Compartir a través de


Responsabilidades del cliente al ejecutar Azure Spring Apps en una red virtual

Nota:

Los planes de Básico, Estándar y Enterprise quedarán en desuso a partir de mediados de marzo de 2025, con un período de retiro de 3 años. Se recomienda realizar la transición a Azure Container Apps. Para más información, consulte el anuncio de retirada de Azure Spring Apps.

El plan de consumo estándar y dedicado quedará obsoleto a partir del 30 de septiembre de 2024, con un cierre completo al cabo de seis meses. Se recomienda realizar la transición a Azure Container Apps. Para obtener más información, consulte Migrar el plan de consumo y dedicado Azure Spring Apps Standard a Azure Container Apps.

Este artículo se aplica a:✅ Básico/Estándar ✅ Enterprise

En este artículo se incluyen especificaciones para el uso de Azure Spring Apps en una red virtual.

Cuando se implementa Azure Spring Apps en la red virtual, tiene dependencias de salida de los servicios fuera de la red virtual. Para fines operativos y de administración, Azure Spring Apps debe tener acceso a determinados puertos y nombres de dominio completo (FQDN). Azure Spring Apps requiere estos puntos de conexión para realizar la comunicación con el plano de administración y para la descarga e instalación de las actualizaciones de seguridad y componentes principales del clúster de Kubernetes.

De forma predeterminada, Azure Spring Apps tiene el acceso de salida a Internet ilimitado. Este nivel de acceso a la red permite que las aplicaciones que ejecuta accedan a recursos externos según sea necesario. Si desea restringir el tráfico de salida, es necesario el acceso a un número limitado de puertos y direcciones para las tareas de mantenimiento. La solución más sencilla para proteger las direcciones de salida consiste en usar un dispositivo de firewall que pueda controlar el tráfico de salida en función de los nombres de dominio. Azure Firewall, por ejemplo, puede restringir el tráfico saliente HTTP y HTTPS en función del FQDN de destino. También puede configurar las reglas de seguridad y de firewall que prefiera para permitir estos puertos y direcciones necesarios.

Requisitos de recursos de Azure Spring Apps

En la siguiente lista se muestran los requisitos de recursos de los servicios de Azure Spring Apps. Como requisito general, no debe modificar los grupos de recursos creados por Azure Spring Apps y los recursos de red subyacentes.

  • No modifique los grupos de recursos creados que son propiedad de Azure Spring Apps.
    • De manera predeterminada, estos grupos de recursos se denominan ap-svc-rt_<service-instance-name>_<region>* y ap_<service-instance-name>_<region>*.
    • No evite que Azure Spring Apps actualice recursos de estos grupos de recursos.
  • No modifique las subredes usadas por Azure Spring Apps.
  • No cree más de una instancia de servicio de Azure Spring Apps en la misma subred.
  • Si usa un firewall para controlar el tráfico, no bloquee el siguiente tráfico de salida a los componentes de Azure Spring Apps que operan, mantienen y prestan soporte a la instancia de servicio.

Reglas de red obligatorias globales de Azure

Punto de conexión de destino Port Uso Nota:
*:443 o ServiceTag: AzureCloud:443 TCP:443 Administración del servicio de Azure Spring Apps. Para obtener información sobre la instancia de servicio requiredTraffics, consulte la carga del recurso, en la sección networkProfile.
*.azurecr.io:443 o ServiceTag - AzureContainerRegistry:443 TCP:443 Azure Container Registry. Para reemplazarlo, es preciso habilitar el punto de conexión de servicio de Azure Container Registry en la red virtual.
*.core.windows.net:443 and *.core.windows.net:445 o ServiceTag: Storage:443 y Storage:445 TCP:443, TCP:445 Azure Files Para reemplazarlo, es preciso habilitar el punto de conexión de servicio de Azure Storage en la red virtual.
*.servicebus.windows.net:443 o ServiceTag: EventHub:443 TCP:443 Azure Event Hubs. Para reemplazarlo, es preciso habilitar el punto de conexión de servicio de Azure Event Hubs en la red virtual.
*.prod.microsoftmetrics.com:443 o ServiceTag - AzureMonitor:443 TCP:443 Azure Monitor. Permite llamadas salientes a Azure Monitor.

Reglas de aplicación o FQDN obligatorias globales de Azure

Azure Firewall proporciona la etiqueta de FQDN AzureKubernetesService para simplificar las siguientes configuraciones:

FQDN de destino Port Uso
*.azmk8s.io HTTPS:443 Administración de un clúster de Kubernetes subyacente.
mcr.microsoft.com HTTPS:443 Microsoft Container Registry (MCR).
*.data.mcr.microsoft.com HTTPS:443 Almacenamiento de MCR respaldado por Azure CDN.
management.azure.com HTTPS:443 Administración de un clúster de Kubernetes subyacente.
login.microsoftonline.com HTTPS:443 Autenticación de Microsoft Entra.
packages.microsoft.com HTTPS:443 Repositorio de paquetes de Microsoft.
acs-mirror.azureedge.net HTTPS:443 Repositorio necesario para instalar los archivos binarios necesarios, como kubenet y Azure CNI.

