Obowiązki klienta dotyczące użycia usługi Azure Spring Apps w warstwie Standardowa i dedykowanego planu w sieci wirtualnej
Uwaga
Plany Basic, Standardi Enterprise weszły w okres wycofywania 17 marca 2025 r. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu usługi Azure Spring Apps.
Plan dotyczący zużycia standardowego oraz dedykowany plan zostały wycofane 30 września 2024 r., z całkowitym zamknięciem do końca marca 2025 r. Aby uzyskać więcej informacji, zobacz Migrowanie użycia usługi Azure Spring Apps w warstwie Standardowa i dedykowanego planu do usługi Azure Container Apps.
Ten artykuł dotyczy:✅ Standardowe zużycie i dedykowane (wersja zapoznawcza) ❎ Podstawowa/Standardowa ❎ Enterprise
W tym artykule opisano obowiązki klienta dotyczące uruchamiania wystąpienia usługi Azure Spring Apps w ramach standardowego planu konsumpcji oraz planu dedykowanego w sieci wirtualnej.
Użyj sieciowych grup zabezpieczeń, aby skonfigurować sieci wirtualne tak, aby były zgodne z ustawieniami wymaganymi przez platformę Kubernetes.
Aby kontrolować cały ruch przychodzący i wychodzący dla środowiska Azure Container Apps, można użyć NSG, aby zablokować sieć bardziej restrykcyjnymi zasadami niż domyślne zasady NSG.
Reguły zezwalania (NSG - Grupa Zabezpieczeń Sieci)
W poniższych tabelach opisano, jak skonfigurować zbiór reguł zezwalających sieciowej grupy zabezpieczeń.
Uwaga
Podsieć skojarzona ze środowiskiem usługi Azure Container Apps wymaga prefiksu CIDR wynoszącego /23 lub większego.
Ruch wychodzący z ServiceTagami
Ruch wychodzący z regułami adresów IP z symbolami wieloznacznymi
| Protokół | Port | Adres IP | opis |
|---|---|---|---|
| TCP | 443 |
* | Ustaw cały ruch wychodzący na porcie 443 , aby zezwolić na wszystkie w pełni kwalifikowane nazwy domeny (FQDN) na podstawie zależności wychodzących, które nie mają statycznego adresu IP. |
| UDP | 123 |
* | Serwer NTP. |
| TCP | 5671 |
* | Płaszczyzna sterowania usługi Container Apps. |
| TCP | 5672 |
* | Plan sterowania Container Apps. |
| Dowolne | * | Przestrzeń adresowa podsieci infrastruktury | Zezwalaj na komunikację między adresami IP w podsieci infrastruktury. Ten adres jest przekazywany jako parametr podczas tworzenia środowiska — na przykład 10.0.0.0/21. |
Ruch wychodzący z wymaganiami dotyczącymi FQDN i regułami aplikacji
| Protokół | Port | FQDN (Pełna Nazwa Domeny) | opis |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
Magazyn MCR wspierany przez usługę Azure Content Delivery Network (CDN). |
| TCP | 443 |
*.data.mcr.microsoft.com |
Magazyn MCR wspierany przez usługę Azure CDN. |
Ruch wychodzący z nazwą FQDN na potrzeby zarządzania wydajnością aplikacji innych firm (opcjonalnie)
| Protokół | Port | Nazwa FQDN | opis |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
Wymagane sieci agentów aplikacji New Relic i monitorowania wydajności (APM) z regionu USA. Zobacz Sieci agentów APM. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
Wymagane sieci dla agentów New Relic APM z regionu UE. Zobacz Sieci agentów APM. |
| TCP | 443 |
*.live.dynatrace.com |
Wymagana sieć agentów Dynatrace APM. |
| TCP | 443 |
*.live.ruxit.com |
Wymagana sieć agentów Dynatrace APM. |
| TCP | 443/80 |
*.saas.appdynamics.com |
Sieć wymaganych agentów APM AppDynamics. Zobacz Domeny SaaS i zakresy adresów IP. |
Kwestie wymagające rozważenia
- Jeśli używasz serwerów HTTP, może być konieczne dodanie portów
80i443. - Dodanie reguł odmowy dla niektórych portów i protokołów o niższym priorytetycie niż
65000może spowodować przerwy w działaniu usługi i nieoczekiwane zachowanie.