Compartilhar via

Endereços IP de entrada e saída no Serviço de Aplicativo do Azure

O Serviço de Aplicativo do Azure é um serviço multilocatário, exceto para Ambientes de Serviço de Aplicativo. Aplicativos que não estão em um ambiente do Serviço de Aplicativo (não na Camada isolada) compartilham a infraestrutura de rede com outros aplicativos. Como resultado, os endereços IP de entrada e saída de um aplicativo podem ser diferentes e até alterar em determinadas situações.

Ambientes de Serviço de Aplicativo usam infraestruturas de rede dedicadas para que aplicativos executados em um ambiente de Serviço de Aplicativo obtenham endereços IP dedicados e estáticos para conexões de entrada e saída.

Como os endereços IP funcionam no Serviço de Aplicativo

Um aplicativo do Serviço de Aplicativo é executado em um Plano do Serviço de Aplicativo, e os planos do serviço de aplicativo são implantados em uma das unidades de implantação na infraestrutura do Azure (internamente chamada de webspace). Cada unidade de implantação é atribuída a um conjunto de endereços IP virtuais, que inclui um endereço IP de entrada público e um conjunto de endereços IP de saída. Todos os planos do Serviço de Aplicativo na mesma unidade de implantação e as instâncias de aplicativo que são executadas neles compartilham o mesmo conjunto de endereços IP virtuais. Para um Ambiente do Serviço de Aplicativo (um plano do Serviço de Aplicativo na Camada isolada), o plano do Serviço de Aplicativo é a própria unidade de implantação e, como resultado, os endereços IP virtuais são dedicados a ele.

Como você não tem permissão para mover um plano do Serviço de Aplicativo entre as unidades de implantação, os endereços IP virtuais atribuídos ao aplicativo geralmente permanecem os mesmos, mas há exceções.

Observação

A camada Premium V4 não fornece um conjunto estável de endereços IP de saída. Este comportamento é intencional. Embora os aplicativos em execução na camada Premium V4 possam fazer chamadas de saída para pontos de extremidade voltados para a Internet, a plataforma do Serviço de Aplicativo não fornece um conjunto estável de endereços IP de saída para a camada Premium V4. Esse comportamento representa uma mudança em relação aos níveis de preços anteriores do Serviço de Aplicativo. O portal mostra "Dinâmico" para os endereços IP de saída e informações adicionais de endereços IP de saída para os aplicativos que usam o Premium V4. As chamadas do ARM (Azure Resource Manager) e da CLI retornam cadeias de caracteres vazias para os valores de outboundIpAddresses e possibleOutboundIpAddresses. Se os aplicativos em execução no Premium V4 exigirem um endereço IP de saída estável, os desenvolvedores precisarão usar uma solução como o Gateway nat do Azure para obter um endereço IP previsível para tráfego voltado para a Internet de saída.

Quando ocorrem alterações do IP de entrada

Independentemente do número de instâncias dimensionadas, cada aplicativo tem um único endereço IP de entrada. O endereço IP de entrada pode ser alterado quando você executa uma das seguintes ações:

  • Exclua um aplicativo e recrie-o em um grupo de recursos diferente (a unidade de implantação pode mudar).
  • Exclua o último aplicativo em uma combinação de grupo de recursos e região e recrie-o (a unidade de implantação pode mudar).
  • Exclua uma associação TLS baseada em IP existente, como durante a renovação do certificado (consulte Renovar certificado).

Localizar o IP de entrada

Execute o seguinte comando em um terminal local:

nslookup <app-name>.azurewebsites.net

Obter um IP de entrada dedicado

Às vezes, é possível querer um endereço IP dedicado e estático para o aplicativo. O endereço IP de entrada compartilhado padrão é estático, mas essa configuração permite um endereço IP de entrada dedicado exclusivo para seu site. Para obter um endereço IP de entrada dedicado, você precisa adquirir um nome DNS personalizado com vinculação de certificado baseada em IP. Se realmente não for necessária a funcionalidade TLS para proteger o aplicativo, você poderá até carregar um certificado autoassinado para essa associação. Em uma associação TLS baseada em IP, o certificado é associado ao próprio endereço IP, portanto, o Serviço de Aplicativo cria um endereço IP estático para que isso aconteça.

Quando ocorrem alterações dos IPs de saída

Independentemente do número de instâncias dimensionadas, cada aplicativo tem um número definido de endereços IP de saída a qualquer momento. Qualquer conexão de saída do aplicativo do Serviço de Aplicativo, como um banco de dados back-end, usa um dos endereços IP de saída como o endereço IP de origem. O endereço IP a ser usado é selecionado aleatoriamente em tempo de execução, de modo que o serviço de back-end deve abrir seu firewall para todos os endereços IP de saída para o aplicativo.

