Déployer Azure Spring Apps dans un réseau virtuel
Remarque
Les plans Essentiel, Standard et Entreprise seront déconseillés à compter de la mi-mars 2025, avec une période de mise hors service de 3 ans. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez l’annonce de mise hors service d’Azure Spring Apps.
Le plan de consommation standard et dédiée sera déconseillé à compter du 30 septembre 2024, avec un arrêt complet après six mois. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez Migrer le plan de consommation standard et dédiée Azure Spring Apps vers Azure Container Apps.
Cet article s'applique à : ✅ Java ✅ C#
Cet article s'applique à : ❎ Basique ✅ Standard ✅ Entreprise
Ce tutoriel explique comment déployer une instance Azure Spring Apps dans votre réseau virtuel. Ce déploiement est parfois appelé « injection de réseau virtuel ».
Le déploiement permet :
- L’isolement des applications et du runtime du service Azure Spring Apps par rapport à Internet sur votre réseau d’entreprise
- L’interaction d’Azure Spring Apps avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels
- La possibilité pour les clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Apps.
La vidéo suivante montre comment sécuriser les applications Spring Boot à l’aide de réseaux virtuels managés.
Remarque
Vous pouvez sélectionner votre réseau virtuel Azure uniquement quand vous créez une instance de service Azure Spring Apps. Vous ne pouvez pas changer et utiliser un autre réseau virtuel après la création de l’instance Azure Spring Apps.
Prérequis
Inscrivez le fournisseur de ressources Azure Spring Apps Microsoft.AppPlatform
et Microsoft.ContainerService
conformément aux instructions figurant dans Inscrire un fournisseur de ressources dans le portail Azure ou en exécutant la commande Azure CLI suivante :
az provider register --namespace Microsoft.AppPlatform
az provider register --namespace Microsoft.ContainerService
Conditions requises pour le réseau virtuel
Le réseau virtuel dans lequel vous déployez votre instance Azure Spring Apps doit répondre aux conditions suivantes :
- Emplacement : le réseau virtuel doit résider au même emplacement que l’instance Azure Spring Apps.
- Abonnement: le réseau virtuel doit figurer dans le même abonnement que l’instance Azure Spring Apps.
- Sous-réseaux : le réseau virtuel doit inclure deux sous-réseaux dédiés à une instance Azure Spring Apps :
- Un pour le runtime du service.
- Un pour vos applications Spring.
- Il existe une relation un-à-un entre ces sous-réseaux et une instance Azure Spring Apps. Utilisez un nouveau sous-réseau pour chaque instance de service que vous déployez. Chaque sous-réseau ne peut inclure qu’une seule instance de service.
- Espace d’adressage : blocs CIDR jusqu’à /28 pour le sous-réseau du runtime du service et le sous-réseau des applications Spring.
- Table de routage : par défaut, les sous-réseaux n’ont pas besoin d’être associés à des tables de routage existantes. Vous pouvez apporter votre propre table de routage.
Utilisez les étapes suivantes pour configurer le réseau virtuel visant à contenir l’instance Azure Spring Apps.
Créez un réseau virtuel
Si vous disposez déjà d’un réseau virtuel pour héberger une instance Azure Spring Apps, ignorez les étapes 1, 2 et 3. Vous pouvez commencer à l’étape 4 pour préparer les sous-réseaux du réseau virtuel.
Dans le menu du portail Azure, sélectionnez Créer une ressource. Dans la Place de marché Azure, sélectionnez Mise en réseau>Réseau virtuel.
Dans la boîte de dialogue Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez votre groupe de ressources ou créez-en un. Nom Entrez azure-spring-apps-vnet. Emplacement Sélectionnez USA Est. Sélectionnez Suivant : Adresses IP.
Pour l’espace d’adressage IPv4, entrez 10.1.0.0/16.
Sélectionnez Ajouter un sous-réseau. Ensuite, entrez service-runtime-subnet pour Nom du sous-réseau et entrez 10.1.0.0/24 pour Plage d’adresses de sous-réseau. Ensuite, cliquez sur Ajouter.
Sélectionnez à nouveau Ajouter un sous-réseau, puis entrez le nom du sous-réseau et la plage d’adresses du sous-réseau. Par exemple, entrez apps-subnet et 10.1.1.0/24. Ensuite, cliquez sur Ajouter.
Sélectionnez Revoir + créer. Conservez les autres valeurs par défaut, puis sélectionnez Créer.
