Responsabilidades do cliente para executar o Azure Spring Apps em uma rede virtual
Nota
Os planos Basic, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de aposentadoria de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte o anúncio de aposentadoria do Azure Spring Apps.
O plano de consumo padrão e dedicado será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte Migrar consumo padrão e plano dedicado do Azure Spring Apps para Aplicativos de Contêiner do Azure.
Este artigo aplica-se a:✅ Basic/Standard ✅ Enterprise
Este artigo inclui especificações para o uso do Azure Spring Apps em uma rede virtual.
Quando o Azure Spring Apps é implantado em sua rede virtual, ele tem dependências de saída em serviços fora da rede virtual. Para fins operacionais e de gerenciamento, o Azure Spring Apps deve acessar determinadas portas e FQDNs (nomes de domínio totalmente qualificados). O Azure Spring Apps requer que esses pontos de extremidade se comuniquem com o plano de gerenciamento e baixem e instalem os principais componentes de cluster do Kubernetes e as atualizações de segurança.
Por padrão, o Azure Spring Apps tem acesso irrestrito à Internet de saída (saída). Esse nível de acesso à rede permite que os aplicativos executados acessem recursos externos conforme necessário. Se você deseja restringir o tráfego de saída, um número limitado de portas e endereços deve estar acessível para tarefas de manutenção. A solução mais simples para proteger endereços de saída é o uso de um dispositivo de firewall que pode controlar o tráfego de saída com base em nomes de domínio. O Firewall do Azure, por exemplo, pode restringir o tráfego HTTP e HTTPS de saída com base no FQDN do destino. Você também pode configurar seu firewall preferido e regras de segurança para permitir essas portas e endereços necessários.
Requisitos de recursos do Azure Spring Apps
A lista a seguir mostra os requisitos de recursos para os serviços do Azure Spring Apps. Como requisito geral, você não deve modificar grupos de recursos criados pelo Azure Spring Apps e os recursos de rede subjacentes.
- Não modifique grupos de recursos criados e de propriedade do Azure Spring Apps.
- Por padrão, esses grupos de recursos são nomeados
ap-svc-rt_<service-instance-name>_<region>*eap_<service-instance-name>_<region>*. - Não impeça o Azure Spring Apps de atualizar recursos nesses grupos de recursos.
- Por padrão, esses grupos de recursos são nomeados
- Não modifique sub-redes usadas pelo Azure Spring Apps.
- Não crie mais de uma instância de serviço do Azure Spring Apps na mesma sub-rede.
- Ao usar um firewall para controlar o tráfego, não bloqueie o seguinte tráfego de saída para os componentes do Azure Spring Apps que operam, mantêm e dão suporte à instância de serviço.
Regras de rede necessárias do Azure Global
| Ponto de extremidade de destino | Porta | Utilizar | Nota |
|---|---|---|---|
| *:443 ou ServiceTag - AzureCloud:443 | TCP:443 | Gerenciamento de Serviço do Azure Spring Apps. | Para obter informações sobre a instância requiredTrafficsde serviço, consulte a carga útil do networkProfile recurso, na seção . |
| *.azurecr.io:443 ou ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Pode ser substituído habilitando o ponto de extremidade do serviço Registro de Contêiner do Azure na rede virtual. |
| *.core.windows.net:443 e *.core.windows.net:445 ou ServiceTag - Armazenamento:443 e Armazenamento:445 | TCP:443, TCP:445 | Ficheiros do Azure | Pode ser substituído habilitando o ponto de extremidade do serviço de Armazenamento do Azure na rede virtual. |
| *.servicebus.windows.net:443 ou ServiceTag - EventHub:443 | TCP:443 | Hubs de Eventos do Azure. | Pode ser substituído habilitando o ponto de extremidade do serviço Hubs de Eventos do Azure na rede virtual. |
| *.prod.microsoftmetrics.com:443 ou ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Permite chamadas de saída para o Azure Monitor. |
FQDN / regras de aplicativo necessárias do Azure Global
O Firewall do Azure fornece a marca FQDN AzureKubernetesService para simplificar as seguintes configurações:
| FQDN de destino | Porta | Utilizar |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Gerenciamento de cluster Kubernetes subjacente. |
| mcr.microsoft.com | HTTPS:443 | Registro de contêiner da Microsoft (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Armazenamento MCR apoiado pela CDN do Azure. |
| management.azure.com | HTTPS:443 | Gerenciamento de cluster Kubernetes subjacente. |
| login.microsoftonline.com | HTTPS:443 | Autenticação do Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositório de pacotes da Microsoft. |
