Wdrażanie usługi Azure Spring Apps w sieci wirtualnej
Uwaga
Plany Podstawowa, Standardowa i Enterprise zostaną wycofane od połowy marca 2025 r. z 3-letnim okresem emerytalnym. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu usługi Azure Spring Apps.
Zużycie standardowe i dedykowany plan zostaną wycofane od 30 września 2024 r. z całkowitym zamknięciem po sześciu miesiącach. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz Migrowanie użycia usługi Azure Spring Apps w warstwie Standardowa i dedykowanego planu do usługi Azure Container Apps.
Ten artykuł dotyczy: ✔️ Java ✔️ C#
Ten artykuł dotyczy:❌ Basic ✔️ Standard ✔️ Enterprise
W tym samouczku wyjaśniono, jak wdrożyć wystąpienie usługi Azure Spring Apps w sieci wirtualnej. To wdrożenie jest czasami nazywane iniekcją sieci wirtualnej.
Wdrożenie umożliwia:
- Izolacja aplikacji i środowiska uruchomieniowego usługi Azure Spring Apps z Internetu w sieci firmowej.
- Interakcja usługi Azure Spring Apps z systemami w lokalnych centrach danych lub usługach platformy Azure w innych sieciach wirtualnych.
- Umożliwienie klientom kontrolowania przychodzącej i wychodzącej komunikacji sieciowej dla usługi Azure Spring Apps.
W poniższym wideo opisano sposób zabezpieczania aplikacji Spring Boot przy użyciu zarządzanych sieci wirtualnych.
Uwaga
Sieć wirtualną platformy Azure można wybrać tylko podczas tworzenia nowego wystąpienia usługi Azure Spring Apps. Nie można zmienić sposobu używania innej sieci wirtualnej po utworzeniu usługi Azure Spring Apps.
Wymagania wstępne
Zarejestruj dostawcę Microsoft.AppPlatform
zasobów usługi Azure Spring Apps i Microsoft.ContainerService
zgodnie z instrukcjami w temacie Rejestrowanie dostawcy zasobów w witrynie Azure Portal lub uruchamiając następujące polecenie interfejsu wiersza polecenia platformy Azure:
az provider register --namespace Microsoft.AppPlatform
az provider register --namespace Microsoft.ContainerService
Wymagania dotyczące sieci wirtualnej
Sieć wirtualna, do której wdrażasz wystąpienie usługi Azure Spring Apps, musi spełniać następujące wymagania:
- Lokalizacja: sieć wirtualna musi znajdować się w tej samej lokalizacji co wystąpienie usługi Azure Spring Apps.
- Subskrypcja: sieć wirtualna musi znajdować się w tej samej subskrypcji co wystąpienie usługi Azure Spring Apps.
- Podsieci: Sieć wirtualna musi zawierać dwie podsieci dedykowane dla wystąpienia usługi Azure Spring Apps:
- Jeden dla środowiska uruchomieniowego usługi.
- Jeden dla aplikacji Spring.
- Istnieje relacja jeden do jednego między tymi podsieciami a wystąpieniem usługi Azure Spring Apps. Użyj nowej podsieci dla każdego wdrożonego wystąpienia usługi. Każda podsieć może zawierać tylko jedno wystąpienie usługi.
- Przestrzeń adresowa: bloki CIDR do /28 dla podsieci środowiska uruchomieniowego usługi i podsieci aplikacji Spring.
- Tabela tras: domyślnie podsieci nie potrzebują skojarzonych istniejących tabel tras. Możesz przenieść własną tabelę tras.
Wykonaj poniższe kroki, aby skonfigurować sieć wirtualną tak, aby zawierała wystąpienie usługi Azure Spring Apps.
Tworzenie sieci wirtualnej
Jeśli masz już sieć wirtualną do hostowania wystąpienia usługi Azure Spring Apps, pomiń kroki 1, 2 i 3. Możesz rozpocząć od kroku 4, aby przygotować podsieci dla sieci wirtualnej.
W menu witryny Azure Portal wybierz pozycję Utwórz zasób. W witrynie Azure Marketplace wybierz pozycję Sieć wirtualna>.
W oknie dialogowym Tworzenie sieci wirtualnej wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz grupę zasobów lub utwórz nową. Nazwisko Wprowadź ciąg azure-spring-apps-vnet. Lokalizacja Wybierz pozycję Wschodnie stany USA. Wybierz pozycję Dalej: adresy IP.
W obszarze adresowym IPv4 wprowadź wartość 10.1.0.0/16.
Wybierz pozycję Dodaj podsieć. Następnie wprowadź wartość service-runtime-subnet w polu Nazwa podsieci i wprowadź wartość 10.1.0.0/24 w polu Zakres adresów podsieci. Następnie wybierz pozycję Dodaj.
Ponownie wybierz pozycję Dodaj podsieć , a następnie wprowadź nazwę podsieci i zakres adresów podsieci. Na przykład wprowadź ciąg apps-subnet i 10.1.1.0/24. Następnie wybierz pozycję Dodaj.
