Obowiązki klienta dotyczące uruchamiania usługi Azure Spring Apps w sieci wirtualnej
Uwaga
Plany Podstawowa, Standardowa i Enterprise zostaną wycofane od połowy marca 2025 r. z 3-letnim okresem emerytalnym. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu usługi Azure Spring Apps.
Zużycie standardowe i dedykowany plan zostaną wycofane od 30 września 2024 r. z całkowitym zamknięciem po sześciu miesiącach. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz Migrowanie użycia usługi Azure Spring Apps w warstwie Standardowa i dedykowanego planu do usługi Azure Container Apps.
Ten artykuł dotyczy:✅ Podstawowa/Standardowa ✅ Enterprise
Ten artykuł zawiera specyfikacje dotyczące korzystania z usługi Azure Spring Apps w sieci wirtualnej.
Gdy usługa Azure Spring Apps jest wdrażana w sieci wirtualnej, ma zależności wychodzące od usług spoza sieci wirtualnej. Do celów zarządzania i działania usługa Azure Spring Apps musi uzyskiwać dostęp do niektórych portów i w pełni kwalifikowanych nazw domen (FQDN). Usługa Azure Spring Apps wymaga, aby te punkty końcowe komunikowały się z płaszczyzną zarządzania oraz pobierały i instalowali podstawowe składniki klastra Kubernetes i aktualizacje zabezpieczeń.
Domyślnie usługa Azure Spring Apps ma nieograniczony dostęp do Internetu dla ruchu wychodzącego (wychodzącego). Ten poziom dostępu do sieci umożliwia uruchamianie aplikacji w celu uzyskania dostępu do zasobów zewnętrznych zgodnie z potrzebami. Jeśli chcesz ograniczyć ruch wychodzący, ograniczona liczba portów i adresów musi być dostępna dla zadań konserwacji. Najprostszym rozwiązaniem do zabezpieczenia adresów wychodzących jest użycie urządzenia zapory, które może kontrolować ruch wychodzący na podstawie nazw domen. Usługa Azure Firewall może na przykład ograniczyć wychodzący ruch HTTP i HTTPS na podstawie nazwy FQDN miejsca docelowego. Możesz również skonfigurować preferowaną zaporę i reguły zabezpieczeń, aby zezwolić na te wymagane porty i adresy.
Wymagania dotyczące zasobów usługi Azure Spring Apps
Na poniższej liście przedstawiono wymagania dotyczące zasobów dla usług Azure Spring Apps. Ogólnie rzecz biorąc, nie należy modyfikować grup zasobów utworzonych przez usługę Azure Spring Apps i podstawowych zasobów sieciowych.
- Nie modyfikuj grup zasobów utworzonych i należących do usługi Azure Spring Apps.
- Domyślnie te grupy zasobów mają nazwy
ap-svc-rt_<service-instance-name>_<region>*iap_<service-instance-name>_<region>*. - Nie blokuj aktualizowania zasobów w tych grupach zasobów przez usługę Azure Spring Apps.
- Domyślnie te grupy zasobów mają nazwy
- Nie modyfikuj podsieci używanych przez usługę Azure Spring Apps.
- Nie twórz więcej niż jednego wystąpienia usługi Azure Spring Apps w tej samej podsieci.
- W przypadku używania zapory do kontrolowania ruchu nie blokuj następującego ruchu wychodzącego do składników usługi Azure Spring Apps, które obsługują, konserwują i obsługują wystąpienie usługi.
