Responsabilidades do cliente para executar os Aplicativos Spring do Azure em uma rede virtual
Observação
Os planos Básico, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de desativação de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira o anúncio de desativação dos Aplicativos Spring do Azure.
O plano consumo e dedicado Standard será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira Migrar o plano dedicado e consumo Standard dos Aplicativos Spring do Azure para os Aplicativos de Contêiner do Azure.
Este artigo se aplica a:✅ Básico/Standard ✅ Enterprise
Este artigo inclui especificações para o uso do Azure Spring Apps em uma rede virtual.
Quando o Azure Spring Apps é implantado em sua rede virtual, ele tem dependências de saída em serviços fora da rede virtual. Para fins operacionais e de gerenciamento, o Azure Spring Apps precisa acessar portas e nomes de domínio totalmente qualificados (FQDNs) específicos. Esses pontos de extremidade são exigidos pelo Azure Spring Apps para comunicação com o plano de gerenciamento e para baixar e instalar os principais componentes do cluster Kubernetes e atualizações de segurança.
Por padrão, o Azure Spring Apps tem acesso irrestrito à Internet (saída). Esse nível de acesso à rede permite que os aplicativos que você executa acessem recursos externos, conforme necessário. Se quiser restringir o tráfego de saída, um número limitado de portas e endereços precisar estar acessível para tarefas de manutenção. A solução mais simples para proteger os endereços de saída está em usar um dispositivo de firewall que possa controlar o tráfego de saída com base em nomes de domínio. O Firewall do Azure, por exemplo, pode restringir o tráfego de HTTP e HTTPS de saída com base no FQDN do destino. Você também pode configurar o firewall e as regras de segurança de sua preferência para permitir as portas e os endereços necessários.
Requisitos de recursos do Azure Spring Apps
A lista a seguir mostra os requisitos de recursos para os serviços do Azure Spring Apps. Como um requisito geral, você não deve modificar os grupos de recursos criados pelo Azure Spring Apps e os recursos de rede subjacentes.
- Não modifique grupos de recursos criados e pertencentes ao Azure Spring Apps.
- Por padrão, esses grupos de recursos são nomeados como
ap-svc-rt_<service-instance-name>_<region>*eap_<service-instance-name>_<region>*. - Não bloqueie a atualização de recursos do Azure Spring Apps nesses grupos de recursos.
- Por padrão, esses grupos de recursos são nomeados como
- Não modifique as sub-redes usadas pelo Azure Spring Apps.
- Não crie mais de uma instância de serviço do Azure Spring Apps na mesma sub-rede.
- Ao usar um firewall para controlar o tráfego, não bloqueie o tráfego de saída a seguir para os componentes do Azure Spring Apps que operam, mantêm e dão suporte à instância de serviço.
Regras de rede exigidas globais do Azure
| Ponto de extremidade de destino | Porta | Use | Observação |
|---|---|---|---|
| *:443 ou ServiceTag - AzureCloud:443 | TCP:443 | Gerenciamento de Serviços do Azure Spring Apps. | Para obter informações sobre a instância de serviço requiredTraffics, consulte o conteúdo do recurso, na seção networkProfile. |
| *.azurecr.io:443 ou ServiceTag - AzureContainerRegistry:443 | TCP:443 | Registro de Contêiner do Azure. | Pode ser substituído habilitando o ponto de extremidade de serviço do Registro de Contêiner do Azure na rede virtual. |
| *.core.windows.net:443 e *.core.windows.net:445 ou ServiceTag - Storage:443 e Storage:445 | TCP:443, TCP:445 | Arquivos do Azure | Pode ser substituído habilitando o ponto de extremidade de serviço do Armazenamento do Microsoft Azure na rede virtual. |
| *.servicebus.windows.net:443 ou ServiceTag - EventHub:443 | TCP:443 | Hubs de Eventos do Azure. | Pode ser substituído habilitando o ponto de extremidade de serviço do Hubs de Eventos do Azure na rede virtual. |
| *.prod.microsoftmetrics.com:443 ou ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Permite chamadas de saída ao Azure Monitor. |
Regras de FQDN/aplicativo globais do Azure necessárias
O Firewall do Azure fornece uma marca FQDN AzureKubernetesService para simplificar as configurações a seguir:
| FQDN de destino | Porta | Use |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Gerenciamento de cluster do Kubernetes subjacente. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Armazenamento MCR com o suporte da CDN do Azure. |
| management.azure.com | HTTPS:443 | Gerenciamento de cluster do Kubernetes subjacente. |
| login.microsoftonline.com | HTTPS:443 | Autenticação do Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositório de pacotes da Microsoft. |