Accorder l’autorisation du service au réseau virtuel
Cette section vous montre comment accorder à Azure Spring Apps les autorisations Administrateur d’accès utilisateur et Contributeur réseau sur votre réseau virtuel. Cette autorisation vous permet d’accorder un principal de service dédié et dynamique sur le réseau virtuel pour davantage de déploiement et de maintenance.
Remarque
Si vous utilisez votre propre table de routage ou une fonctionnalité de routage défini par l’utilisateur, vous devez également accorder à Azure Spring Apps les mêmes attributions de rôles à vos tables de routage. Pour plus d’informations, consultez la section Apporter votre propre table de routage et Contrôler le trafic de sortie pour une instance Azure Spring Apps.
Utilisez les étapes suivantes pour accorder des autorisations :
Sélectionnez le réseau virtuel
azure-spring-apps-vnet
que vous avez créé précédemment.Sélectionnez Contrôle d’accès (IAM), puis Ajouter>Ajouter une attribution de rôle.
Attribuez les rôles
Network Contributor
etUser Access Administrator
au fournisseur de ressources Azure Spring Cloud. Pour plus d’informations, consultez Attribuer des rôles Azure en utilisant le portail Azure.Remarque
Le rôle
User Access Administrator
se trouve dans les Rôles d’administrateur privilégié etNetwork Contributor
se trouve dans les Rôles de fonction travail.
Déployer une instance Azure Spring Apps
Utilisez les étapes suivantes pour déployer une instance Azure Spring Apps dans le réseau virtuel :
Ouvrez le portail Azure.
Dans la zone de recherche en haut, recherchez Azure Spring Apps. Sélectionnez Azure Spring Apps dans le résultat.
Dans la page Azure Spring Apps, sélectionnez Ajouter.
Remplissez le formulaire dans la page Créer Azure Spring Apps.
Sélectionnez le même groupe de ressources et la même région que le réseau virtuel.
Pour Nom, sous Détails sur le service, sélectionnez azure-spring-apps-vnet.
Sélectionnez l’onglet Mise en réseau et les valeurs suivantes :
Paramètre Valeur Déployer dans votre propre réseau virtuel Sélectionnez Oui. Réseau virtuel Sélectionnez azure-spring-apps-vnet. Sous-réseau du runtime du service Sélectionnez service-runtime-subnet. Sous-réseau des applications de microservices Spring Boot Sélectionnez apps-subnet. Sélectionnez Examiner et créer.
Vérifiez vos spécifications, puis cliquez sur Créer.
Après le déploiement, deux autres groupes de ressources sont créés dans votre abonnement afin d’héberger les ressources réseau pour l’instance Azure Spring Apps. Accédez à Accueil, puis sélectionnez Groupes de ressources dans les éléments de menu du haut pour trouver les nouveaux groupes de ressources suivants.
Le groupe de ressources nommé ap-svc-rt_{service instance name}_{service instance region}
contient les ressources réseau pour le runtime de service de l’instance du service.
Le groupe de ressources nommé ap-app_{service instance name}_{service instance region}
contient les ressources réseau pour vos applications Spring de l’instance du service.
Ces ressources réseau sont connectées à votre réseau virtuel créé dans l’image précédente.
Important
Les groupes de ressources sont entièrement gérés par le service Azure Spring Apps. Veillez à ne pas y supprimer ou modifier manuellement des ressources.
Utilisation de plages de sous-réseaux plus petites
Ce tableau indique le nombre maximal d’instances d’application prises en charge par Azure Spring Apps à l’aide de plages de sous-réseaux plus petites.
CIDR du sous-réseau d’application | Nombre total d’adresses IP | Adresses IP disponibles | Nombre maximal d’instances d’application |
---|---|---|---|
/28 | 16 | 8 | Application avec 0.5 noyau : 192 |
/27 | 32 | 24 | Application avec 0.5 noyau : 456 |
/26 | 64 | 56 | Application avec 0.5 noyau : 500 |
/25 | 128 | 120 | Application avec 0.5 noyau : 500 |
/24 | 256 | 248 | Application avec 0.5 noyau : 500 |
Pour les sous-réseaux, Azure réserve cinq adresses IP et Azure Spring Apps exige au moins trois adresses IP. Au moins huit adresses IP sont exigées, si bien que /29 et /30 ne sont pas opérationnelles.
Pour un sous-réseau du runtime du service, la taille minimale est /28.