Wybierz pozycję Przejrzyj i utwórz. Pozostaw pozostałe wartości domyślne i wybierz pozycję Utwórz.
Udzielanie uprawnień usługi do sieci wirtualnej
W tej sekcji pokazano, jak przyznać usłudze Azure Spring Apps uprawnienia Administrator dostępu użytkowników i Współautor sieci w sieci wirtualnej. To uprawnienie umożliwia przyznanie dedykowanej i dynamicznej jednostki usługi w sieci wirtualnej w celu dalszego wdrażania i konserwacji.
Uwaga
Jeśli używasz własnej tabeli tras lub funkcji trasy zdefiniowanej przez użytkownika, musisz również przyznać usłudze Azure Spring Apps te same przypisania ról do tabel tras. Aby uzyskać więcej informacji, zobacz sekcję Bring your own route table (Używanie własnej tabeli tras) i Control egress traffic for an Azure Spring Apps instance (Kontrolowanie ruchu wychodzącego dla wystąpienia usługi Azure Spring Apps).
Aby udzielić uprawnień, wykonaj następujące czynności:
Wybierz wcześniej utworzoną sieć
azure-spring-apps-vnet
wirtualną.Wybierz pozycję Kontrola dostępu (zarządzanie dostępem i tożsamościami), a następnie wybierz pozycję Dodaj>przypisanie roli.
Network Contributor
Przypisz role iUser Access Administrator
do dostawcy zasobów usługi Azure Spring Cloud. Aby uzyskać więcej informacji, zobacz przypisywanie ról Azure za pomocą portalu Azure.Uwaga
Rola
User Access Administrator
jest w rolach administratora uprzywilejowanego iNetwork Contributor
znajduje się w rolach funkcji Zadania.
Wdrażanie wystąpienia usługi Azure Spring Apps
Wykonaj następujące kroki, aby wdrożyć wystąpienie usługi Azure Spring Apps w sieci wirtualnej:
Otwórz portal Azure Portal.
W górnym polu wyszukiwania wyszukaj pozycję Azure Spring Apps. Wybierz pozycję Azure Spring Apps z wyniku.
Na stronie Azure Spring Apps wybierz pozycję Dodaj.
Wypełnij formularz na stronie Tworzenie usługi Azure Spring Apps.
Wybierz tę samą grupę zasobów i region co sieć wirtualna.
W polu Nazwa w obszarze Szczegóły usługi wybierz pozycję azure-spring-apps-vnet.
Wybierz kartę Sieć i wybierz następujące wartości:
Ustawienie Wartość Wdrażanie we własnej sieci wirtualnej Wybierz opcję Tak. Sieć wirtualna Wybierz pozycję azure-spring-apps-vnet. Podsieć środowiska uruchomieniowego usługi Wybierz pozycję service-runtime-subnet. Podsieć aplikacji mikrousług Spring Boot Wybierz pozycję aplikacje-podsieć. Wybierz opcję Przejrzyj i utwórz.
Zweryfikuj specyfikacje i wybierz pozycję Utwórz.
Po wdrożeniu w ramach subskrypcji zostaną utworzone dwie kolejne grupy zasobów w celu hostowania zasobów sieciowych dla wystąpienia usługi Azure Spring Apps. Przejdź do strony głównej, a następnie wybierz pozycję Grupy zasobów w górnej części menu, aby znaleźć następujące nowe grupy zasobów.
Grupa zasobów o nazwie as ap-svc-rt_{service instance name}_{service instance region}
zawiera zasoby sieciowe dla środowiska uruchomieniowego usługi wystąpienia usługi.
Grupa zasobów o nazwie as ap-app_{service instance name}_{service instance region}
zawiera zasoby sieciowe dla aplikacji Spring wystąpienia usługi.
Te zasoby sieciowe są połączone z siecią wirtualną utworzoną na powyższym obrazie.
Ważne
Grupy zasobów są w pełni zarządzane przez usługę Azure Spring Apps. Nie należy ręcznie usuwać ani modyfikować żadnego zasobu wewnątrz.
Używanie mniejszych zakresów podsieci
W tej tabeli przedstawiono maksymalną liczbę wystąpień aplikacji obsługiwaną przez usługę Azure Spring Apps przy użyciu mniejszych zakresów podsieci.
CiDR podsieci aplikacji | Łączna liczba adresów IP | Dostępne adresy IP | Maksymalna liczba wystąpień aplikacji |
---|---|---|---|
/28 | 16 | 8 | Aplikacja z 0,5 rdzeniem: 192 |
/27 | 32 | 24 | Aplikacja z rdzeniem 0,5: 456 |
/26 | 64 | 56 | Aplikacja z 0,5 rdzeniem: 500 |
/25 | 128 | 120 | Aplikacja z 0,5 rdzeniem: 500 |
/24 | 256 | 248 | Aplikacja z 0,5 rdzeniem: 500 |
W przypadku podsieci platforma Azure rezerwuje pięć adresów IP, a usługa Azure Spring Apps wymaga co najmniej trzech adresów IP. Wymagane jest co najmniej osiem adresów IP, więc /29 i /30 są nieoperacyjne.
