仮想ネットワークでの Azure Spring Apps の実行に関するお客様の責任
Note
Basic、Standard、Enterprise プランは、2025 年 3 月中旬以降非推奨になり、廃止期間は 3 年間です。 Azure Container Apps に移行することをお勧めします。 詳細については、「Azure Spring Apps の廃止のお知らせ」を参照してください。
Standard 従量課金と専用プランは、2024 年 9 月 30 日以降に非推奨になり、6 か月後に完全にシャットダウンされます。 Azure Container Apps に移行することをお勧めします。 詳細については、「Azure Spring Apps の Standard 従量課金および専用プランを Azure Container Apps に移行する」を参照してください。
この記事の適用対象:✅ Basic/Standard ✅ Enterprise
この記事には、仮想ネットワークで Azure Spring Apps を使用するための仕様が含まれています。
仮想ネットワークにデプロイする場合、Azure Spring Apps には、仮想ネットワークの外部にあるサービスへの送信依存関係があります。 管理と運用上の目的から、Azure Spring Apps は特定のポートと完全修飾ドメイン名 (FQDN) にアクセスする必要があります。 Azure Spring Apps では、管理プレーンとの通信、およびコア Kubernetes クラスター コンポーネントとセキュリティ更新プログラムのダウンロードとインストールに、これらのエンドポイントが必要です。
既定で、Azure Spring Apps は、送信 (エグレス) インターネット アクセスが無制限です。 このレベルのネットワーク アクセスでは、実行しているアプリケーションから必要に応じて外部リソースにアクセスできます。 エグレス トラフィックを制限する場合は、メンテナンス タスクに対して、アクセスできるポートとアドレスの数を制限する必要があります。 送信アドレスをセキュリティで保護する最も簡単なソリューションは、ドメイン名に基づいて送信トラフィックを制御できるファイアウォール デバイスを使用することです。 たとえば、Azure Firewall では、送信先の FQDN に基づいて HTTP と HTTPS の送信トラフィックを制限できます。 また、適切なファイアウォール規則とセキュリティ規則を構成し、これらの必要なポートとアドレスを許可することができます。
Azure Spring Apps のリソース要件
以下の一覧は、Azure Spring Apps サービスのリソース要件をまとめたものです。 一般的な要件として、Azure Spring Apps によって作成されたリソース グループおよび基になるネットワーク リソースを変更することはできません。
- Azure Spring Apps によって作成および所有されているリソース グループは変更しないでください。
- 既定では、これらのリソース グループには
ap-svc-rt_<service-instance-name>_<region>*とap_<service-instance-name>_<region>*という名前が付けられています。 - Azure Spring Apps で、これらのリソース グループ内のリソースの更新をブロックしないでください。
- 既定では、これらのリソース グループには
- Azure Spring Apps で使用されるサブネットは変更しないでください。
- 同じサブネット内に複数の Azure Spring Apps サービス インスタンスを作成しないでください。
- ファイアウォールを使用してトラフィックを制御する場合は、サービス インスタンスを運用、保守、およびサポートする Azure Spring Apps コンポーネントへの次のエグレス トラフィックをブロックしないでください。
Azure Global に必要なネットワーク規則
| 送信先エンドポイント | Port | 用途 | Note |
|---|---|---|---|
| *:443 または ServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps サービスの管理。 | サービス インスタンス requiredTraffics の詳細については、「networkProfile」セクションのリソース ペイロードを参照してください。 |
| *.azurecr.io:443 または ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry。 | Azure Container Registry 仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。 |
| *.core.windows.net:443 および *.core.windows.net:445 または ServiceTag - Storage:443 および Storage:445 | TCP:443、TCP:445 | Azure Files | Azure Storage 仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。 |
| *.servicebus.windows.net:443 または ServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs。 | Azure Event Hubs 仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。 |
| *.prod.microsoftmetrics.com:443 または ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor。 | Azure Monitor へのアウトバウンド呼び出しを許可します。 |
Azure Global に必要な FQDN とアプリケーションの規則
Azure Firewall には、次の構成を簡略化するために FQDN タグ AzureKubernetesService が用意されています。
| 送信先 FQDN | Port | 用途 |
|---|---|---|
| *.azmk8s.io | HTTPS: 443 | 基になる Kubernetes クラスターの管理。 |
| mcr.microsoft.com | HTTPS: 443 | Microsoft Container Registry (MCR)。 |
| *.data.mcr.microsoft.com | HTTPS: 443 | Azure CDN によってサポートされる MCR ストレージ。 |
| management.azure.com | HTTPS: 443 | 基になる Kubernetes クラスターの管理。 |
| login.microsoftonline.com | HTTPS: 443 | Microsoft Entra 認証。 |
| packages.microsoft.com | HTTPS: 443 | Microsoft パッケージ リポジトリ。 |