Remarque
Une petite plage de sous-réseaux a un impact sur la ressource sous-jacente que vous pouvez utiliser pour les composants système tels que le contrôleur d’entrée. Azure Spring Apps utilise un contrôleur d’entrée sous-jacent pour traiter la gestion du trafic des applications. Le nombre d’instances de contrôleur d’entrée augmente automatiquement à mesure que le trafic des applications augmente. Réservez une plus grande plage d’adresses IP de sous-réseau de réseau virtuel au cas où le trafic des applications augmenterait. Vous réservez généralement une adresse IP pour un trafic de 10000 requêtes par seconde.
Apporter votre propre table de routage
Azure Spring Apps prend en charge l’utilisation des sous-réseaux et des tables de routage existants.
Si vos sous-réseaux personnalisés ne contiennent pas de tables de routage, Azure Spring Apps en crée pour chacun des sous-réseaux et y ajoute des règles tout au long du cycle de vie de l’instance. Si vos sous-réseaux personnalisés contiennent des tables de routage, Azure Spring Apps reconnaît les tables de routage existantes pendant les opérations de l’instance et ajoute ou met à jour des règles en conséquence pour les opérations.
Avertissement
Des règles personnalisées peuvent être ajoutées aux tables de routage personnalisées et mises à jour. Toutefois, les règles sont ajoutées par Azure Spring Apps et elles ne doivent pas être mises à jour ni supprimées. Les règles telles que 0.0.0.0/0 doivent toujours exister sur une table de route donnée et être mappées à la cible de votre passerelle Internet, telle qu’une appliance virtuelle réseau ou une autre passerelle de sortie. Lors de la mise à jour des règles, soyez prudent si seules vos règles personnalisées sont modifiées.
Spécifications des tables de routage
Les tables de routage auxquelles votre réseau virtuel personnalisé est associé doivent remplir les conditions suivantes :
- Vous ne pouvez associer vos tables de routage Azure à votre réseau virtuel que lorsque vous créez une instance de service Azure Spring Apps. Vous ne pouvez pas changer de table de routage après avoir créé une instance Azure Spring Apps.
- Le sous-réseau d’applications Spring et le sous-réseau du runtime du service doivent être associés à des tables de route différentes ou à aucune d’entre elles.
- Les autorisations doivent être attribuées avant la création de l’instance. Veillez à accorder au fournisseur de ressources Azure Spring Cloud les autorisations
User Access Administrator
etNetwork Contributor
sur vos tables de routage. - Vous ne pouvez pas mettre à jour la ressource de table de route associée après la création du cluster. Vous ne pouvez pas mettre à jour la ressource de table de routage, mais vous pouvez par contre modifier les règles personnalisées sur la table de routage.
- Vous ne pouvez pas réutiliser une table de routage avec plusieurs instances en raison de règles d’acheminement pouvant entrer en conflit.
Utilisation des serveurs DNS personnalisés
Azure Spring Apps prend en charge l’utilisation de serveurs DNS personnalisés dans votre réseau virtuel.
Si vous ne spécifiez pas de serveurs DNS personnalisés dans votre paramètre Réseau virtuel de serveur DNS, Azure Spring Apps utilise par défaut Azure DNS pour résoudre les adresses IP. Si votre réseau virtuel est configuré avec des paramètres DNS personnalisés, ajoutez l’adresse IP Azure DNS 168.63.129.16
en tant que serveur DNS en amont dans le serveur DNS personnalisé. Azure DNS peut résoudre les adresses IP pour tous les noms de domaine complets publics mentionnés dans Responsabilités du client pour l’exécution d’Azure Spring Apps dans un réseau virtuel. Il peut également résoudre l’adresse IP pour *.svc.private.azuremicroservices.io
dans votre réseau virtuel.
Si votre serveur DNS personnalisé ne peut pas ajouter l’adresse IP Azure DNS 168.63.129.16
en tant que serveur DNS en amont, suivez ces étapes :
- Vérifiez que votre serveur DNS personnalisé peut résoudre les adresses IP pour tous les noms de domaine complets publics. Pour plus d’informations, consultez Responsabilités du client pour l’exécution d’Azure Spring Apps dans un réseau virtuel.
- Ajoutez l’enregistrement DNS
*.svc.private.azuremicroservices.io
à l’adresse IP de votre application. Pour plus d’informations, consultez la section Rechercher l’adresse IP de votre application dans Accéder à une application dans Azure Spring Apps dans un réseau virtuel.