Reglas de red necesarias de Microsoft Azure operado por 21Vianet

Punto de conexión de destino Port Uso Nota:
*:443 o ServiceTag: AzureCloud:443 TCP:443 Administración del servicio de Azure Spring Apps. Para obtener información sobre la instancia de servicio requiredTraffics, consulte la carga del recurso, en la sección networkProfile.
*.azurecr.cn:443 o ServiceTag: AzureContainerRegistry:443 TCP:443 Azure Container Registry. Para reemplazarlo, es preciso habilitar el punto de conexión de servicio de Azure Container Registry en la red virtual.
*.core.chinacloudapi.cn:443 y *.core.chinacloudapi.cn:445 o ServiceTag: Storage:443 y Storage:445 TCP:443, TCP:445 Azure Files Para reemplazarlo, es preciso habilitar el punto de conexión de servicio de Azure Storage en la red virtual.
*.servicebus.chinacloudapi.cn:443 o ServiceTag: EventHub:443 TCP:443 Azure Event Hubs. Para reemplazarlo, es preciso habilitar el punto de conexión de servicio de Azure Event Hubs en la red virtual.
*.prod.microsoftmetrics.com:443 o ServiceTag - AzureMonitor:443 TCP:443 Azure Monitor. Permite llamadas salientes a Azure Monitor.

Microsoft Azure operado por 21Vianet requiere FQDN / reglas de aplicación

Azure Firewall proporciona la etiqueta AzureKubernetesService de FQDN para simplificar las siguientes configuraciones:

FQDN de destino Port Uso
*.cx.prod.service.azk8s.cn HTTPS:443 Administración de un clúster de Kubernetes subyacente.
mcr.microsoft.com HTTPS:443 Microsoft Container Registry (MCR).
*.data.mcr.microsoft.com HTTPS:443 Almacenamiento de MCR respaldado por Azure CDN.
management.chinacloudapi.cn HTTPS:443 Administración de un clúster de Kubernetes subyacente.
login.chinacloudapi.cn HTTPS:443 Autenticación de Microsoft Entra.
packages.microsoft.com HTTPS:443 Repositorio de paquetes de Microsoft.
*.azk8s.cn HTTPS:443 Repositorio necesario para instalar los archivos binarios necesarios, como kubenet y Azure CNI.

FQDN opcional de Azure Spring Apps para la administración del rendimiento de aplicaciones de terceros

FQDN de destino Port Uso
collector*.newrelic.com TCP:443/80 Redes necesarias de agentes de APM de New Relic de la región de EE. UU.; consulte también las Redes de agentes de APM.
collector*.eu01.nr-data.net TCP:443/80 Redes necesarias de agentes de APM de New Relic de la región de Europa; consulte también las Redes de agentes de APM.
*.live.dynatrace.com TCP:443 Red necesaria de agentes APM de Dynatrace.
*.live.ruxit.com TCP:443 Red necesaria de agentes APM de Dynatrace.
*.saas.appdynamics.com TCP:443/80 Red necesaria de agentes de AppDynamics APM, vea también Dominios de SaaS e intervalos IP.

FQDN opcional de Azure Spring Apps para Application Insights

Debe abrir algunos puertos salientes en el firewall de su servidor para permitir que el SDK de Application Insights o el agente de Application Insights envíen datos al portal. Para obtener más información, consulte la sección Puertos salientes de direcciones IP usadas por Azure Monitor.

Etiqueta de servicio de VirtualNetwork

Los grupos de seguridad de red de Azure pueden filtrar el tráfico de red dentro de la red virtual de Azure. Al habilitar el tráfico de red entrante mediante la etiqueta de servicio VirtualNetwork, incluye automáticamente todos los intervalos de direcciones IP de la red virtual de carga de trabajo y las redes virtuales de tránsito emparejadas.

Para Azure Spring Apps que se ejecuta en Azure Kubernetes Service (AKS), la infraestructura de AKS administra los prefijos de dirección IP de las cargas de trabajo en todos los grupos de nodos de AKS. Estos prefijos se incluyen implícitamente en la etiqueta de servicio VirtualNetwork. Este diseño garantiza que las aplicaciones permanezcan accesibles dentro de la red virtual, incluso si sus direcciones IP están fuera del intervalo IP definido de la red virtual.

Si decide no permitir el tráfico mediante la etiqueta de servicio VirtualNetwork, debe configurar reglas específicas para permitir la comunicación entre la subred del runtime del servicio Azure Spring Apps y la subred de aplicaciones. Además, debe permitir explícitamente el tráfico desde el Enrutamiento de interdominios sin clases (CIDR) reservado de Azure Spring Apps, que usa la infraestructura de AKS subyacente. No puede agregar solo parte del intervalo CIDR a la lista de permitidos porque el prefijo de dirección para las cargas de trabajo es dinámico.

Pasos siguientes