W przypadku podsieci środowiska uruchomieniowego usługi minimalny rozmiar to /28.
Uwaga
Mały zakres podsieci ma wpływ na bazowy zasób, którego można użyć w przypadku składników systemowych, takich jak kontroler ruchu przychodzącego. Usługa Azure Spring Apps używa podstawowego kontrolera ruchu przychodzącego do obsługi zarządzania ruchem aplikacji. Liczba wystąpień kontrolera ruchu przychodzącego zwiększa się automatycznie w miarę wzrostu ruchu aplikacji. Zarezerwuj większy zakres adresów IP podsieci sieci wirtualnej, jeśli ruch aplikacji może wzrosnąć w przyszłości. Zazwyczaj rezerwujesz jeden adres IP dla ruchu 10000 żądań na sekundę.
Korzystanie z własnej tabeli tras
Usługa Azure Spring Apps obsługuje używanie istniejących podsieci i tabel tras.
Jeśli podsieci niestandardowe nie zawierają tabel tras, usługa Azure Spring Apps tworzy je dla każdej z podsieci i dodaje do nich reguły w całym cyklu życia wystąpienia. Jeśli niestandardowe podsieci zawierają tabele tras, usługa Azure Spring Apps potwierdza istniejące tabele tras podczas operacji wystąpienia i dodaje/aktualizuje i/lub reguły odpowiednio dla operacji.
Ostrzeżenie
Niestandardowe reguły można dodawać do niestandardowych tabel tras i aktualizować. Reguły są jednak dodawane przez usługę Azure Spring Apps i nie można ich aktualizować ani usuwać. Reguły, takie jak 0.0.0.0/0, muszą zawsze istnieć w danej tabeli tras i mapować je na cel bramy internetowej, takie jak urządzenie WUS lub inna brama ruchu wychodzącego. Podczas aktualizowania reguł należy zachować ostrożność podczas modyfikowania tylko reguł niestandardowych.
Wymagania dotyczące tabeli tras
Tabele tras, z którymi jest skojarzona niestandardowa sieć wirtualna, muszą spełniać następujące wymagania:
- Tabele tras platformy Azure można skojarzyć z siecią wirtualną tylko wtedy, gdy tworzysz nowe wystąpienie usługi Azure Spring Apps. Po utworzeniu wystąpienia usługi Azure Spring Apps nie można zmienić, aby użyć innej tabeli tras.
- Zarówno podsieć aplikacji Spring, jak i podsieć środowiska uruchomieniowego usługi muszą kojarzyć się z różnymi tabelami tras lub żadną z nich.
- Przed utworzeniem wystąpienia należy przypisać uprawnienia. Pamiętaj, aby przyznać dostawcy
User Access Administrator
zasobów usługi Azure Spring Cloud uprawnienia iNetwork Contributor
w tabelach tras. - Po utworzeniu klastra nie można zaktualizować skojarzonego zasobu tabeli tras. Chociaż nie można zaktualizować zasobu tabeli tras, możesz zmodyfikować reguły niestandardowe w tabeli tras.
- Nie można ponownie użyć tabeli tras z wieloma wystąpieniami ze względu na potencjalne konflikty reguł routingu.
Używanie niestandardowych serwerów DNS
Usługa Azure Spring Apps obsługuje używanie niestandardowych serwerów DNS w sieci wirtualnej.
Jeśli nie określisz niestandardowych serwerów DNS w ustawieniu sieci wirtualnej serwera DNS, usługa Azure Spring Apps będzie domyślnie używać usługi Azure DNS do rozpoznawania adresów IP. Jeśli sieć wirtualna jest skonfigurowana przy użyciu niestandardowych ustawień DNS, dodaj adres IP 168.63.129.16
usługi Azure DNS jako nadrzędny serwer DNS na niestandardowym serwerze DNS. Usługa Azure DNS może rozpoznawać adresy IP dla wszystkich publicznych nazw FQDN wymienionych w temacie Obowiązki klienta uruchamiającego usługę Azure Spring Apps w sieci wirtualnej. Może również rozpoznać adres IP dla *.svc.private.azuremicroservices.io
sieci wirtualnej.
Jeśli niestandardowy serwer DNS nie może dodać adresu IP 168.63.129.16
usługi Azure DNS jako nadrzędnego serwera DNS, wykonaj następujące kroki:
- Upewnij się, że niestandardowy serwer DNS może rozpoznać adresy IP dla wszystkich publicznych nazw FQDN. Aby uzyskać więcej informacji, zobacz Obowiązki klienta dotyczące uruchamiania usługi Azure Spring Apps w sieci wirtualnej.
- Dodaj rekord DNS do adresu
*.svc.private.azuremicroservices.io
IP aplikacji. Aby uzyskać więcej informacji, zobacz sekcję Znajdowanie adresu IP dla aplikacji w sekcji Uzyskiwanie dostępu do aplikacji w usłudze Azure Spring Apps w sieci wirtualnej.