Sdílet prostřednictvím


Odpovědnost zákazníka za provozování služby Azure Spring Apps ve virtuální síti

Poznámka:

Plány Basic, Standard a Enterprise budou od poloviny března 2025 vyřazeny ze 3letého období vyřazení. Doporučujeme přejít na Azure Container Apps. Další informace najdete v oznámení o vyřazení Azure Spring Apps.

Od 30. září 2024 bude od 30. září 2024 zastaralý plán s úplným vypnutím po šesti měsících. Doporučujeme přejít na Azure Container Apps. Další informace najdete v tématu Migrace spotřeby Azure Spring Apps Úrovně Standard a vyhrazeného plánu do Azure Container Apps.

Tento článek se vztahuje na:✅ Basic/Standard ✅ Enterprise

Tento článek obsahuje specifikace použití Azure Spring Apps ve virtuální síti.

Když je služba Azure Spring Apps nasazená ve vaší virtuální síti, má odchozí závislosti na službách mimo virtuální síť. Pro účely správy a provozu musí Azure Spring Apps přistupovat k určitým portům a plně kvalifikovaným názvům domén (FQDN). Azure Spring Apps vyžaduje, aby tyto koncové body komunikují s rovinou správy a stahují a instalují základní komponenty clusteru Kubernetes a aktualizace zabezpečení.

Služba Azure Spring Apps má ve výchozím nastavení neomezený odchozí (odchozí) přístup k internetu. Tato úroveň síťového přístupu umožňuje aplikacím, které podle potřeby spouštíte pro přístup k externím prostředkům. Pokud chcete omezit odchozí provoz, musí být pro úlohy údržby přístupný omezený počet portů a adres. Nejjednodušším řešením pro zabezpečení odchozích adres je použití zařízení brány firewall, které může řídit odchozí provoz na základě názvů domén. Azure Firewall může například omezit odchozí provoz HTTP a HTTPS na základě plně kvalifikovaného názvu domény cíle. Můžete také nakonfigurovat upřednostňovaná pravidla brány firewall a zabezpečení tak, aby povolovala tyto požadované porty a adresy.

Požadavky na prostředky Azure Spring Apps

Následující seznam ukazuje požadavky na prostředky pro služby Azure Spring Apps. Obecně platí, že byste neměli upravovat skupiny prostředků vytvořené službou Azure Spring Apps a podkladovými síťovými prostředky.

  • Neupravujte skupiny prostředků vytvořené a vlastněné službou Azure Spring Apps.
    • Ve výchozím nastavení jsou tyto skupiny prostředků pojmenovány ap-svc-rt_<service-instance-name>_<region>* a ap_<service-instance-name>_<region>*.
    • Nezablokujte aktualizaci prostředků v těchto skupinách prostředků službou Azure Spring Apps.
  • Neupravujte podsítě používané službou Azure Spring Apps.
  • Ve stejné podsíti nevytvávejte více než jednu instanci služby Azure Spring Apps.
  • Pokud k řízení provozu používáte bránu firewall, nezablokujte následující výstupní provoz do komponent Azure Spring Apps, které provozují, udržují a podporují instanci služby.

Globální pravidla sítě Azure

Cílový koncový bod Port Používání Poznámka:
*:443 nebo ServiceTag – AzureCloud:443 TCP:443 Správa služeb Azure Spring Apps Informace o instanci requiredTrafficsslužby najdete v datové části prostředku v networkProfile části.
*.azurecr.io:443 nebo ServiceTag – AzureContainerRegistry:443 TCP:443 Azure Container Registry. Můžete ho nahradit povolením koncového bodu služby Azure Container Registry ve virtuální síti.
*.core.windows.net:443 a *.core.windows.net:445 nebo ServiceTag – Storage:443 a Storage:445 TCP:443, TCP:445 Soubory Azure Můžete ho nahradit povolením koncového bodu služby Azure Storage ve virtuální síti.
*.servicebus.windows.net:443 nebo ServiceTag – EventHub:443 TCP:443 Azure Event Hubs. Můžete ho nahradit povolením koncového bodu služby Azure Event Hubs ve virtuální síti.
*.prod.microsoftmetrics.com:443 nebo ServiceTag – AzureMonitor:443 TCP:443 Azure Monitor Umožňuje odchozí volání do služby Azure Monitor.

