Udostępnij za pośrednictwem


Obowiązki klienta dotyczące użycia usługi Azure Spring Apps w warstwie Standardowa i dedykowanego planu w sieci wirtualnej

Uwaga

Plany Podstawowa, Standardowa i Enterprise zostaną wycofane od połowy marca 2025 r. z 3-letnim okresem emerytalnym. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu usługi Azure Spring Apps.

Zużycie standardowe i dedykowany plan zostaną wycofane od 30 września 2024 r. z całkowitym zamknięciem po sześciu miesiącach. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz Migrowanie użycia usługi Azure Spring Apps w warstwie Standardowa i dedykowanego planu do usługi Azure Container Apps.

Ten artykuł dotyczy:✅ Użycie standardowe i dedykowane (wersja zapoznawcza) ❎ w warstwie Podstawowa/Standardowa ❎ Enterprise

W tym artykule opisano obowiązki klienta dotyczące uruchamiania wystąpienia usługi Azure Spring Apps Standard i dedykowanego planu w sieci wirtualnej.

Użyj sieciowych grup zabezpieczeń, aby skonfigurować sieci wirtualne tak, aby były zgodne z ustawieniami wymaganymi przez platformę Kubernetes.

Aby kontrolować cały ruch przychodzący i wychodzący dla środowiska usługi Azure Container Apps, można użyć sieciowych grup zabezpieczeń, aby zablokować sieć z bardziej restrykcyjnymi regułami niż domyślne reguły sieciowej grupy zabezpieczeń.

Reguły zezwalania sieciowej grupy zabezpieczeń

W poniższych tabelach opisano sposób konfigurowania kolekcji reguł zezwalania sieciowej grupy zabezpieczeń.

Uwaga

Podsieć skojarzona ze środowiskiem usługi Azure Container Apps wymaga prefiksu CIDR lub większego /23 .

Ruch wychodzący z tagami usługi

Protokół Port ServiceTag opis
UDP 1194 AzureCloud.<region> Wymagane do wewnętrznego bezpiecznego połączenia usługi Azure Kubernetes Service (AKS) między węzłami bazowymi a płaszczyzną sterowania. Zastąp element <region> regionem, w którym wdrożono aplikację kontenera.
TCP 9000 AzureCloud.<region> Wymagane do wewnętrznego bezpiecznego połączenia usługi AKS między węzłami bazowymi a płaszczyzną sterowania. Zastąp element <region> regionem, w którym wdrożono aplikację kontenera.
TCP 443 AzureMonitor Zezwala na wywołania wychodzące do usługi Azure Monitor.
TCP 443 Azure Container Registry Włącza usługę Azure Container Registry zgodnie z opisem w temacie Punkty końcowe usługi sieci wirtualnej.
TCP 443 MicrosoftContainerRegistry Tag usługi dla rejestru kontenerów firmy Microsoft.
TCP 443 AzureFrontDoor.FirstParty Zależność tagu MicrosoftContainerRegistry usługi.
TCP 443, 445 Azure Files Włącza usługę Azure Storage zgodnie z opisem w temacie Punkty końcowe usługi sieci wirtualnej.

Ruch wychodzący z regułami adresów IP z symbolami wieloznacznymi

Protokół Port Adres IP opis
TCP 443 * Ustaw cały ruch wychodzący na porcie 443 , aby zezwolić na wszystkie w pełni kwalifikowane nazwy domeny (FQDN) na podstawie zależności wychodzących, które nie mają statycznego adresu IP.
UDP 123 * Serwer NTP.
TCP 5671 * Płaszczyzna sterowania usługi Container Apps.
TCP 5672 * Płaszczyzna sterowania usługi Container Apps.
Dowolne * Przestrzeń adresowa podsieci infrastruktury Zezwalaj na komunikację między adresami IP w podsieci infrastruktury. Ten adres jest przekazywany jako parametr podczas tworzenia środowiska — na przykład 10.0.0.0/21.

Ruch wychodzący z wymaganiami dotyczącymi nazwy FQDN/regułami aplikacji

Protokół Port Nazwa FQDN opis
TCP 443 mcr.microsoft.com Microsoft Container Registry (MCR).
TCP 443 *.cdn.mscr.io Magazyn MCR wspierany przez usługę Azure Content Delivery Network (CDN).
TCP 443 *.data.mcr.microsoft.com Magazyn MCR wspierany przez usługę Azure CDN.

Ruch wychodzący z nazwą FQDN na potrzeby zarządzania wydajnością aplikacji innych firm (opcjonalnie)

Protokół Port Nazwa FQDN opis
TCP 443/80 collector*.newrelic.com Wymagane sieci agentów aplikacji New Relic i monitorowania wydajności (APM) z regionu USA. Zobacz Sieci agentów APM.
TCP 443/80 collector*.eu01.nr-data.net Wymagane sieci nowych agentów APM Relic z regionu UE. Zobacz Sieci agentów APM.
TCP 443 *.live.dynatrace.com Wymagana sieć agentów Dynatrace APM.
TCP 443 *.live.ruxit.com Wymagana sieć agentów Dynatrace APM.
TCP 443/80 *.saas.appdynamics.com Wymagana sieć agentów APM AppDynamics. Zobacz Domeny SaaS i zakresy adresów IP.

Kwestie wymagające rozważenia

  • Jeśli używasz serwerów HTTP, może być konieczne dodanie portów 80 i 443.
  • Dodanie reguł odmowy dla niektórych portów i protokołów o niższym priorytetycie niż 65000 może spowodować przerwy w działaniu usługi i nieoczekiwane zachowanie.

Następne kroki