من التفاصيل. | كلاهما | لا | نعم |
| EventHub | مراكز الأحداث. | صادر | نعم | نعم |
| GatewayManager | نسبة استخدام الشبكة للإدارة لعمليات التوزيع المخصصة لبوابة Azure VPN وبوابة التطبيق. | وارد | لا | لا |
| إدارة GuestAndHybrid | Azure Automation وGuest Configuration. | صادر | لا | نعم |
| HDInsight | Azure HDInsight. | وارد | نعم | نعم |
| الإنترنت | مساحة عنوان IP خارج الشبكة الظاهرية ويمكن الوصول إليها بواسطة الإنترنت العام. يتضمن نطاق العناوين مساحة عنوان IP العامة المملوكة لـ Azure. |
كلاهما | لا | لا |
| KustoAnalytics | Kusto Analytics. | كلاهما | لا | لا |
| LogicApps | تطبيقات منطقية. | كلاهما | لا | نعم |
| إدارة LogicApps | نسبة استخدام الشبكة للإدارة لـ Logic Apps. | وارد | لا | نعم |
| M365ManagementActivityApi | توفر واجهة برمجة تطبيقات نشاط إدارة Office 365 معلومات حول إجراءات وأحداث مختلفة للمستخدم والمسؤول والنظام والنهج من Office 365 وسجلات نشاط Microsoft Entra. يمكن للعملاء والشركاء استخدام هذه المعلومات لإنشاء حلول جديدة أو تحسين حلول العمليات والأمان ومراقبة الامتثال الحالية للمؤسسة. ملحوظة: هذه العلامة لها تبعية في العلامة AzureActiveDirectory. |
صادر | نعم | نعم |
| M365ManagementActivityApiWebhook | يتم إرسال الإعلامات إلى خطاف الويب الذي تم تكوينه لاشتراك عند توفر محتوى جديد. | وارد | نعم | نعم |
| MicrosoftAzureFluidRelay | تمثل هذه العلامة عناوين IP المستخدمة لخادم ترحيل Azure Microsoft Fluid.
ملاحظة: هذه العلامة لها تبعية على علامة AzureFrontDoor.Frontend. |
كلاهما | لا | نعم |
| MicrosoftCloudAppSecurity | Microsoft Defender لتطبيقات السحابة. | كلاهما | لا | نعم |
| MicrosoftDefenderForEndpoint | Microsoft Defender لنقطة النهاية الخدمات الأساسية. ملاحظة: يجب أن يتم إلحاق الأجهزة باتصال مبسط وتلبية المتطلبات من أجل استخدام علامة الخدمة هذه. يتطلب Defender لنقطة النهاية/الخادم علامات خدمة إضافية، مثل OneDSCollector، لدعم جميع الوظائف. لمزيد من المعلومات، راجع إلحاق الأجهزة باستخدام اتصال مبسط Microsoft Defender لنقطة النهاية |
كلاهما | لا | نعم |
| PowerBI | خدمات الواجهة الخلفية للنظام الأساسي ل Power BI ونقاط نهاية واجهة برمجة التطبيقات. |
كلاهما | لا | نعم |
| PowerPlatformInfra | تمثل هذه العلامة عناوين IP المستخدمة من قبل البنية الأساسية لاستضافة خدمات Microsoft Power Platform. | كلاهما | نعم | نعم |
| PowerPlatformPlex | تمثل هذه العلامة عناوين IP المستخدمة من قبل البنية الأساسية لاستضافة تنفيذ ملحق Power Platform نيابة عن العميل. | كلاهما | نعم | نعم |
| PowerQueryOnline | Power Query Online. | كلاهما | لا | نعم |
| التنفس تحت الماء | موصلات البيانات لمنتجات أمان Microsoft (Sentinel وDefender وما إلى ذلك). | وارد | لا | لا |
| SerialConsole | تقييد الوصول إلى حسابات تخزين تشخيص التمهيد من علامة خدمة وحدة التحكم التسلسلية فقط | وارد | لا | نعم |
| ServiceBus | نسبة استخدام الشبكة لناقل خدمة Azure التي تستخدم مستوى الخدمة Premium. | صادر | نعم | نعم |
| ServiceFabric | نسيج خدمة Azure. ملحوظة: تمثل هذه العلامة نقطة تقديم الخدمة لـ Service Fabric للوحة التحكم لكل منطقة. وهذا يمكن العملاء من تنفيذ عمليات إدارة لمجموعات Service Fabric لديهم من VNET الخاصة بهم. (على سبيل المثال، https:// westus.servicefabric.azure.com). |
