Responsabilités du client pour l’exécution d’Azure Spring Apps dans un réseau virtuel
Remarque
Les plans Essentiel, Standard et Entreprise seront déconseillés à compter de la mi-mars 2025, avec une période de mise hors service de 3 ans. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez l’annonce de mise hors service d’Azure Spring Apps.
Le plan de consommation standard et dédiée sera déconseillé à compter du 30 septembre 2024, avec un arrêt complet après six mois. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez Migrer le plan de consommation standard et dédiée Azure Spring Apps vers Azure Container Apps.
Cet article s’applique à :✅ Essentiel/Standard ✅ Entreprise
Cet article comprend les spécifications relatives à l’utilisation d’Azure Spring Apps dans un réseau virtuel.
Quand Azure Spring Apps est déployé dans votre réseau virtuel, il présente des dépendances sortantes sur des services extérieurs au réseau virtuel. Pour la gestion et à des fins opérationnelles, Azure Spring Apps doit accéder à certains ports et noms de domaine complet (FQDN). Azure Spring Apps a besoin de ces points de terminaison pour communiquer avec le plan de gestion et pour télécharger et installer les principaux composants du cluster Kubernetes et les mises à jour de sécurité.
Par défaut, Azure Spring Apps dispose d’un accès Internet sortant (sortie) illimité. Ce niveau d’accès réseau permet aux applications que vous exécutez d’accéder aux ressources externes en fonction des besoins. Si vous souhaitez restreindre le trafic de sortie, un nombre limité de ports et d’adresses doit être accessible pour les tâches de maintenance. La solution la plus simple pour sécuriser les adresses sortantes consiste à utiliser un dispositif de pare-feu permettant de contrôler le trafic sortant en fonction des noms de domaine. Le Pare-feu Azure, par exemple, peut restreindre le trafic HTTP et HTTPS sortant en fonction du nom FQDN de la destination. Vous pouvez également configurer les règles de pare-feu et de sécurité de votre choix pour autoriser ces ports et adresses requis.
Conditions requises concernant les ressources Azure Spring Apps
La liste suivante montre les ressources nécessaires aux services Azure Spring Apps. En règle générale, vous ne devez pas modifier les groupes de ressources créés par Azure Spring Apps, ni les ressources réseau sous-jacentes.
- Ne modifiez pas les groupes de ressources créés et appartenant à Azure Spring Apps.
- Ces groupes de ressources sont par défaut nommés
ap-svc-rt_<service-instance-name>_<region>*
etap_<service-instance-name>_<region>*
. - N’empêchez pas Azure Spring Apps de mettre à jour les ressources de ces groupes de ressources.
- Ces groupes de ressources sont par défaut nommés
- Ne modifiez pas les sous-réseaux utilisés par Azure Spring Apps.
- Ne créez pas plusieurs instances de service Azure Spring Apps dans le même sous-réseau.
- Quand vous utilisez un pare-feu pour contrôler le trafic, ne bloquez pas le trafic de sortie suivant vers les composants Azure Spring Apps qui assurent le fonctionnement, la maintenance et la prise en charge de l’instance de service.