Globální požadovaný plně kvalifikovaný název domény Azure / pravidla aplikací

Azure Firewall poskytuje značku plně kvalifikovaného názvu domény AzureKubernetesService , která zjednodušuje následující konfigurace:

Cílový plně kvalifikovaný název domény Port Používání
*.azmk8s.io HTTPS:443 Základní správa clusteru Kubernetes
mcr.microsoft.com HTTPS:443 Microsoft Container Registry (MCR).
*.data.mcr.microsoft.com HTTPS:443 Úložiště MCR zálohované službou Azure CDN
management.azure.com HTTPS:443 Základní správa clusteru Kubernetes
login.microsoftonline.com HTTPS:443 Ověřování Microsoft Entra.
packages.microsoft.com HTTPS:443 Úložiště balíčků Microsoftu.
acs-mirror.azureedge.net HTTPS:443 Úložiště potřebné k instalaci požadovaných binárních souborů, jako jsou kubenet a Azure CNI.

Microsoft Azure provozovaný společností 21Vianet – požadovaná síťová pravidla

Cílový koncový bod Port Používání Poznámka:
*:443 nebo ServiceTag – AzureCloud:443 TCP:443 Správa služeb Azure Spring Apps Informace o instanci requiredTrafficsslužby najdete v datové části prostředku v networkProfile části.
*.azurecr.cn:443 nebo ServiceTag – AzureContainerRegistry:443 TCP:443 Azure Container Registry. Můžete ho nahradit povolením koncového bodu služby Azure Container Registry ve virtuální síti.
*.core.chinacloudapi.cn:443 a *.core.chinacloudapi.cn:445 nebo ServiceTag – Storage:443 a Storage:445 TCP:443, TCP:445 Soubory Azure Můžete ho nahradit povolením koncového bodu služby Azure Storage ve virtuální síti.
*.servicebus.chinacloudapi.cn:443 nebo ServiceTag – EventHub:443 TCP:443 Azure Event Hubs. Můžete ho nahradit povolením koncového bodu služby Azure Event Hubs ve virtuální síti.
*.prod.microsoftmetrics.com:443 nebo ServiceTag – AzureMonitor:443 TCP:443 Azure Monitor Umožňuje odchozí volání do služby Azure Monitor.

Microsoft Azure provozovaný společností 21Vianet – požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace

Azure Firewall poskytuje značku plně kvalifikovaného názvu AzureKubernetesService domény pro zjednodušení následujících konfigurací:

Cílový plně kvalifikovaný název domény Port Používání
*.cx.prod.service.azk8s.cn HTTPS:443 Základní správa clusteru Kubernetes
mcr.microsoft.com HTTPS:443 Microsoft Container Registry (MCR).
*.data.mcr.microsoft.com HTTPS:443 Úložiště MCR zálohované službou Azure CDN
management.chinacloudapi.cn HTTPS:443 Základní správa clusteru Kubernetes
login.chinacloudapi.cn HTTPS:443 Ověřování Microsoft Entra.
packages.microsoft.com HTTPS:443 Úložiště balíčků Microsoftu.
*.azk8s.cn HTTPS:443 Úložiště potřebné k instalaci požadovaných binárních souborů, jako jsou kubenet a Azure CNI.

Volitelný plně kvalifikovaný název domény Azure Spring Apps pro správu výkonu aplikací třetích stran

Cílový plně kvalifikovaný název domény Port Používání
kolektor*.newrelic.com TCP:443/80 Požadované sítě agentů New Relic APM z oblasti USA, viz také sítě agentů APM.
collector*.eu01.nr-data.net TCP:443/80 Požadované sítě agentů New Relic APM z oblasti EU, viz také sítě agentů APM.
*.live.dynatrace.com TCP:443 Požadovaná síť agentů Dynatrace APM.
*.live.ruxit.com TCP:443 Požadovaná síť agentů Dynatrace APM.
*.saas.appdynamics.com TCP:443/80 Požadovaná síť agentů AppDynamics APM, viz také domény SaaS a rozsahy IP adres.

Volitelný plně kvalifikovaný název domény azure Spring Apps pro Application Insights

V bráně firewall serveru je potřeba otevřít některé odchozí porty, které umožní sadě Application Insights SDK nebo agentu Application Insights odesílat data na portál. Další informace najdete v části Odchozí porty IP adres používaných službou Azure Monitor.

Další kroky