Odpovědnost zákazníka za provozování služby Azure Spring Apps ve virtuální síti
Poznámka:
Plány Basic, Standard a Enterprise budou od poloviny března 2025 vyřazeny ze 3letého období vyřazení. Doporučujeme přejít na Azure Container Apps. Další informace najdete v oznámení o vyřazení Azure Spring Apps.
Od 30. září 2024 bude od 30. září 2024 zastaralý plán s úplným vypnutím po šesti měsících. Doporučujeme přejít na Azure Container Apps. Další informace najdete v tématu Migrace spotřeby Azure Spring Apps Úrovně Standard a vyhrazeného plánu do Azure Container Apps.
Tento článek se vztahuje na:✅ Basic/Standard ✅ Enterprise
Tento článek obsahuje specifikace použití Azure Spring Apps ve virtuální síti.
Když je služba Azure Spring Apps nasazená ve vaší virtuální síti, má odchozí závislosti na službách mimo virtuální síť. Pro účely správy a provozu musí Azure Spring Apps přistupovat k určitým portům a plně kvalifikovaným názvům domén (FQDN). Azure Spring Apps vyžaduje, aby tyto koncové body komunikují s rovinou správy a stahují a instalují základní komponenty clusteru Kubernetes a aktualizace zabezpečení.
Služba Azure Spring Apps má ve výchozím nastavení neomezený odchozí (odchozí) přístup k internetu. Tato úroveň síťového přístupu umožňuje aplikacím, které podle potřeby spouštíte pro přístup k externím prostředkům. Pokud chcete omezit odchozí provoz, musí být pro úlohy údržby přístupný omezený počet portů a adres. Nejjednodušším řešením pro zabezpečení odchozích adres je použití zařízení brány firewall, které může řídit odchozí provoz na základě názvů domén. Azure Firewall může například omezit odchozí provoz HTTP a HTTPS na základě plně kvalifikovaného názvu domény cíle. Můžete také nakonfigurovat upřednostňovaná pravidla brány firewall a zabezpečení tak, aby povolovala tyto požadované porty a adresy.
Požadavky na prostředky Azure Spring Apps
Následující seznam ukazuje požadavky na prostředky pro služby Azure Spring Apps. Obecně platí, že byste neměli upravovat skupiny prostředků vytvořené službou Azure Spring Apps a podkladovými síťovými prostředky.
- Neupravujte skupiny prostředků vytvořené a vlastněné službou Azure Spring Apps.
- Ve výchozím nastavení jsou tyto skupiny prostředků pojmenovány
ap-svc-rt_<service-instance-name>_<region>*
aap_<service-instance-name>_<region>*
. - Nezablokujte aktualizaci prostředků v těchto skupinách prostředků službou Azure Spring Apps.
- Ve výchozím nastavení jsou tyto skupiny prostředků pojmenovány
- Neupravujte podsítě používané službou Azure Spring Apps.
- Ve stejné podsíti nevytvávejte více než jednu instanci služby Azure Spring Apps.
- Pokud k řízení provozu používáte bránu firewall, nezablokujte následující výstupní provoz do komponent Azure Spring Apps, které provozují, udržují a podporují instanci služby.