O conjunto de endereços IP de saída para o aplicativo é alterado quando você executa uma das seguintes ações:

  • Exclua um aplicativo e recrie-o em um grupo de recursos diferente (a unidade de implantação pode mudar).
  • Exclua o último aplicativo em uma combinação de grupo de recursos e região e recrie-o (a unidade de implantação pode mudar).
  • Dimensione seu aplicativo entre as camadas inferiores (Basic, Standard e Premium), a camada PremiumV2 , a camada PremiumV3 e as opções pmv3 dentro da camada PremiumV3 (os endereços IP podem ser adicionados ou subtraídos do conjunto).

Você pode encontrar o conjunto de todos os endereços IP de saída possíveis que o aplicativo pode usar, independentemente dos tipos de preço, procurando a propriedade possibleOutboundIpAddresses ou no campo Endereços IP de saída adicionais na página Propriedades no portal do Azure. Consulte Localizar IPs de saída.

O conjunto de todos os endereços IP de saída possíveis pode aumentar ao longo do tempo se p Serviço de Aplicativo adicionar novos tipos de preço ou opções às implantações de Serviço de Aplicativo existentes. Por exemplo, se o Serviço de Aplicativo adicionar a camada PremiumV3 a uma implantação de Serviço de Aplicativo existente, então o conjunto de todos os endereços IP de saída possíveis aumentará. Semelhantemente, se o Serviço de Aplicativo adicionar novas opções Pmv3 a uma implantação que já dá suporte à camada PremiumV3, o conjunto de todos os endereços IP de saída possíveis também aumentará. Adicionar endereços IP a uma implantação não tem efeito imediato, pois os endereços IP de saída para aplicativos em execução não são alterados quando um novo tipo de preço ou opção é adicionado a uma implantação de Serviço de Aplicativo. Entretanto, se os aplicativos mudarem para um novo tipo de preço ou opção que não estava disponível anteriormente, então novos endereços de saída serão usados e os clientes precisarão de atualizar as regras de firewall downstream e as restrições de endereço IP.

Localizar IPs de saída

Para encontrar os endereços IP de saída usados no momento pelo aplicativo no portal do Azure, selecione Propriedades na navegação esquerda do aplicativo. Eles estão listados no campo Endereços IP de saída.

É possível localizar as mesmas informações, executando o comando a seguir no Cloud Shell.

az webapp show --resource-group <group_name> --name <app_name> --query outboundIpAddresses --output tsv

(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses

Para localizar todos os endereços IP de saída possíveis para o aplicativo, independentemente dos tipos de preço, selecione Propriedades na navegação esquerda do aplicativo. Eles estão listados no campo Endereços IP de saída adicionais.

É possível localizar as mesmas informações, executando o comando a seguir no Cloud Shell.

az webapp show --resource-group <group_name> --name <app_name> --query possibleOutboundIpAddresses --output tsv

(Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).PossibleOutboundIpAddresses

Para aplicativos de funções, consulte Endereços de IP de saída do aplicativo de funções.

Obter um endereço IP de saída estático

Você pode controlar o endereço IP do tráfego de saída de seu aplicativo usando a integração de rede virtual e um gateway NAT de rede virtual para direcionar o tráfego por meio de um endereço IP público estático. A integração de rede virtual está disponível nos planos Básico, Standard, Premium, PremiumV2 e PremiumV3 do Serviço de Aplicativo. Para saber mais sobre essa configuração, confira Integração do gateway NAT.

Propriedades de endereço IP no portal do Azure

Os endereços IP são exibidos em vários locais no portal do Azure. A página de propriedades mostra a saída bruta de inboundIpAddress, possibleInboundIpAddresses, outboundIpAddresses e possibleOutboundIpAddresses. A página de visão geral também mostra os mesmos valores, mas não inclui os endereços IP de entrada possíveis.

A visão geral da rede mostra a combinação do Endereço de IP de entrada e quaisquer endereços de IP do ponto de extremidade privado no campo Endereços de entrada. Se o acesso à rede pública estiver desabilitado, o endereço IP público não será mostrado. O campo Endereços de saída tem uma lista combinada de endereços IP de saída (possíveis) e, se o aplicativo estiver integrado à rede virtual e estiver roteando todo o tráfego, e a sub-rede tiver um gateway NAT anexado, o campo também incluirá os endereços IP do gateway nat.

Captura de tela que mostra como os endereços IP são mostrados na página de visão geral da rede.

Marca de serviço

Ao utilizar a marca de serviço AppService, você pode definir o acesso à rede para o Serviço de Aplicativo do Azure sem especificar endereços IP individuais. A etiqueta de serviço é um grupo de prefixos de endereço IP que você usa para minimizar a complexidade da criação de regras de segurança. Quando utiliza etiquetas de serviço, o Azure atualiza automaticamente os endereços IP à medida que mudam para o serviço. No entanto, a etiqueta de serviço não é um mecanismo de controle de segurança. A etiqueta de serviço é apenas uma lista de endereços IP.

