Responsabilidades do cliente para executar os Aplicativos Spring do Azure em uma rede virtual
Observação
Os planos Básico, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de desativação de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira o anúncio de desativação dos Aplicativos Spring do Azure.
O plano consumo e dedicado Standard será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira Migrar o plano dedicado e consumo Standard dos Aplicativos Spring do Azure para os Aplicativos de Contêiner do Azure.
Este artigo se aplica a:✅ Básico/Standard ✅ Enterprise
Este artigo inclui especificações para o uso do Azure Spring Apps em uma rede virtual.
Quando o Azure Spring Apps é implantado em sua rede virtual, ele tem dependências de saída em serviços fora da rede virtual. Para fins operacionais e de gerenciamento, o Azure Spring Apps precisa acessar portas e nomes de domínio totalmente qualificados (FQDNs) específicos. Esses pontos de extremidade são exigidos pelo Azure Spring Apps para comunicação com o plano de gerenciamento e para baixar e instalar os principais componentes do cluster Kubernetes e atualizações de segurança.
Por padrão, o Azure Spring Apps tem acesso irrestrito à Internet (saída). Esse nível de acesso à rede permite que os aplicativos que você executa acessem recursos externos, conforme necessário. Se quiser restringir o tráfego de saída, um número limitado de portas e endereços precisar estar acessível para tarefas de manutenção. A solução mais simples para proteger os endereços de saída está em usar um dispositivo de firewall que possa controlar o tráfego de saída com base em nomes de domínio. O Firewall do Azure, por exemplo, pode restringir o tráfego de HTTP e HTTPS de saída com base no FQDN do destino. Você também pode configurar o firewall e as regras de segurança de sua preferência para permitir as portas e os endereços necessários.
Requisitos de recursos do Azure Spring Apps
A lista a seguir mostra os requisitos de recursos para os serviços do Azure Spring Apps. Como um requisito geral, você não deve modificar os grupos de recursos criados pelo Azure Spring Apps e os recursos de rede subjacentes.
- Não modifique grupos de recursos criados e pertencentes ao Azure Spring Apps.
- Por padrão, esses grupos de recursos são nomeados como
ap-svc-rt_<service-instance-name>_<region>*
eap_<service-instance-name>_<region>*
. - Não bloqueie a atualização de recursos do Azure Spring Apps nesses grupos de recursos.
- Por padrão, esses grupos de recursos são nomeados como
- Não modifique as sub-redes usadas pelo Azure Spring Apps.
- Não crie mais de uma instância de serviço do Azure Spring Apps na mesma sub-rede.
- Ao usar um firewall para controlar o tráfego, não bloqueie o tráfego de saída a seguir para os componentes do Azure Spring Apps que operam, mantêm e dão suporte à instância de serviço.
Regras de rede exigidas globais do Azure
Ponto de extremidade de destino | Porta | Use | Observação |
---|---|---|---|
*:443 ou ServiceTag - AzureCloud:443 | TCP:443 | Gerenciamento de Serviços do Azure Spring Apps. | Para obter informações sobre a instância de serviço requiredTraffics , consulte o conteúdo do recurso, na seção networkProfile . |
*.azurecr.io:443 ou ServiceTag - AzureContainerRegistry:443 | TCP:443 | Registro de Contêiner do Azure. | Pode ser substituído habilitando o ponto de extremidade de serviço do Registro de Contêiner do Azure na rede virtual. |
*.core.windows.net:443 e *.core.windows.net:445 ou ServiceTag - Storage:443 e Storage:445 | TCP:443, TCP:445 | Arquivos do Azure | Pode ser substituído habilitando o ponto de extremidade de serviço do Armazenamento do Microsoft Azure na rede virtual. |
*.servicebus.windows.net:443 ou ServiceTag - EventHub:443 | TCP:443 | Hubs de Eventos do Azure. | Pode ser substituído habilitando o ponto de extremidade de serviço do Hubs de Eventos do Azure na rede virtual. |
*.prod.microsoftmetrics.com:443 ou ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Permite chamadas de saída ao Azure Monitor. |