| acs-mirror.azureedge.net | HTTPS:443 | Repositório necessário para instalar os binários necessários, como kubenet e CNI do Azure. |
Regras de rede necessárias para o Microsoft Azure operado pela 21Vianet
| Ponto de extremidade de destino | Porta | Use | Observação |
|---|---|---|---|
| *:443 ou ServiceTag - AzureCloud:443 | TCP:443 | Gerenciamento de Serviços do Azure Spring Apps. | Para obter informações sobre a instância de serviço requiredTraffics, consulte o conteúdo do recurso, na seção networkProfile. |
| *.azurecr.cn:443 ou ServiceTag - AzureContainerRegistry:443 | TCP:443 | Registro de Contêiner do Azure. | Pode ser substituído habilitando o ponto de extremidade de serviço do Registro de Contêiner do Azure na rede virtual. |
| *.core.chinacloudapi.cn:443 e *.core.chinacloudapi.cn:445 ou ServiceTag - Storage:443 e Storage:445 | TCP:443, TCP:445 | Arquivos do Azure | Pode ser substituído habilitando o ponto de extremidade de serviço do Armazenamento do Microsoft Azure na rede virtual. |
| *.servicebus.chinacloudapi.cn:443 ou ServiceTag - EventHub:443 | TCP:443 | Hubs de Eventos do Azure. | Pode ser substituído habilitando o ponto de extremidade de serviço do Hubs de Eventos do Azure na rede virtual. |
| *.prod.microsoftmetrics.com:443 ou ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Permite chamadas de saída ao Azure Monitor. |
Regras de FQDN/aplicativo necessárias para o Microsoft Azure operado pela 21Vianet
O Firewall do Azure fornece uma marca FQDN AzureKubernetesService para simplificar as seguintes configurações:
| FQDN de destino | Porta | Use |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Gerenciamento de cluster do Kubernetes subjacente. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Armazenamento MCR com o suporte da CDN do Azure. |
| management.chinacloudapi.cn | HTTPS:443 | Gerenciamento de cluster do Kubernetes subjacente. |
| login.chinacloudapi.cn | HTTPS:443 | Autenticação do Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositório de pacotes da Microsoft. |
| *.azk8s.cn | HTTPS:443 | Repositório necessário para instalar os binários necessários, como kubenet e CNI do Azure. |
FQDN opcional do Azure Spring Apps para gerenciamento de desempenho de aplicativos de terceiros
| FQDN de destino | Porta | Use |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | Redes necessárias de agentes New Relic APM da região dos EUA, confira também Redes de agentes do APM. |
| collector*.eu01.nr-data.net | TCP:443/80 | Redes necessárias de agentes APM do New Relic da região da Europa, confira também Redes de agentes do APM. |
| *.live.dynatrace.com | TCP:443 | Rede necessária de agentes APM do Dynatrace. |
| *.live.ruxit.com | TCP:443 | Rede necessária de agentes APM do Dynatrace. |
| *.saas.appdynamics.com | TCP:443/80 | Rede necessária de agentes do AppDynamics APM, consulte também Domínios SaaS e intervalos de IP. |
FQDN opcional dos Aplicativos Spring do Azure para Application Insights
Para permitir que o SDK do Application Insights ou do Application Insights Agent enviem dados para o portal, você precisa abrir algumas portas de saída no firewall do servidor. Para obter mais informações, consulte a seção Portas de saída de Endereços IP usados pelo Azure Monitor.
Marca de serviço VirtualNetwork
Os grupos de segurança de rede do Azure podem filtrar o tráfego de rede em uma rede virtual do Azure. Ao habilitar o tráfego de rede de entrada usando a marca de serviço VirtualNetwork, ele inclui automaticamente todos os intervalos de endereços IP da rede virtual de carga de trabalho e todas as redes virtuais de tráfego emparelhadas.
Para os Aplicativos Spring do Azure em execução no AKS (Serviço de Kubernetes do Azure), a infraestrutura do AKS gerencia os prefixos de endereço IP para cargas de trabalho em todos os pools de nós do AKS. Esses prefixos são incluídos implicitamente na marca de serviço VirtualNetwork. Esse design garante que os aplicativos permaneçam acessíveis dentro da rede virtual, mesmo que seus endereços IP fiquem fora do intervalo de IP definido da rede virtual.
Se decidir não permitir o tráfego usando a marca de serviço VirtualNetwork, deverá configurar regras específicas para permitir a comunicação entre a sub-rede de runtime do serviço Aplicativos Spring do Azure e a sub-rede de aplicativos. Além disso, é necessário permitir explicitamente o tráfego do intervalo CIDR (Roteamento entre Domínios sem Classificação) reservado do Aplicativos Spring do Azure, que é usado pela infraestrutura subjacente do AKS. Você não pode adicionar apenas parte do intervalo CIDR à lista de permissões porque o prefixo de endereço para cargas de trabalho é dinâmico.