Odpovědnost zákazníků za spotřebu azure Spring Apps Standard a vyhrazený plán ve virtuální síti
Poznámka:
Plány Basic, Standard a Enterprise budou od poloviny března 2025 vyřazeny ze 3letého období vyřazení. Doporučujeme přejít na Azure Container Apps. Další informace najdete v oznámení o vyřazení Azure Spring Apps.
Od 30. září 2024 bude od 30. září 2024 zastaralý plán s úplným vypnutím po šesti měsících. Doporučujeme přejít na Azure Container Apps. Další informace najdete v tématu Migrace spotřeby Azure Spring Apps Úrovně Standard a vyhrazeného plánu do Azure Container Apps.
Tento článek se vztahuje na:✅ Využití standardu a vyhrazené (Preview) ❎ Basic/Standard ❎ Enterprise
Tento článek popisuje odpovědnost zákazníka za spuštění služby Azure Spring Apps Standard a instance služby vyhrazeného plánu ve virtuální síti.
Pomocí skupin zabezpečení sítě (NSG) nakonfigurujte virtuální sítě tak, aby odpovídaly nastavení vyžadovaným Kubernetes.
Pokud chcete řídit veškerý příchozí a odchozí provoz pro prostředí Azure Container Apps, můžete pomocí skupin zabezpečení sítě uzamknout síť s přísnějšími pravidly než výchozí pravidla NSG.
Pravidla povolení NSG
Následující tabulky popisují, jak nakonfigurovat kolekci pravidel povolení NSG.
Poznámka:
Podsíť přidružená k prostředí Azure Container Apps vyžaduje předponu /23 CIDR nebo větší.
Odchozí spojení se značkami ServiceTags
| Protokol | Port | ServiceTag | Popis |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
Vyžaduje se pro interní zabezpečené připojení Azure Kubernetes Service (AKS) mezi podkladovými uzly a řídicí rovinou. Nahraďte <region> oblastí, ve které je vaše aplikace kontejneru nasazená. |
| TCP | 9000 |
AzureCloud.<region> |
Vyžaduje se pro interní zabezpečené připojení AKS mezi podkladovými uzly a řídicí rovinou. Nahraďte <region> oblastí, ve které je vaše aplikace kontejneru nasazená. |
| TCP | 443 |
AzureMonitor |
Umožňuje odchozí volání do služby Azure Monitor. |
| TCP | 443 |
Azure Container Registry |
Povolí službu Azure Container Registry, jak je popsáno v koncových bodech služby virtuální sítě. |
| TCP | 443 |
MicrosoftContainerRegistry |
Značka služby pro registr kontejneru pro kontejnery Microsoftu. |
| TCP | 443 |
AzureFrontDoor.FirstParty |
Závislost značky MicrosoftContainerRegistry služby. |
| TCP | 443, 445 |
Azure Files |
Povolí službu Azure Storage, jak je popsáno v koncových bodech služby virtuální sítě. |
Odchozí s pravidly IP adres se zástupnými adresou
| Protokol | Port | IP | Popis |
|---|---|---|---|
| TCP | 443 |
* | Nastavte veškerý odchozí provoz na portu 443 tak, aby povoloval všechny plně kvalifikované názvy domén (FQDN) na základě odchozích závislostí, které nemají statickou IP adresu. |
| UDP | 123 |
* | Server NTP. |
| TCP | 5671 |
* | Řídicí rovina container Apps |
| TCP | 5672 |
* | Řídicí rovina container Apps |
| Všechny | * | Adresní prostor podsítě infrastruktury | Povolte komunikaci mezi IP adresami v podsíti infrastruktury. Tato adresa se předává jako parametr při vytváření prostředí , 10.0.0.0/21například . |
Odchozí s požadavky na plně kvalifikovaný název domény / pravidla aplikace
| Protokol | Port | FQDN | Popis |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
Úložiště MCR zálohované službou Azure Content Delivery Network (CDN). |
| TCP | 443 |
*.data.mcr.microsoft.com |
Úložiště MCR zálohované službou Azure CDN |
Odchozí s plně kvalifikovaným názvem domény pro správu výkonu aplikací třetích stran (volitelné)
| Protokol | Port | FQDN | Popis |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
Požadované sítě agentů aplikace New Relic a monitorování výkonu (APM) z oblasti USA. Viz Sítě agentů APM. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
Požadované sítě agentů New Relic APM z regionu EU. Viz Sítě agentů APM. |
| TCP | 443 |
*.live.dynatrace.com |
Požadovaná síť agentů Dynatrace APM. |
| TCP | 443 |
*.live.ruxit.com |
Požadovaná síť agentů Dynatrace APM. |
| TCP | 443/80 |
*.saas.appdynamics.com |
Požadovaná síť agentů AppDynamics APM. Viz Domény SaaS a rozsahy IP adres. |
Důležité informace
- Pokud používáte servery HTTP, možná budete muset přidat porty
80a443. - Přidání pravidel zamítnutí pro některé porty a protokoly s nižší prioritou, než
65000může způsobit přerušení služeb a neočekávané chování.