Bejövő és kimenő IP-címek az Azure App Service szolgáltatásban

Azure-alkalmazás szolgáltatás egy több-bérlős szolgáltatás, kivéve az App Service-környezeteket. Az App Service-környezetben nem (nem az izolált szinten) lévő alkalmazások más alkalmazásokkal osztják meg a hálózati infrastruktúrát. Ennek eredményeképpen az alkalmazások bejövő és kimenő IP-címei eltérőek lehetnek, és bizonyos helyzetekben akár változhatnak is.

Az App Service-környezetek dedikált hálózati infrastruktúrát használnak, így az App Service-környezetben futó alkalmazások statikus, dedikált IP-címeket kapnak mind a bejövő, mind a kimenő kapcsolatokhoz.

Az IP-címek működése az App Service-ben

Az App Service-alkalmazások egy App Service-csomagban futnak, és az App Service-csomagok az Azure-infrastruktúra (belsőleg webtér) egyik üzembehelyezési egységében lesznek üzembe helyezve. Minden üzembe helyezési egységhez virtuális IP-címek tartoznak, amelyek egy nyilvános bejövő IP-címet és kimenő IP-címeket tartalmaznak. Az ugyanabban az üzembehelyezési egységben lévő összes App Service-csomag és az azokban futó alkalmazáspéldányok ugyanazt a virtuális IP-címkészletet használják. Egy App Service-környezet (egy App Service-csomag izolált szinten) esetében az App Service-csomag maga az üzembe helyezési egység, ezért a virtuális IP-címek ennek eredményeképpen dedikáltak.

Mivel nem helyezhet át App Service-csomagot az üzembehelyezési egységek között, az alkalmazáshoz rendelt virtuális IP-címek általában ugyanazok maradnak, de vannak kivételek.

Bejövő IP-címek módosításakor

A felskálázott példányok számától függetlenül minden alkalmazás egyetlen bejövő IP-címmel rendelkezik. A bejövő IP-cím megváltozhat az alábbi műveletek egyikének végrehajtásakor:

• Egy alkalmazás törlése, majd egy másik erőforráscsoportban történő újbóli létrehozása esetén (az üzemelő példány egysége módosulhat).
• Törölje az erőforráscsoport és a régiókombináció utolsó alkalmazását, és hozza létre újra (az üzembehelyezési egység változhat).
• Töröljön egy meglévő IP-alapú TLS/SSL-kötést, például a tanúsítvány megújítása során (lásd: Tanúsítvány megújítása).

A bejövő IP-cím megkeresése

Futtassa a következő parancsot egy helyi terminálon:

nslookup <app-name>.azurewebsites.net

Statikus bejövő IP-cím lekérése

Előfordulhat, hogy dedikált, statikus IP-címet szeretne az alkalmazáshoz. Statikus bejövő IP-cím lekéréséhez ip-alapú tanúsítványkötéssel kell biztonságossá tenni egy egyéni DNS-nevet. Ha nincs szüksége TLS-funkciókra az alkalmazás védelméhez, akár önaláírt tanúsítványt is feltölthet ehhez a kötéshez. Egy IP-alapú TLS-kötésben a tanúsítvány maga az IP-címhez van kötve, így az App Service létrehoz egy statikus IP-címet, hogy az megtörténjen.

Kimenő IP-címek módosításakor

A horizontálisan felskálázott példányok számától függetlenül minden alkalmazás mindig meghatározott számú kimenő IP-címmel rendelkezik. Az App Service-alkalmazásból( például egy háttéradatbázisba) irányuló kimenő kapcsolatok a kimenő IP-címek egyikét használják forrás IP-címként. A használandó IP-cím futásidőben, véletlenszerűen van kiválasztva, tehát a háttérszolgáltatásnak meg kell nyitnia a tűzfalát az alkalmazás összes kimenő IP-címe számára.

Az alkalmazás kimenő IP-címeinek készlete megváltozik az alábbi műveletek egyikének végrehajtásakor:

• Egy alkalmazás törlése, majd egy másik erőforráscsoportban történő újbóli létrehozása esetén (az üzemelő példány egysége módosulhat).
• Törölje az erőforráscsoport és a régiókombináció utolsó alkalmazását, és hozza létre újra (az üzembehelyezési egység változhat).
• Skálázza az alkalmazást az alacsonyabb szintek (Alapszintű, Standard és Prémium), a PremiumV2 szint, a PremiumV3 szint és a PrémiumV3 szinten belüli Pmv3-beállítások között (az IP-címek hozzáadhatók vagy kivonhatók a készletből).