كلاهما | لا | نعم |
| Sql | قاعدة بيانات Azure SQL وقاعدة بيانات Azure لخادم MySQL الفردي وقاعدة بيانات Azure لخادم PostgreSQL الفردي وقاعدة بيانات Azure ل MariaDB وAzure Synapse Analytics. ملحوظة: تمثل هذه العلامة الخدمة، ولكن ليست مثيلات معينة من الخدمة. على سبيل المثال، تمثل العلامة خدمة قاعدة بيانات SQL Azure، ولكن ليس قاعدة بيانات أو خادم SQL محدد. لا تنطبق هذه العلامة على مثيل SQL مُدار. |
صادر | نعم | نعم |
| إدارة Sql | نسبة استخدام الشبكة للإدارة للتوزيع المخصص لـ SQL. | كلاهما | لا | نعم |
| التخزين | Azure Storage. ملحوظة: تمثل هذه العلامة الخدمة، ولكن ليست مثيلات معينة من الخدمة. على سبيل المثال، تمثل العلامة خدمة Azure Storage، ولكن ليس حساب Azure Storage محدد. |
صادر | نعم | نعم |
| StorageSyncService | خدمة مزامنة Storage. | كلاهما | لا | نعم |
| StorageMover | Storage Mover. | صادر | نعم | نعم |
| WindowsAdminCenter | اسمح لخدمة الواجهة الخلفية لمركز مسؤول Windows بالتواصل مع تثبيت العملاء لمركز مسؤول Windows. | صادر | لا | نعم |
| WindowsVirtualDesktop | Azure Virtual Desktop (كان في السابق Windows Virtual Desktop). | كلاهما | لا | نعم |
| VideoIndexer | مفهرس الفيديو.
يستخدم للسماح للعملاء بفتح NSG لخدمة مفهرس الفيديو وتلقي عمليات رد الاتصال إلى خدمتهم. |
كلاهما | لا | نعم |
| الشبكة الظاهرية | مساحة عنوان الشبكة الظاهرية (كل نطاقات عناوين IP المعرفة للشبكة الظاهرية)، وجميع مساحات العناوين المحلية المتصلة، والشبكات الظاهرية النظيرة، والشبكات الظاهرية المتصلة ببوابة الشبكة الظاهرية، وعنوان IP الظاهري للمضيف، وبادئات العناوين المستخدمة في المسارات المعرفة من قبل المستخدم. قد تحتوي هذه العلامة أيضًا على مسارات افتراضية. | كلاهما | لا | لا |
إشعار
عند استخدام علامات الخدمة مع جدار حماية Azure، يمكنك فقط إنشاء قواعد الوجهة على نسبة استخدام الشبكة الواردة والصادرة. قواعد المصدر غير مدعومة. لمزيد من المعلومات، راجع وثيقة علامات خدمة جدار حماية Azure.
تشير علامات الخدمة لخدمات Azure إلى بادئات العناوين من السحابة المعينة المستخدمة. على سبيل المثال، ستختلف نطاقات IP الأساسية التي تتوافق مع قيمة علامة Sql على سحابة Azure العامة عن النطاقات الأساسية على Microsoft Azure المشغلة بواسطة سحابة 21Vianet.
إذا قمت بتطبيق نقطة تقديم خدمة شبكة ظاهرية لخدمة، مثل Azure Storage أو قاعدة بيانات Azure SQL، يضيف Azure مساراً إلى شبكة فرعية ظاهرية للخدمة. العنوان الذي يظهر في بادئة المسار هو نفسه بادئات العنوان أو نطاقات CIDR مثل تلك الخاصة بعلامة الخدمة المطابقة.
العلامات المدعومة في نموذج التوزيع الكلاسيكي
نموذج التوزيع الكلاسيكي (قبل Azure Resource Manager) يدعم مجموعة فرعية صغيرة من العلامات المسردة في الجدول السابق. يتم تهجئة العلامات في نموذج التوزيع الكلاسيكي بشكل مختلف، كما هو موضح في الجدول التالي:
| علامة Resource Manager | العلامة المقابلة في نموذج التوزيع الكلاسيكي |
|---|---|
| AzureLoadBalancer | AZURE_LOADBALANCER |
| الإنترنت | INTERNET |
| الشبكة الظاهرية | VIRTUAL_NETWORK |
العلامات غير معتمدة للمسارات المعرفة من قبل المستخدم (UDR)
فيما يلي قائمة بالعلامات غير المدعومة حاليا للاستخدام مع المسارات المعرفة من قبل المستخدم (UDR).
