Partager via


Responsabilités du client pour le plan de consommation Standard et dédié d’Azure Spring Apps dans un réseau virtuel

Remarque

Les plans Essentiel, Standard et Entreprise seront déconseillés à compter de la mi-mars 2025, avec une période de mise hors service de 3 ans. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez l’annonce de mise hors service d’Azure Spring Apps.

Le plan de consommation standard et dédiée sera déconseillé à compter du 30 septembre 2024, avec un arrêt complet après six mois. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez Migrer le plan de consommation standard et dédiée Azure Spring Apps vers Azure Container Apps.

Cet article s’applique à :✅ Consommation standard et dédiée (aperçu) ❎ Essentiel/Standard ❎ Entreprise

Cet article décrit les responsabilités du client pour l’exécution d’une instance de service de consommation Standard et de plan dédié Azure Spring Apps dans un réseau virtuel.

Utilisez des groupes de sécurité réseau (NSG) afin de configurer des réseaux virtuels pour la conformité aux paramètres exigés par Kubernetes.

Pour contrôler tout le trafic entrant et sortant dans l’environnement Azure Container Apps, vous pouvez utiliser des NSG afin de verrouiller un réseau avec des règles plus restrictives que les règles NSG par défaut.

Règles d’autorisation de groupe de sécurité réseau

Les tableaux suivants décrivent la configuration d’un ensemble de règles de groupe de sécurité réseau.

Remarque

Le sous-réseau associé à un environnement Azure Container Apps nécessite un préfixe CIDR /23 ou supérieur.

Sortant avec ServiceTags

Protocole Port Balise de service Description
UDP 1194 AzureCloud.<region> Obligatoire pour une connexion sécurisée AKS (Azure Kubernetes Service) interne entre les nœuds sous-jacents et le plan de contrôle. Remplacez <region> par la région dans laquelle votre application de conteneur est déployée.
TCP 9000 AzureCloud.<region> Obligatoire pour une connexion sécurisée AKS interne entre les nœuds sous-jacents et le plan de contrôle. Remplacez <region> par la région dans laquelle votre application de conteneur est déployée.
TCP 443 AzureMonitor Autorise les appels sortants vers Azure Monitor.
TCP 443 Azure Container Registry Active Azure Container Registry comme décrit dans Points de terminaison de service de réseau virtuel.
TCP 443 MicrosoftContainerRegistry Étiquette de service pour le registre de conteneurs pour les conteneurs Microsoft.
TCP 443 AzureFrontDoor.FirstParty Dépendance de l’étiquette de service MicrosoftContainerRegistry.
TCP 443, 445 Azure Files Active Stockage Azure comme décrit dans Points de terminaison de service de réseau virtuel.

Sortant avec les règles d’adresse IP générique

Protocole Port IP Description
TCP 443 * Définir tout le trafic sortant sur le port 443 de façon à autoriser toutes les dépendances sortantes basées sur un nom de domaine complet qui n’ont pas d’adresse IP statique.
UDP 123 * Serveur NTP.
TCP 5671 * Plan de contrôle Container Apps.
TCP 5672 * Plan de contrôle Container Apps.
Tout * Espace d’adressage de sous-réseau d’infrastructure Autorisez la communication entre les adresses IP dans le sous-réseau d’infrastructure. Cette adresse est transmise en tant que paramètre lorsque vous créez un environnement, par exemple 10.0.0.0/21.

Sortant avec les règles d’application/exigences en matière de nom de domaine complet

Protocole Port FQDN Description
TCP 443 mcr.microsoft.com Microsoft Container Registry (MCR).
TCP 443 *.cdn.mscr.io Stockage MCR assuré par Azure Content Delivery Network (CDN).
TCP 443 *.data.mcr.microsoft.com Stockage de MCR s’appuyant sur le réseau de distribution de contenu.

Sortant avec nom de domaine complet pour la gestion des performances des applications tierces (facultatif)

Protocole Port FQDN Description
TCP 443/80 collector*.newrelic.com Réseaux requis d’agents de monitoring des performances (APM) et d’application New Relic à partir de la région US. Voir Réseaux d’agents APM.
TCP 443/80 collector*.eu01.nr-data.net Réseaux requis d’agents APM New Relic à partir de la région UE. Voir Réseaux d’agents APM.
TCP 443 *.live.dynatrace.com Réseau requis d’agents APM Dynatrace.
TCP 443 *.live.ruxit.com Réseau requis d’agents APM Dynatrace.
TCP 443/80 *.saas.appdynamics.com Réseau requis d’agents APM AppDynamics. Voir Domaines SaaS et plages d’adresses IP.

À propos de l’installation

  • Si vous exécutez des serveurs HTTP, vous devrez peut-être ajouter les ports 80 et 443.
  • L’ajout de règles de refus pour certains ports et protocoles avec une priorité inférieure à 65000 peut entraîner une interruption de service et un comportement inattendu.

Étapes suivantes