Regras de FQDN/aplicativo globais do Azure necessárias
O Firewall do Azure fornece uma marca FQDN AzureKubernetesService para simplificar as configurações a seguir:
FQDN de destino | Porta | Use |
---|---|---|
*.azmk8s.io | HTTPS:443 | Gerenciamento de cluster do Kubernetes subjacente. |
mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
*.data.mcr.microsoft.com | HTTPS:443 | Armazenamento MCR com o suporte da CDN do Azure. |
management.azure.com | HTTPS:443 | Gerenciamento de cluster do Kubernetes subjacente. |
login.microsoftonline.com | HTTPS:443 | Autenticação do Microsoft Entra. |
packages.microsoft.com | HTTPS:443 | Repositório de pacotes da Microsoft. |
acs-mirror.azureedge.net | HTTPS:443 | Repositório necessário para instalar os binários necessários, como kubenet e CNI do Azure. |
Regras de rede necessárias para o Microsoft Azure operado pela 21Vianet
Ponto de extremidade de destino | Porta | Use | Observação |
---|---|---|---|
*:443 ou ServiceTag - AzureCloud:443 | TCP:443 | Gerenciamento de Serviços do Azure Spring Apps. | Para obter informações sobre a instância de serviço requiredTraffics , consulte o conteúdo do recurso, na seção networkProfile . |
*.azurecr.cn:443 ou ServiceTag - AzureContainerRegistry:443 | TCP:443 | Registro de Contêiner do Azure. | Pode ser substituído habilitando o ponto de extremidade de serviço do Registro de Contêiner do Azure na rede virtual. |
*.core.chinacloudapi.cn:443 e *.core.chinacloudapi.cn:445 ou ServiceTag - Storage:443 e Storage:445 | TCP:443, TCP:445 | Arquivos do Azure | Pode ser substituído habilitando o ponto de extremidade de serviço do Armazenamento do Microsoft Azure na rede virtual. |
*.servicebus.chinacloudapi.cn:443 ou ServiceTag - EventHub:443 | TCP:443 | Hubs de Eventos do Azure. | Pode ser substituído habilitando o ponto de extremidade de serviço do Hubs de Eventos do Azure na rede virtual. |
*.prod.microsoftmetrics.com:443 ou ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Permite chamadas de saída ao Azure Monitor. |
Regras de FQDN/aplicativo necessárias para o Microsoft Azure operado pela 21Vianet
O Firewall do Azure fornece uma marca FQDN AzureKubernetesService
para simplificar as seguintes configurações:
FQDN de destino | Porta | Use |
---|---|---|
*.cx.prod.service.azk8s.cn | HTTPS:443 | Gerenciamento de cluster do Kubernetes subjacente. |
mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
*.data.mcr.microsoft.com | HTTPS:443 | Armazenamento MCR com o suporte da CDN do Azure. |
management.chinacloudapi.cn | HTTPS:443 | Gerenciamento de cluster do Kubernetes subjacente. |
login.chinacloudapi.cn | HTTPS:443 | Autenticação do Microsoft Entra. |
packages.microsoft.com | HTTPS:443 | Repositório de pacotes da Microsoft. |
*.azk8s.cn | HTTPS:443 | Repositório necessário para instalar os binários necessários, como kubenet e CNI do Azure. |
FQDN opcional do Azure Spring Apps para gerenciamento de desempenho de aplicativos de terceiros
FQDN de destino | Porta | Use |
---|---|---|
collector*.newrelic.com | TCP:443/80 | Redes necessárias de agentes New Relic APM da região dos EUA, confira também Redes de agentes do APM. |
collector*.eu01.nr-data.net | TCP:443/80 | Redes necessárias de agentes APM do New Relic da região da Europa, confira também Redes de agentes do APM. |
*.live.dynatrace.com | TCP:443 | Rede necessária de agentes APM do Dynatrace. |
*.live.ruxit.com | TCP:443 | Rede necessária de agentes APM do Dynatrace. |
*.saas.appdynamics.com | TCP:443/80 | Rede necessária de agentes do AppDynamics APM, consulte também Domínios SaaS e intervalos de IP. |
FQDN opcional dos Aplicativos Spring do Azure para Application Insights
Para permitir que o SDK do Application Insights ou do Application Insights Agent enviem dados para o portal, você precisa abrir algumas portas de saída no firewall do servidor. Para obter mais informações, consulte a seção Portas de saída de Endereços IP usados pelo Azure Monitor.