| acs-mirror.azureedge.net | HTTPS:443 | Repositório necessário para instalar binários necessários, como kubenet e Azure CNI. |
Regras de rede necessárias do Microsoft Azure operado pela 21Vianet
| Ponto de extremidade de destino | Porta | Utilizar | Nota |
|---|---|---|---|
| *:443 ou ServiceTag - AzureCloud:443 | TCP:443 | Gerenciamento de Serviço do Azure Spring Apps. | Para obter informações sobre a instância requiredTrafficsde serviço, consulte a carga útil do networkProfile recurso, na seção . |
| *.azurecr.cn:443 ou ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Pode ser substituído habilitando o ponto de extremidade do serviço Registro de Contêiner do Azure na rede virtual. |
| *.core.chinacloudapi.cn:443 e *.core.chinacloudapi.cn:445 ou ServiceTag - Armazenamento: 443 e Armazenamento: 445 | TCP:443, TCP:445 | Ficheiros do Azure | Pode ser substituído habilitando o ponto de extremidade do serviço de Armazenamento do Azure na rede virtual. |
| *.servicebus.chinacloudapi.cn:443 ou ServiceTag - EventHub:443 | TCP:443 | Hubs de Eventos do Azure. | Pode ser substituído habilitando o ponto de extremidade do serviço Hubs de Eventos do Azure na rede virtual. |
| *.prod.microsoftmetrics.com:443 ou ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Permite chamadas de saída para o Azure Monitor. |
Microsoft Azure operado pela 21Vianet necessário FQDN / regras de aplicativo
O Firewall do Azure fornece a marca AzureKubernetesService FQDN para simplificar as seguintes configurações:
| FQDN de destino | Porta | Utilizar |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Gerenciamento de cluster Kubernetes subjacente. |
| mcr.microsoft.com | HTTPS:443 | Registro de contêiner da Microsoft (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Armazenamento MCR apoiado pela CDN do Azure. |
| management.chinacloudapi.cn | HTTPS:443 | Gerenciamento de cluster Kubernetes subjacente. |
| login.chinacloudapi.cn | HTTPS:443 | Autenticação do Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositório de pacotes da Microsoft. |
| *.azk8s.cn | HTTPS:443 | Repositório necessário para instalar binários necessários, como kubenet e Azure CNI. |
FQDN opcional do Azure Spring Apps para gerenciamento de desempenho de aplicativos de terceiros
| FQDN de destino | Porta | Utilizar |
|---|---|---|
| colecionador*.newrelic.com | TCP:443/80 | Redes necessárias de agentes New Relic APM da região dos EUA, consulte também APM Agents Networks. |
| coletor*.eu01.nr-data.net | TCP:443/80 | Redes obrigatórias de agentes APM da New Relic da região da UE, consulte também APM Agents Networks. |
| *.live.dynatrace.com | TCP:443 | Rede necessária de agentes Dynatrace APM. |
| *.live.ruxit.com | TCP:443 | Rede necessária de agentes Dynatrace APM. |
| *.saas.appdynamics.com | TCP:443/80 | Rede necessária de agentes AppDynamics APM, consulte também Domínios SaaS e Intervalos de IP. |
FQDN opcional do Azure Spring Apps para Application Insights
Você precisa abrir algumas portas de saída no firewall do servidor para permitir que o SDK do Application Insights ou o Application Insights Agent envie dados para o portal. Para obter mais informações, consulte a seção Portas de saída de endereços IP usados pelo Azure Monitor.
Etiqueta de serviço VirtualNetwork
Os grupos de segurança de rede do Azure podem filtrar o tráfego de rede dentro de uma rede virtual do Azure. Quando você habilita o tráfego de rede de entrada usando a VirtualNetwork etiqueta de serviço, ela inclui automaticamente todos os intervalos de endereços IP da rede virtual de carga de trabalho e quaisquer redes virtuais de trânsito emparelhadas.
Para Azure Spring Apps em execução no Serviço Kubernetes do Azure (AKS), a infraestrutura AKS gerencia os prefixos de endereço IP para cargas de trabalho em todos os pools de nós AKS. Esses prefixos são incluídos implicitamente na VirtualNetwork tag de serviço. Esse design garante que os aplicativos permaneçam acessíveis dentro da rede virtual, mesmo que seus endereços IP estejam fora do intervalo de IP definido da rede virtual.
Se você decidir não permitir o tráfego usando a VirtualNetwork marca de serviço, deverá configurar regras específicas para permitir a comunicação entre a sub-rede de tempo de execução do serviço Azure Spring Apps e a sub-rede de aplicativos. Além disso, você precisa permitir explicitamente o tráfego do intervalo CIDR (Roteamento entre Domínios sem Classe) reservado do Azure Spring Apps, que é usado pela infraestrutura AKS subjacente. Não é possível adicionar apenas parte do intervalo CIDR à lista de permissões porque o prefixo de endereço para cargas de trabalho é dinâmico.