Az alkalmazás által használható összes lehetséges kimenő IP-cím készletét a tarifacsomagoktól függetlenül a tulajdonság keresésével possibleOutboundIpAddresses vagy az Azure Portal Tulajdonságok lapján található További kimenő IP-címek mezőben találja. Lásd: Kimenő IP-címek keresése.

Az összes lehetséges kimenő IP-cím halmaza idővel növekedhet, ha az App Service új tarifacsomagokat vagy beállításokat ad hozzá a meglévő App Service-környezetekhez. Ha például az App Service hozzáadja a PremiumV3 szintet egy meglévő App Service-üzemelő példányhoz, akkor az összes lehetséges kimenő IP-cím halmaza nő. Hasonlóképpen, ha az App Service új Pmv3-beállításokat ad hozzá egy olyan üzembe helyezéshez, amely már támogatja a PremiumV3 szintet, akkor az összes lehetséges kimenő IP-cím halmaza nő. Az IP-címek központi telepítéshez való hozzáadása nincs azonnali hatással, mivel az alkalmazások futtatására szolgáló kimenő IP-címek nem változnak, ha új tarifacsomagot vagy lehetőséget adnak hozzá az App Service-környezethez. Ha azonban az alkalmazások új tarifacsomagra vagy olyan lehetőségre váltanak, amely korábban nem volt elérhető, akkor a rendszer új kimenő címeket használ, és az ügyfeleknek frissítenie kell az alsóbb rétegbeli tűzfalszabályokat és az IP-címkorlátozásokat.

Kimenő IP-címek megkeresése

Az alkalmazás által az Azure Portalon jelenleg használt kimenő IP-címek megkereséséhez válassza a Tulajdonságok lehetőséget az alkalmazás bal oldali navigációs sávján. A kimenő IP-címek mezőben szerepelnek.

Ugyanezeket az információkat az alábbi parancs cloud shellben való futtatásával találhatja meg.

az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv

(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses

Az alkalmazás összes lehetséges kimenő IP-címének megkereséséhez a tarifacsomagoktól függetlenül válassza a Tulajdonságok lehetőséget az alkalmazás bal oldali navigációs sávján. Ezek a További kimenő IP-címek mezőben jelennek meg.

Ugyanezeket az információkat az alábbi parancs cloud shellben való futtatásával találhatja meg.

az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv

(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses

A függvényalkalmazások esetében lásd a függvényalkalmazás kimenő IP-címeit.

Statikus kimenő IP-cím lekérése

Az alkalmazásból kimenő forgalom IP-címét úgy szabályozhatja, hogy virtuális hálózati integrációt és egy virtuális hálózati NAT-átjárót használva statikus nyilvános IP-címen keresztül irányítja a forgalmat. A virtuális hálózati integráció alapszintű, Standard, Prémium, PremiumV2 és PremiumV3 App Service-csomagokban érhető el. A beállítással kapcsolatos további információkért tekintse meg a NAT-átjáró integrációját.

Szolgáltatáscímke

A szolgáltatáscímke használatával AppService egyéni IP-címek megadása nélkül határozhatja meg a Azure-alkalmazás szolgáltatás hálózati hozzáférését. A szolgáltatáscímke az IP-címelőtagok egy csoportja, amellyel minimalizálhatja a biztonsági szabályok létrehozásának összetettségét. Szolgáltatáscímkék használata esetén az Azure automatikusan frissíti az IP-címeket a szolgáltatás módosításakor. A szolgáltatáscímke azonban nem biztonsági vezérlő mechanizmus. A szolgáltatáscímke csupán az IP-címek listája.

A AppService szolgáltatáscímke csak a több-bérlős alkalmazások bejövő IP-címét tartalmazza. Az izolált (App Service Environment) és az IP-alapú TLS-kötéseket használó alkalmazások bejövő IP-címei nem szerepelnek a fájlban. A több- és izolált ip-címekben használt kimenő IP-címek nem szerepelnek a címkében.

A címke használható a hálózati biztonsági csoportok (NSG) alkalmazások felé irányuló kimenő forgalmának engedélyezésére. Ha az alkalmazás IP-alapú TLS-t használ, vagy az alkalmazás izolált módban van üzembe helyezve, ehelyett a dedikált IP-címet kell használnia.

Következő lépések

• Megtudhatja, hogyan korlátozhatja a bejövő forgalmat forrás IP-címek alapján.
• Többet is megtudhat a szolgáltatáscímkékről.