Règles de réseau requises pour Azure Global
Point de terminaison de destination | Port | Utilisation | Remarque |
---|---|---|---|
*:443 ou ServiceTag – AzureCloud:443 | TCP:443 | Management des services d'Azure Spring Apps. | Pour obtenir plus d’informations sur l’instance de service requiredTraffics , consultez la charge utile de la ressource, sous la section networkProfile . |
*.azurecr.io:443 ou ServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Peut être remplacé en activant le point de terminaison de service d’Azure Container Registry dans le réseau virtuel. |
*.core.windows.net:443 et *.core.windows.net:445 ou ServiceTag – Storage:443 et Storage:445 | TCP:443, TCP:445 | Azure Files | Peut être remplacé en activant le point de terminaison de service de Stockage Azure dans le réseau virtuel. |
*.servicebus.windows.net:443 ou ServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Peut être remplacé en activant le point de terminaison de service d’Azure Event Hubs dans le réseau virtuel. |
*.prod.microsoftmetrics.com:443 ou ServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor. | Autorise les appels sortants vers Azure Monitor. |
Règles de nom FQDN/d’application requises pour Azure Global
Pare-feu Azure fournit la balise de nom de domaine complet (FQDN) AzureKubernetesService pour simplifier les configurations suivantes :
Nom FQDN de destination | Port | Utilisation |
---|---|---|
*.azmk8s.io | HTTPS:443 | Gestion sous-jacente des clusters Kubernetes. |
mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
*.data.mcr.microsoft.com | HTTPS:443 | Stockage de MCR s’appuyant sur le réseau de distribution de contenu. |
management.azure.com | HTTPS:443 | Gestion sous-jacente des clusters Kubernetes. |
login.microsoftonline.com | HTTPS:443 | Authentification Microsoft Entra. |
packages.microsoft.com | HTTPS:443 | Référentiel de packages Microsoft. |
acs-mirror.azureedge.net | HTTPS:443 | Référentiel requis pour installer les fichiers binaires requis comme kubenet et Azure CNI. |
Règles de réseau requises par Microsoft Azure géré par 21Vianet
Point de terminaison de destination | Port | Utilisation | Remarque |
---|---|---|---|
*:443 ou ServiceTag – AzureCloud:443 | TCP:443 | Management des services d'Azure Spring Apps. | Pour obtenir plus d’informations sur l’instance de service requiredTraffics , consultez la charge utile de la ressource, sous la section networkProfile . |
*.azurecr.cn:443 ou ServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Peut être remplacé en activant le point de terminaison de service d’Azure Container Registry dans le réseau virtuel. |
*.core.chinacloudapi.cn:443 et *.core.chinacloudapi.cn:445 ou ServiceTag – Storage:443 et Storage:445 | TCP:443, TCP:445 | Azure Files | Peut être remplacé en activant le point de terminaison de service de Stockage Azure dans le réseau virtuel. |
*.servicebus.chinacloudapi.cn:443 ou ServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Peut être remplacé en activant le point de terminaison de service d’Azure Event Hubs dans le réseau virtuel. |
*.prod.microsoftmetrics.com:443 ou ServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor. | Autorise les appels sortants vers Azure Monitor. |
Règles FQDN / d’application requises par Microsoft Azure géré par 21Vianet
Pare-feu Azure fournit la balise de nom de domaine complet (FQDN) AzureKubernetesService
pour simplifier les configurations suivantes :
Nom FQDN de destination | Port | Utilisation |
---|---|---|
*.cx.prod.service.azk8s.cn | HTTPS:443 | Gestion sous-jacente des clusters Kubernetes. |
mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
*.data.mcr.microsoft.com | HTTPS:443 | Stockage de MCR s’appuyant sur le réseau de distribution de contenu. |
management.chinacloudapi.cn | HTTPS:443 | Gestion sous-jacente des clusters Kubernetes. |
login.chinacloudapi.cn | HTTPS:443 | Authentification Microsoft Entra. |
packages.microsoft.com | HTTPS:443 | Référentiel de packages Microsoft. |
*.azk8s.cn | HTTPS:443 | Référentiel requis pour installer les fichiers binaires requis comme kubenet et Azure CNI. |
Nom de domaine complet facultatif d’Azure Spring Apps pour la gestion des performances des applications tierces
Nom FQDN de destination | Port | Utilisation |
---|---|---|
collector*.newrelic.com | TCP:443/80 | Réseaux requis des agents APM de New Relic de la région États-Unis ; voir aussi les réseaux d’agents APM. |
collector*.eu01.nr-data.net | TCP:443/80 | Réseaux requis des agents APM de New Relic de la région Europe ; voir aussi les réseaux d’agents APM. |
*.live.dynatrace.com | TCP:443 | Réseau d’agents Dynatrace APM nécessaire. |
*.live.ruxit.com | TCP:443 | Réseau d’agents Dynatrace APM nécessaire. |
*.saas.appdynamics.com | TCP:443/80 | Réseau d’agents APM AppDynamics nécessaire. Consultez également les informations relatives aux domaines et plages d’adresses IP SaaS. |
Nom de domaine complet Azure Spring Apps facultatif pour Application Insights
Vous devez ouvrir des ports sortants dans le pare-feu de votre serveur pour autoriser le Kit de développement logiciel (SDK) Application Insights ou l’agent Application Insights à envoyer des données sur le portail. Pour obtenir plus d’informations, consultez la section Ports sortants des Adresses IP utilisées par Azure Monitor.