Responsabilidades do cliente para o plano de consumo Standard e dedicado dos Aplicativos Spring do Azure em uma rede virtual
Observação
Os planos Básico, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de desativação de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira o anúncio de desativação dos Aplicativos Spring do Azure.
O plano consumo e dedicado Standard será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira Migrar o plano dedicado e consumo Standard dos Aplicativos Spring do Azure para os Aplicativos de Contêiner do Azure.
Este artigo se aplica a:✅ Consumo padrão e dedicado (versão preliminar) ❎ Básico/Standard ❎ Enterprise
Este artigo descreve as responsabilidades do cliente para executar uma instância de serviço do plano dedicado e consumo Standard dos Aplicativos Spring do Azure em uma rede virtual.
Use os NSGs (Grupos de Segurança de Rede) para configurar redes virtuais para estar em conformidade com as configurações exigidas pelo Kubernetes.
Para controlar todo o tráfego de entrada e saída para o ambiente de Aplicativos de Contêiner do Azure, você pode usar os NSGs para bloquear uma rede com regras mais restritivas do que as regras do NSG padrão.
Regras de permissão do NSG
As tabelas a seguir descrevem como configurar uma coleção de regras de permissão do NSG.
Observação
A sub-rede associada a um ambiente de Aplicativos de Contêiner do Azure deve ter um prefixo CIDR de /23
ou maior.
Saída com ServiceTags
Protocolo | Porta | Marca de serviço | Descrição |
---|---|---|---|
UDP | 1194 |
AzureCloud.<region> |
Necessário para a conexão segura interna do AKS (Serviço de Kubernetes do Azure) entre os nós subjacentes e o painel de controle. Substitua <region> pela região em que o aplicativo de contêiner está implantado. |
TCP | 9000 |
AzureCloud.<region> |
Necessário para a conexão segura interna do AKS entre os nós subjacentes e o painel de controle. Substitua <region> pela região em que o aplicativo de contêiner está implantado. |
TCP | 443 |
AzureMonitor |
Permite chamadas de saída ao Azure Monitor. |
TCP | 443 |
Azure Container Registry |
Habilita o Registro de Contêiner do Azure, conforme descrito nos Pontos de extremidade do serviço de rede virtual. |
TCP | 443 |
MicrosoftContainerRegistry |
A marca de serviço do registro de contêiner para contêineres da Microsoft. |
TCP | 443 |
AzureFrontDoor.FirstParty |
Uma dependência da marca de serviço MicrosoftContainerRegistry . |
TCP | 443 , 445 |
Azure Files |
Habilita o Armazenamento do Azure, conforme descrito nos Pontos de extremidade de serviço de rede virtual. |
Saída com regras de IP de curinga
Protocolo | Porta | IP | Descrição |
---|---|---|---|
TCP | 443 |
* | Defina todo o tráfego de saída na porta 443 para permitir todas as dependências de saída baseadas em FQDN (nome de domínio totalmente qualificado) que não têm um IP estático. |
UDP | 123 |
* | Servidor NTP. |
TCP | 5671 |
* | Painel de controle Aplicativos de Contêiner. |
TCP | 5672 |
* | Painel de controle Aplicativos de Contêiner. |
Qualquer | * | Espaço de endereço da sub-rede da infraestrutura | Permitir a comunicação entre IPs na sub-rede da infraestrutura. Esse endereço é passado como um parâmetro quando você cria um ambiente, por exemplo, 10.0.0.0/21 . |
Saída com os requisitos de FQDN/regras de aplicativo
Protocolo | Porta | FQDN | Descrição |
---|---|---|---|
TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
TCP | 443 |
*.cdn.mscr.io |
Armazenamento do MCR apoiado pela CDN (Rede de Distribuição de Conteúdo) do Azure. |
TCP | 443 |
*.data.mcr.microsoft.com |
Armazenamento MCR com o suporte da CDN do Azure. |
Saída com FQDN para gerenciamento de desempenho de aplicativos de terceiros (opcional)
Protocolo | Porta | FQDN | Descrição |
---|---|---|---|
TCP | 443/80 |
collector*.newrelic.com |
As redes necessárias de agentes de APM (monitoramento de desempenho e aplicativos) da New Relic da região dos EUA. Confira as redes de agentes de APM. |
TCP | 443/80 |
collector*.eu01.nr-data.net |
As redes necessárias dos agentes de APM da New Relic da região da UE. Confira as redes de agentes de APM. |
TCP | 443 |
*.live.dynatrace.com |
A rede necessária dos agentes de APM da Dynatrace. |
TCP | 443 |
*.live.ruxit.com |
A rede necessária dos agentes de APM da Dynatrace. |
TCP | 443/80 |
*.saas.appdynamics.com |
A rede necessária de agentes de APM do AppDynamics. Confira domínios SaaS e os intervalos de IP. |
Considerações
- Se você estiver executando servidores HTTP, talvez seja necessário adicionar as portas
80
e443
. - Adicionar regras de negação para algumas portas e protocolos com prioridade menor do que
65000
pode causar interrupção de serviço e comportamento inesperado.