AzurePlatformDNS
AzurePlatformIMDS
AzurePlatformLKM
VirtualNetwork
AzureLoadBalancer
الإنترنت
علامات الخدمة المحلية
يمكنك الحصول على علامة الخدمة الحالية ومعلومات النطاق لتضمينها كجزء من تكوينات جدار الحماية الداخلية. هذه المعلومات هي قائمة النقاط الزمنية الحالية لنطاقات IP التي تتوافق مع كل علامة خدمة. يمكنك الحصول على المعلومات برمجياً أو عبر تنزيل ملف JSON، كما هو موضح في الأقسام التالية.
استخدام واجهة برمجة تطبيقات اكتشاف علامة الخدمة
يمكنك استرداد القائمة الحالية لعلامات الخدمة برمجياً مع تفاصيل نطاق عنوان IP:
على سبيل المثال، لاسترداد كل البادئات لعلامة خدمة التخزين، يمكنك استخدام أوامر cmdlet التالية في PowerShell:
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
إشعار
- تمثل بيانات API تلك العلامات التي يمكن استخدامها مع قواعد NSG في منطقتك. استخدم بيانات API كمصدر للحقيقة لعلامات الخدمة المتوفرة لأنها قد تختلف عن ملف JSON القابل للتنزيل.
- يستغرق نشر بيانات علامة الخدمة الجديدة ما يصل إلى 4 أسابيع في نتائج واجهة برمجة التطبيقات عبر كل مناطق Azure. وبسبب هذه العملية، قد تكون نتائج بيانات API غير متزامنة مع ملف JSON القابل للتنزيل حيث تمثل بيانات واجهة برمجة التطبيقات مجموعة فرعية من العلامات الموجودة حاليا في ملف JSON القابل للتنزيل.
- يجب أن تتم مصادقتك وأن يكون لديك دور به أذونات قراءة لاشتراكك الحالي.
اكتشاف علامات الخدمة باستخدام ملفات JSON القابلة للتنزيل
يمكنك تنزيل ملفات JSON التي تحتوي على القائمة الحالية لعلامات الخدمة مع تفاصيل نطاق عناوين IP. يتم تحديث هذه القوائم ونشرها أسبوعياً. مواقع كل سحابة هي:
نطاقات عناوين IP في هذه الملفات توجد في رمز CIDR.
لا تحتوي علامات AzureCloud التالية على الأسماء الإقليمية منسقةً وفقاً للمخطط العادي:
AzureCloud.centralfrance (FranceCentral)
AzureCloud.southfrance (FranceSouth)
AzureCloud.germanywc (GermanyWestCentral)
AzureCloud.germanyn (GermanyNorth)
AzureCloud.norwaye (NorwayEast)
AzureCloud.norwayw (NorwayWest)
AzureCloud.switzerlandn (SwitzerlandNorth)
AzureCloud.switzerlandw (SwitzerlandWest)
AzureCloud.usstagee (EastUSSTG)
AzureCloud.usstagec (SouthCentralUSSTG)
AzureCloud.brazilse (BrazilSoutheast)
تلميح
يمكنك كشف التحديثات من منشور إلى التالي عن طريق ملاحظة زيادة قيم changeNumber في ملف JSON. يحتوي كل قسم فرعي (على سبيل المثال، Storage.WestUS) على changeNumber الخاص به الذي تتم زيادته مع حدوث التغييرات. تتم زيادة المستوى الأعلى من changeNumber في الملف عند تغيير أي من الأقسام الفرعية.
للحصول على أمثلة حول كيفية توزيع معلومات علامة الخدمة (على سبيل المثال، الحصول على كل نطاقات العناوين للتخزين في WestUS)، راجع وثائق PowerShell لواجهة برمجة تطبيقات اكتشاف علامة الخدمة.
عند إضافة عناوين IP جديدة إلى علامات الخدمة، لن يتم استخدامها في Azure لمدة أسبوع واحد على الأقل. يمنحك هذا الوقت لتحديث أي أنظمة قد تحتاج إليها لتتبع عناوين IP المرتبطة بعلامات الخدمة.
الخطوات التالية
- تعرّف على كيفية إنشاء مجموعة أمان شبكة.