Globalne reguły sieci wymagane na platformie Azure
| Docelowy punkt końcowy | Port | Używanie | Uwaga |
|---|---|---|---|
| *:443 lub ServiceTag — AzureCloud:443 | TCP:443 | Zarządzanie usługą Azure Spring Apps. | Aby uzyskać informacje o wystąpieniu requiredTrafficsusługi , zobacz ładunek zasobu w networkProfile sekcji . |
| *.azurecr.io:443 lub ServiceTag — AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Można zamienić, włączając punkt końcowy usługi Azure Container Registry w sieci wirtualnej. |
| *.core.windows.net:443 i *.core.windows.net:445 lub ServiceTag — Storage:443 i Storage:445 | TCP:443, TCP:445 | Azure Files | Można zamienić, włączając punkt końcowy usługi Azure Storage w sieci wirtualnej. |
| *.servicebus.windows.net:443 lub ServiceTag — EventHub:443 | TCP:443 | Azure Event Hubs. | Można zamienić, włączając punkt końcowy usługi Azure Event Hubs w sieci wirtualnej. |
| *.prod.microsoftmetrics.com:443 lub ServiceTag — AzureMonitor:443 | TCP:443 | Azure Monitor. | Zezwala na wywołania wychodzące do usługi Azure Monitor. |
Globalna wymagana nazwa FQDN platformy Azure /reguły aplikacji
Usługa Azure Firewall udostępnia tag FQDN AzureKubernetesService , aby uprościć następujące konfiguracje:
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Podstawowe zarządzanie klastrem Kubernetes. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Magazyn MCR wspierany przez usługę Azure CDN. |
| management.azure.com | HTTPS:443 | Podstawowe zarządzanie klastrem Kubernetes. |
| login.microsoftonline.com | HTTPS:443 | Uwierzytelnianie firmy Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repozytorium pakietów firmy Microsoft. |
| acs-mirror.azureedge.net | HTTPS:443 | Repozytorium wymagane do zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI. |
Platforma Microsoft Azure obsługiwana przez usługę 21Vianet — wymagane reguły sieci
| Docelowy punkt końcowy | Port | Używanie | Uwaga |
|---|---|---|---|
| *:443 lub ServiceTag — AzureCloud:443 | TCP:443 | Zarządzanie usługą Azure Spring Apps. | Aby uzyskać informacje o wystąpieniu requiredTrafficsusługi , zobacz ładunek zasobu w networkProfile sekcji . |
| *.azurecr.cn:443 lub ServiceTag — AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Można zamienić, włączając punkt końcowy usługi Azure Container Registry w sieci wirtualnej. |
| *.core.chinacloudapi.cn:443 i *.core.chinacloudapi.cn:445 lub ServiceTag — Storage:443 i Storage:445 | TCP:443, TCP:445 | Azure Files | Można zamienić, włączając punkt końcowy usługi Azure Storage w sieci wirtualnej. |
| *.servicebus.chinacloudapi.cn:443 lub ServiceTag — EventHub:443 | TCP:443 | Azure Event Hubs. | Można zamienić, włączając punkt końcowy usługi Azure Event Hubs w sieci wirtualnej. |
| *.prod.microsoftmetrics.com:443 lub ServiceTag — AzureMonitor:443 | TCP:443 | Azure Monitor. | Zezwala na wywołania wychodzące do usługi Azure Monitor. |
Platforma Microsoft Azure obsługiwana przez wymaganą nazwę FQDN /reguły aplikacji 21Vianet
Usługa Azure Firewall udostępnia tag AzureKubernetesService FQDN, aby uprościć następujące konfiguracje:
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Podstawowe zarządzanie klastrem Kubernetes. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Magazyn MCR wspierany przez usługę Azure CDN. |
| management.chinacloudapi.cn | HTTPS:443 | Podstawowe zarządzanie klastrem Kubernetes. |
| login.chinacloudapi.cn | HTTPS:443 | Uwierzytelnianie firmy Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repozytorium pakietów firmy Microsoft. |
| *.azk8s.cn | HTTPS:443 | Repozytorium wymagane do zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI. |
Opcjonalna nazwa FQDN usługi Azure Spring Apps na potrzeby zarządzania wydajnością aplikacji innych firm
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
| moduł zbierający*.newrelic.com | TCP:443/80 | Wymagane sieci nowych agentów relic APM z regionu USA, zobacz również APM Agents Networks( Sieci agentów APM). |
| collector*.eu01.nr-data.net | TCP:443/80 | Wymagane sieci nowych agentów relic APM z regionu UE, zobacz również APM Agents Networks( Sieci agentów APM). |
| *.live.dynatrace.com | TCP:443 | Wymagana sieć agentów Dynatrace APM. |
| *.live.ruxit.com | TCP:443 | Wymagana sieć agentów Dynatrace APM. |
| *.saas.appdynamics.com | TCP:443/80 | Wymagana sieć agentów APM AppDynamics, zobacz również Domeny SaaS i zakresy adresów IP. |
Opcjonalna nazwa FQDN usługi Azure Spring Apps dla usługi Application Insights
Musisz otworzyć niektóre porty wychodzące w zaporze serwera, aby umożliwić zestawowi SDK usługi Application Insights lub agentowi usługi Application Insights wysyłanie danych do portalu. Aby uzyskać więcej informacji, zobacz sekcję Porty wychodzące adresów IP używanych przez usługę Azure Monitor.