Compartilhar via


Responsabilidades do cliente para o plano de consumo Standard e dedicado dos Aplicativos Spring do Azure em uma rede virtual

Observação

Os planos Básico, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de desativação de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira o anúncio de desativação dos Aplicativos Spring do Azure.

O plano consumo e dedicado Standard será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira Migrar o plano dedicado e consumo Standard dos Aplicativos Spring do Azure para os Aplicativos de Contêiner do Azure.

Este artigo se aplica a:✅ Consumo padrão e dedicado (versão preliminar) ❎ Básico/Standard ❎ Enterprise

Este artigo descreve as responsabilidades do cliente para executar uma instância de serviço do plano dedicado e consumo Standard dos Aplicativos Spring do Azure em uma rede virtual.

Use os NSGs (Grupos de Segurança de Rede) para configurar redes virtuais para estar em conformidade com as configurações exigidas pelo Kubernetes.

Para controlar todo o tráfego de entrada e saída para o ambiente de Aplicativos de Contêiner do Azure, você pode usar os NSGs para bloquear uma rede com regras mais restritivas do que as regras do NSG padrão.

Regras de permissão do NSG

As tabelas a seguir descrevem como configurar uma coleção de regras de permissão do NSG.

Observação

A sub-rede associada a um ambiente de Aplicativos de Contêiner do Azure deve ter um prefixo CIDR de /23 ou maior.

Saída com ServiceTags

Protocolo Porta Marca de serviço Descrição
UDP 1194 AzureCloud.<region> Necessário para a conexão segura interna do AKS (Serviço de Kubernetes do Azure) entre os nós subjacentes e o painel de controle. Substitua <region> pela região em que o aplicativo de contêiner está implantado.
TCP 9000 AzureCloud.<region> Necessário para a conexão segura interna do AKS entre os nós subjacentes e o painel de controle. Substitua <region> pela região em que o aplicativo de contêiner está implantado.
TCP 443 AzureMonitor Permite chamadas de saída ao Azure Monitor.
TCP 443 Azure Container Registry Habilita o Registro de Contêiner do Azure, conforme descrito nos Pontos de extremidade do serviço de rede virtual.
TCP 443 MicrosoftContainerRegistry A marca de serviço do registro de contêiner para contêineres da Microsoft.
TCP 443 AzureFrontDoor.FirstParty Uma dependência da marca de serviço MicrosoftContainerRegistry.
TCP 443, 445 Azure Files Habilita o Armazenamento do Azure, conforme descrito nos Pontos de extremidade de serviço de rede virtual.

Saída com regras de IP de curinga

Protocolo Porta IP Descrição
TCP 443 * Defina todo o tráfego de saída na porta 443 para permitir todas as dependências de saída baseadas em FQDN (nome de domínio totalmente qualificado) que não têm um IP estático.
UDP 123 * Servidor NTP.
TCP 5671 * Painel de controle Aplicativos de Contêiner.
TCP 5672 * Painel de controle Aplicativos de Contêiner.
Qualquer * Espaço de endereço da sub-rede da infraestrutura Permitir a comunicação entre IPs na sub-rede da infraestrutura. Esse endereço é passado como um parâmetro quando você cria um ambiente, por exemplo, 10.0.0.0/21.

Saída com os requisitos de FQDN/regras de aplicativo

Protocolo Porta FQDN Descrição
TCP 443 mcr.microsoft.com Microsoft Container Registry (MCR).
TCP 443 *.cdn.mscr.io Armazenamento do MCR apoiado pela CDN (Rede de Distribuição de Conteúdo) do Azure.
TCP 443 *.data.mcr.microsoft.com Armazenamento MCR com o suporte da CDN do Azure.

Saída com FQDN para gerenciamento de desempenho de aplicativos de terceiros (opcional)

Protocolo Porta FQDN Descrição
TCP 443/80 collector*.newrelic.com As redes necessárias de agentes de APM (monitoramento de desempenho e aplicativos) da New Relic da região dos EUA. Confira as redes de agentes de APM.
TCP 443/80 collector*.eu01.nr-data.net As redes necessárias dos agentes de APM da New Relic da região da UE. Confira as redes de agentes de APM.
TCP 443 *.live.dynatrace.com A rede necessária dos agentes de APM da Dynatrace.
TCP 443 *.live.ruxit.com A rede necessária dos agentes de APM da Dynatrace.
TCP 443/80 *.saas.appdynamics.com A rede necessária de agentes de APM do AppDynamics. Confira domínios SaaS e os intervalos de IP.

Considerações

  • Se você estiver executando servidores HTTP, talvez seja necessário adicionar as portas 80 e 443.
  • Adicionar regras de negação para algumas portas e protocolos com prioridade menor do que 65000 pode causar interrupção de serviço e comportamento inesperado.

Próximas etapas