Globální pravidla sítě Azure
Cílový koncový bod | Port | Používání | Poznámka: |
---|---|---|---|
*:443 nebo ServiceTag – AzureCloud:443 | TCP:443 | Správa služeb Azure Spring Apps | Informace o instanci requiredTraffics služby najdete v datové části prostředku v networkProfile části. |
*.azurecr.io:443 nebo ServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Můžete ho nahradit povolením koncového bodu služby Azure Container Registry ve virtuální síti. |
*.core.windows.net:443 a *.core.windows.net:445 nebo ServiceTag – Storage:443 a Storage:445 | TCP:443, TCP:445 | Soubory Azure | Můžete ho nahradit povolením koncového bodu služby Azure Storage ve virtuální síti. |
*.servicebus.windows.net:443 nebo ServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Můžete ho nahradit povolením koncového bodu služby Azure Event Hubs ve virtuální síti. |
*.prod.microsoftmetrics.com:443 nebo ServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor | Umožňuje odchozí volání do služby Azure Monitor. |
Globální požadovaný plně kvalifikovaný název domény Azure / pravidla aplikací
Azure Firewall poskytuje značku plně kvalifikovaného názvu domény AzureKubernetesService , která zjednodušuje následující konfigurace:
Cílový plně kvalifikovaný název domény | Port | Používání |
---|---|---|
*.azmk8s.io | HTTPS:443 | Základní správa clusteru Kubernetes |
mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
*.data.mcr.microsoft.com | HTTPS:443 | Úložiště MCR zálohované službou Azure CDN |
management.azure.com | HTTPS:443 | Základní správa clusteru Kubernetes |
login.microsoftonline.com | HTTPS:443 | Ověřování Microsoft Entra. |
packages.microsoft.com | HTTPS:443 | Úložiště balíčků Microsoftu. |
acs-mirror.azureedge.net | HTTPS:443 | Úložiště potřebné k instalaci požadovaných binárních souborů, jako jsou kubenet a Azure CNI. |
Microsoft Azure provozovaný společností 21Vianet – požadovaná síťová pravidla
Cílový koncový bod | Port | Používání | Poznámka: |
---|---|---|---|
*:443 nebo ServiceTag – AzureCloud:443 | TCP:443 | Správa služeb Azure Spring Apps | Informace o instanci requiredTraffics služby najdete v datové části prostředku v networkProfile části. |
*.azurecr.cn:443 nebo ServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Můžete ho nahradit povolením koncového bodu služby Azure Container Registry ve virtuální síti. |
*.core.chinacloudapi.cn:443 a *.core.chinacloudapi.cn:445 nebo ServiceTag – Storage:443 a Storage:445 | TCP:443, TCP:445 | Soubory Azure | Můžete ho nahradit povolením koncového bodu služby Azure Storage ve virtuální síti. |
*.servicebus.chinacloudapi.cn:443 nebo ServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Můžete ho nahradit povolením koncového bodu služby Azure Event Hubs ve virtuální síti. |
*.prod.microsoftmetrics.com:443 nebo ServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor | Umožňuje odchozí volání do služby Azure Monitor. |
Microsoft Azure provozovaný společností 21Vianet – požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
Azure Firewall poskytuje značku plně kvalifikovaného názvu AzureKubernetesService
domény pro zjednodušení následujících konfigurací:
Cílový plně kvalifikovaný název domény | Port | Používání |
---|---|---|
*.cx.prod.service.azk8s.cn | HTTPS:443 | Základní správa clusteru Kubernetes |
mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
*.data.mcr.microsoft.com | HTTPS:443 | Úložiště MCR zálohované službou Azure CDN |
management.chinacloudapi.cn | HTTPS:443 | Základní správa clusteru Kubernetes |
login.chinacloudapi.cn | HTTPS:443 | Ověřování Microsoft Entra. |
packages.microsoft.com | HTTPS:443 | Úložiště balíčků Microsoftu. |
*.azk8s.cn | HTTPS:443 | Úložiště potřebné k instalaci požadovaných binárních souborů, jako jsou kubenet a Azure CNI. |
Volitelný plně kvalifikovaný název domény Azure Spring Apps pro správu výkonu aplikací třetích stran
Cílový plně kvalifikovaný název domény | Port | Používání |
---|---|---|
kolektor*.newrelic.com | TCP:443/80 | Požadované sítě agentů New Relic APM z oblasti USA, viz také sítě agentů APM. |
collector*.eu01.nr-data.net | TCP:443/80 | Požadované sítě agentů New Relic APM z oblasti EU, viz také sítě agentů APM. |
*.live.dynatrace.com | TCP:443 | Požadovaná síť agentů Dynatrace APM. |
*.live.ruxit.com | TCP:443 | Požadovaná síť agentů Dynatrace APM. |
*.saas.appdynamics.com | TCP:443/80 | Požadovaná síť agentů AppDynamics APM, viz také domény SaaS a rozsahy IP adres. |
Volitelný plně kvalifikovaný název domény azure Spring Apps pro Application Insights
V bráně firewall serveru je potřeba otevřít některé odchozí porty, které umožní sadě Application Insights SDK nebo agentu Application Insights odesílat data na portál. Další informace najdete v části Odchozí porty IP adres používaných službou Azure Monitor.