Responsabilidades del cliente para el plan de consumo y dedicado Estándar de Azure Spring Apps en una red virtual
Nota:
Los planes Básico, Estándar y Enterprise quedarán en desuso a partir de mediados de marzo de 2025, con un período de jubilación de 3 años. Se recomienda realizar la transición a Azure Container Apps. Para obtener más información, consulte el anuncio de retirada de Azure Spring Apps.
El plan de consumo estándar y dedicado quedará en desuso a partir del 30 de septiembre de 2024, con un cierre completo al cabo de seis meses. Se recomienda realizar la transición a Azure Container Apps. Para más información, consulte Migrar el consumo estándar de Azure Spring Apps y el plan dedicado a Azure Container Apps.
Este artículo se aplica a: ✔️ Consumo y dedicado Estándar (versión preliminar) ❌ Básico/Estándar ❌ Enterprise
En este artículo se describen las responsabilidades del cliente para ejecutar una instancia de servicio de plan dedicado y consumo estándar de Azure Spring Apps en una red virtual.
Use grupos de seguridad de red (NSG) para configurar redes virtuales para que se ajusten a la configuración requerida por Kubernetes.
Para controlar todo el tráfico entrante y saliente del entorno de Azure Container Apps, puede utilizar las NSG para bloquear una red con reglas más restrictivas que las reglas NSG predeterminadas.
Reglas de permisos de NSG
En las tablas siguientes se describe cómo configurar una colección de reglas de permisos de NSG.
Nota:
La subred asociada a un entorno de Azure Container Apps requiere un prefijo CIDR de /23 o mayor.
Saliente con ServiceTags
| Protocolo | Puerto | ServiceTag | Descripción |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
Necesario para la conexión segura interna de Azure Kubernetes Service (AKS) entre los nodos subyacentes y el plano de control. Reemplace <region> con la región en la que está implementada la aplicación de contenedor. |
| TCP | 9000 |
AzureCloud.<region> |
Se requiere para la conexión segura de AKS interna entre los nodos subyacentes y el plano de control. Reemplace <region> con la región en la que está implementada la aplicación de contenedor. |
| TCP | 443 |
AzureMonitor |
Permite llamadas salientes a Azure Monitor. |
| TCP | 443 |
Azure Container Registry |
Habilita Azure Container Registry como se describe en puntos de conexión de servicio de red virtual. |
| TCP | 443 |
MicrosoftContainerRegistry |
La etiqueta de servicio para el registro de contenedores de Microsoft. |
| TCP | 443 |
AzureFrontDoor.FirstParty |
Dependencia de la etiqueta de servicio MicrosoftContainerRegistry. |
| TCP | 443, 445 |
Azure Files |
Habilita Azure Storage como se describe en puntos de conexión de servicio de red virtual. |
Saliente con reglas IP de caracteres comodín
| Protocolo | Puerto | IP | Descripción |
|---|---|---|---|
| TCP | 443 |
* | Establezca todo el tráfico saliente en el puerto 443 para permitir que todas las dependencias de salida basadas en el nombre de dominio completo (FQDN) no tengan una dirección IP estática. |
| UDP | 123 |
* | Servidor NTP. |
| TCP | 5671 |
* | Plano de control de Container Apps. |
| TCP | 5672 |
* | Plano de control de Container Apps. |
| Any | * | Espacio de direcciones en la subred de la infraestructura | Permite la comunicación entre direcciones IP en la subred de la infraestructura. Esta dirección se pasa como parámetro al crear un entorno; por ejemplo, 10.0.0.0/21. |
Salida con requisitos de FQDN o reglas de aplicación
| Protocolo | Puerto | FQDN | Descripción |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
Almacenamiento MCR respaldado por Azure Content Delivery Network (CDN). |
| TCP | 443 |
*.data.mcr.microsoft.com |
Almacenamiento de MCR respaldado por Azure CDN. |
Salida con FQDN para la gestión del rendimiento de aplicaciones de terceros (opcional)
| Protocolo | Puerto | FQDN | Descripción |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
Las redes necesarias de agentes de aplicación y supervisión del rendimiento (APM) de New Relic desde la región de EE. UU. Consulte Redes de agentes APM. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
Las redes necesarias de agentes de New Relic APM de la región de Europa. Consulte Redes de agentes APM. |
| TCP | 443 |
*.live.dynatrace.com |
La red necesaria de agentes de APM de Dynatrace. |
| TCP | 443 |
*.live.ruxit.com |
La red necesaria de agentes de APM de Dynatrace. |
| TCP | 443/80 |
*.saas.appdynamics.com |
La red necesaria de agentes de APM de AppDynamics. Consulte Dominios SaaS e intervalos IP. |
Consideraciones
- Si ejecuta servidores HTTP, es posible que tenga que agregar puertos
80y443. - Agregar reglas de denegación para algunos puertos y protocolos con menor prioridad que
65000puede provocar interrupciones del servicio y un comportamiento inesperado.