| acs-mirror.azureedge.net | HTTPS: 443 | kubenet や Azure CNI などの必要なバイナリをインストールするために必要なリポジトリ。 |
21Vianet によって運営される Microsoft Azure で必要なネットワーク規則
| 送信先エンドポイント | Port | 用途 | Note |
|---|---|---|---|
| *:443 または ServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps サービスの管理。 | サービス インスタンス requiredTraffics の詳細については、「networkProfile」セクションのリソース ペイロードを参照してください。 |
| *.azurecr.cn:443 または ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry。 | Azure Container Registry 仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。 |
| *.core.chinacloudapi.cn:443 および *.core.chinacloudapi.cn:445 または ServiceTag - Storage:443 および Storage:445 | TCP:443、TCP:445 | Azure Files | Azure Storage 仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。 |
| *.servicebus.chinacloudapi.cn:443 または ServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs。 | Azure Event Hubs 仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。 |
| *.prod.microsoftmetrics.com:443 または ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor。 | Azure Monitor へのアウトバウンド呼び出しを許可します。 |
21Vianet によって運営される Microsoft Azure で必要な FQDN とアプリケーションの規則
Azure Firewall には、次の構成を簡略化するために FQDN タグ AzureKubernetesService が用意されています。
| 送信先 FQDN | Port | 用途 |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS: 443 | 基になる Kubernetes クラスターの管理。 |
| mcr.microsoft.com | HTTPS: 443 | Microsoft Container Registry (MCR)。 |
| *.data.mcr.microsoft.com | HTTPS: 443 | Azure CDN によってサポートされる MCR ストレージ。 |
| management.chinacloudapi.cn | HTTPS: 443 | 基になる Kubernetes クラスターの管理。 |
| login.chinacloudapi.cn | HTTPS: 443 | Microsoft Entra 認証。 |
| packages.microsoft.com | HTTPS: 443 | Microsoft パッケージ リポジトリ。 |
| *.azk8s.cn | HTTPS: 443 | kubenet や Azure CNI などの必要なバイナリをインストールするために必要なリポジトリ。 |
サードパーティ製アプリケーションのパフォーマンス管理に使用される Azure Spring Apps の省略可能な FQDN
| 送信先 FQDN | Port | 用途 |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | 米国リージョンの New Relic APM エージェントの必須ネットワーク。APM エージェント ネットワークに関する記事も参照してください。 |
| collector*.eu01.nr-data.net | TCP:443/80 | EU リージョンの New Relic APM エージェントの必須ネットワーク。APM エージェント ネットワークに関する記事も参照してください。 |
| *.live.dynatrace.com | TCP:443 | Dynatrace APM エージェントの必須ネットワーク。 |
| *.live.ruxit.com | TCP:443 | Dynatrace APM エージェントの必須ネットワーク。 |
| *.saas.appdynamics.com | TCP:443/80 | AppDynamics APM エージェントのネットワークが必要です。詳細については、SaaS ドメインおよび IP 範囲に関するページも参照してください。 |
Application Insights 用の Azure Spring Apps 省略可能 FQDN
Application Insights SDK や Application Insights エージェントがポータルにデータを送信できるように、サーバーのファイアウォールでいくつかの送信ポートを開く必要があります。 詳細については、「Azure Monitor で使用される IP アドレス」の「送信ポート」セクションを参照してください。
VirtualNetwork サービス タグ
Azure ネットワーク セキュリティ グループを使って、Azure 仮想ネットワーク内のネットワーク トラフィックをフィルター処理できます。 VirtualNetwork サービス タグを使用して受信ネットワーク トラフィックを有効にすると、ワークロード仮想ネットワークと、ピアリングされたトランジット仮想ネットワークのすべての IP アドレス範囲が自動的に含まれます。
Azure Kubernetes Service (AKS) 上で実行されている Azure Spring Apps の場合、すべての AKS ノード プール上のワークロードの IP アドレス プレフィックスは AKS インフラストラクチャによって管理されます。 これらのプレフィックスは、VirtualNetwork サービス タグに暗黙的に含まれます。 この設計により、アプリケーションの IP アドレスが仮想ネットワークの定義済み IP 範囲から外れていても、アプリケーションは仮想ネットワーク内で確実にアクセスできます。
VirtualNetwork サービス タグを使用してトラフィックを許可しないことにした場合は、Azure Spring Apps サービス ランタイム サブネットとアプリ サブネット間の通信を許可する特定の規則を構成する必要があります。 さらに、Azure Spring Apps の予約済みクラスレス ドメイン間ルーティング (CIDR) 範囲 (基となる AKS インフラストラクチャが使用しているもの) からのトラフィックを明示的に許可する必要があります。 ワークロードのアドレス プレフィックスは動的であるため、CIDR 範囲の一部だけを許可リストに追加することはできません。