次の方法で共有


仮想ネットワークでの Azure Spring Apps Standard 従量課金および専用プランに関するお客様の責任

Note

BasicStandardEnterprise プランは、2025 年 3 月中旬以降非推奨になり、廃止期間は 3 年間です。 Azure Container Apps に移行することをお勧めします。 詳細については、「Azure Spring Apps の廃止のお知らせ」を参照してください。

Standard 従量課金と専用プランは、2024 年 9 月 30 日以降に非推奨になり、6 か月後に完全にシャットダウンされます。 Azure Container Apps に移行することをお勧めします。 詳細については、「Azure Spring Apps の Standard 従量課金および専用プランを Azure Container Apps に移行する」を参照してください。

この記事の適用対象:✅ Standard 従量課金および専用 (プレビュー) ❎ Basic/Standard ❎ Enterprise

この記事では、仮想ネットワークで Azure Spring Apps Standard の従量課金および専用プラン サービス インスタンスを実行する場合のお客様の責任について説明します。

ネットワーク セキュリティ グループ (NSG) を使用して、Kubernetes で必要な設定に適合するように仮想ネットワークを構成します。

Azure Container Apps 環境の受信および送信トラフィックをすべて制御するには、NSG を使用して、既定の NSG 規則よりも制限の厳しい規則でネットワークをロックダウンします。

NSG の許可規則

次の表では、NSG 許可規則のコレクションを構成する方法について説明します。

Note

Azure Container Apps 環境に関連付けられているサブネットには、/23 以上の CIDR プレフィックスが必要です。

ServiceTag を使用するアウトバウンド

プロトコル [ポート] ServiceTag 説明
UDP 1194 AzureCloud.<region> 基になるノードとコントロール プレーン間での Azure Kubernetes Service (AKS) のセキュリティで保護された内部接続に必要です。 <region> は、コンテナー アプリがデプロイされているリージョンに置き換えます。
TCP 9000 AzureCloud.<region> 基になるノードとコントロール プレーン間での AKS のセキュリティ保護された内部接続に必要です。 <region> は、コンテナー アプリがデプロイされているリージョンに置き換えます。
TCP 443 AzureMonitor Azure Monitor へのアウトバウンド呼び出しを許可します。
TCP 443 Azure Container Registry 仮想ネットワーク サービス エンドポイント」で説明されているように、Azure Container Registry を有効にします。
TCP 443 MicrosoftContainerRegistry Microsoft コンテナーのコンテナー レジストリのサービス タグ。
TCP 443 AzureFrontDoor.FirstParty MicrosoftContainerRegistry サービス タグの依存関係。
TCP 443445 Azure Files 仮想ネットワーク サービス エンドポイント」で説明されているように、Azure Storage を有効にします。

ワイルドカード IP 規則を使用するアウトバウンド

プロトコル [ポート] IP 説明
TCP 443 * ポート 443 に対してすべての送信トラフィックを設定して、静的 IP を持たないすべての完全修飾ドメイン名 (FQDN) ベースの送信依存関係を許可します。
UDP 123 * NTP サーバー。
TCP 5671 * Container Apps コントロール プレーン。
TCP 5672 * Container Apps コントロール プレーン。
[任意] * インフラストラクチャ サブネットのアドレス空間 インフラストラクチャ サブネット内の IP 間の通信を許可します。 このアドレスは、環境を作成するときにパラメーターとして渡されます (例: 10.0.0.0/21)。

FQDN 要件およびアプリケーション規則を使用した送信

プロトコル [ポート] FQDN 説明
TCP 443 mcr.microsoft.com Microsoft Container Registry (MCR)。
TCP 443 *.cdn.mscr.io Azure Content Delivery Network (CDN) によってサポートされる MCR ストレージ。
TCP 443 *.data.mcr.microsoft.com Azure CDN によってサポートされる MCR ストレージ。

サード パーティ製アプリケーションのパフォーマンス管理用の FQDN を使用した送信 (省略可能)

プロトコル [ポート] FQDN 説明
TCP 443/80 collector*.newrelic.com 米国リージョンの New Relic アプリケーションおよびパフォーマンスの監視 (APM) エージェントの必須ネットワーク。 APM エージェント ネットワークに関する記事を参照してください。
TCP 443/80 collector*.eu01.nr-data.net ヨーロッパ リージョンの New Relic APM エージェントの必須ネットワーク。 APM エージェント ネットワークに関する記事を参照してください。
TCP 443 *.live.dynatrace.com Dynatrace APM エージェントの必須ネットワーク。
TCP 443 *.live.ruxit.com Dynatrace APM エージェントの必須ネットワーク。
TCP 443/80 *.saas.appdynamics.com AppDynamics APM エージェントの必須ネットワーク。 SaaS ドメインおよび IP 範囲に関する記事を参照してください。

考慮事項

  • HTTP サーバーを実行している場合は、ポート 80443 の追加が必要になる場合があります。
  • 優先順位が 65000 よりも低い一部のポートとプロトコルに拒否規則を追加すると、サービスの中断や予期しない動作が発生する可能性があります。

次のステップ