A marca de serviço AppService inclui apenas os endereços IP de entrada de aplicativos multilocatário. Endereços IP de entrada de aplicativos implantados em aplicativos isolados (Ambiente do Serviço de Aplicativo) e aplicativos que usam associações TLS baseadas em IP não estão incluídos. Além disso, todos os endereços IP de saída usados em modo multilocatário e isolado não estão incluídos na marca.

A marca pode ser usada para permitir o tráfego de saída em um NSG (grupo de segurança de rede) para aplicativos. Se o aplicativo estiver usando o TLS baseado em IP ou o aplicativo for implantado no modo isolado, você precisará usar o endereço IP dedicado em vez disso. Como a tag inclui somente endereços IP de entrada, a tag não pode ser usada em restrições de acesso para limitar o acesso a um aplicativo por outros aplicativos no Serviço de Aplicativo.

Observação

A marca de serviço ajuda você a definir o acesso à rede, mas ela não deve ser considerada como uma substituição para medidas de segurança de rede adequadas, pois não fornece controle granular sobre endereços IP individuais.

Suporte ao IPv6 de entrada

O Serviço de Aplicativo do Azure dá suporte a IPv6 para tráfego de entrada em todos os SKUs Básico, Standard e Premium, bem como os planos Funções Consumo, Funções Elásticas Premium e Aplicativos Lógicos Standard. Os aplicativos podem receber tráfego em protocolos IPv4 e IPv6, fornecendo compatibilidade com redes modernas e clientes que exigem conectividade IPv6.

Observação

O suporte ao IPv6 de saída está em versão prévia pública apenas para aplicativos do Windows. Para obter mais informações sobre o suporte ao IPv6 de saída, consulte Anunciando o suporte de IPv6 de saída do Serviço de Aplicativo na versão prévia pública. Todas as conexões de saída de seus aplicativos Linux ainda usam IPv4.

Pré-requisitos

Para usar o tráfego de entrada IPv6, você precisa:

  • Um endereço IPv6 que aceita o tráfego de entrada
  • Um registro DNS que retorna um registro AAAA (IPv6)
  • Um cliente que pode enviar e receber tráfego IPv6

Importante

Muitas redes locais e ambientes de desenvolvimento dão suporte apenas ao IPv4, o que pode afetar sua capacidade de testar a conectividade IPv6 do computador local.

Como funciona o endereçamento IPv6

Todas as unidades de implantação do Serviço de Aplicativo incluem endereços IPv6, permitindo que seu aplicativo receba tráfego em endereços IPv4 e IPv6. Para compatibilidade com versões anteriores, a resposta DNS para o nome do host padrão (<app-name>.azurewebsites.net) retorna apenas o endereço IPv4 por padrão.

Você pode configurar o comportamento do modo IP usando a IPMode propriedade:

  • IPv4 (padrão): O DNS retorna somente o endereço IPv4
  • IPv6: O DNS retorna somente o endereço IPv6
  • IPv4AndIPv6: O DNS retorna endereços IPv4 e IPv6

IPMode é um recurso somente DNS. Cada site do Serviço de Aplicativo pode receber solicitações por meio de pontos de extremidade IPv4 e IPv6, independentemente do IpMode configurado. O IpMode influencia apenas como o DNS resolve o ponto de extremidade, portanto, afeta clientes que dependem da resolução DNS (que deve ser a maioria dos clientes), mas não restringe quais pontos de extremidade de protocolo podem ser alcançados.

Configurar o suporte ao IPv6

Para atualizar um aplicativo para retornar registros DNS IPv6 no portal do Azure, acesse a página Configuração do aplicativo do Serviço de Aplicativo e defina a propriedade de modo IP de entrada .

Captura de tela que mostra como o modo IP de entrada é definido na página de configuração do Serviço de Aplicativo.

Testar a conectividade IPv6

Para testar a conectividade IPv6 com seu aplicativo, use o seguinte comando curl:

curl -6 https://<app-name>.azurewebsites.net

Domínios personalizados e IPv6

Ao usar domínios personalizados, você pode configurar registros DNS para dar suporte a IPv6:

  • Somente IPv6: adicione um registro AAAA apontando para o endereço IPv6 do aplicativo. Os clientes devem dar suporte ao IPv6.
  • Pilha dupla: adicione registros A (IPv4) e AAAA (IPv6) ou use um registro CNAME ao nome do host padrão, que herda o IPMode comportamento.

Conteúdo relacionado

  • Last updated on