Partilhar via


Responsabilidades do cliente para executar o Azure Spring Apps em uma rede virtual

Nota

Os planos Basic, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de aposentadoria de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte o anúncio de aposentadoria do Azure Spring Apps.

O plano de consumo padrão e dedicado será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte Migrar consumo padrão e plano dedicado do Azure Spring Apps para Aplicativos de Contêiner do Azure.

Este artigo aplica-se a:✅ Basic/Standard ✅ Enterprise

Este artigo inclui especificações para o uso do Azure Spring Apps em uma rede virtual.

Quando o Azure Spring Apps é implantado em sua rede virtual, ele tem dependências de saída em serviços fora da rede virtual. Para fins operacionais e de gerenciamento, o Azure Spring Apps deve acessar determinadas portas e FQDNs (nomes de domínio totalmente qualificados). O Azure Spring Apps requer que esses pontos de extremidade se comuniquem com o plano de gerenciamento e baixem e instalem os principais componentes de cluster do Kubernetes e as atualizações de segurança.

Por padrão, o Azure Spring Apps tem acesso irrestrito à Internet de saída (saída). Esse nível de acesso à rede permite que os aplicativos executados acessem recursos externos conforme necessário. Se você deseja restringir o tráfego de saída, um número limitado de portas e endereços deve estar acessível para tarefas de manutenção. A solução mais simples para proteger endereços de saída é o uso de um dispositivo de firewall que pode controlar o tráfego de saída com base em nomes de domínio. O Firewall do Azure, por exemplo, pode restringir o tráfego HTTP e HTTPS de saída com base no FQDN do destino. Você também pode configurar seu firewall preferido e regras de segurança para permitir essas portas e endereços necessários.

Requisitos de recursos do Azure Spring Apps

A lista a seguir mostra os requisitos de recursos para os serviços do Azure Spring Apps. Como requisito geral, você não deve modificar grupos de recursos criados pelo Azure Spring Apps e os recursos de rede subjacentes.

  • Não modifique grupos de recursos criados e de propriedade do Azure Spring Apps.
    • Por padrão, esses grupos de recursos são nomeados ap-svc-rt_<service-instance-name>_<region>* e ap_<service-instance-name>_<region>*.
    • Não impeça o Azure Spring Apps de atualizar recursos nesses grupos de recursos.
  • Não modifique sub-redes usadas pelo Azure Spring Apps.
  • Não crie mais de uma instância de serviço do Azure Spring Apps na mesma sub-rede.
  • Ao usar um firewall para controlar o tráfego, não bloqueie o seguinte tráfego de saída para os componentes do Azure Spring Apps que operam, mantêm e dão suporte à instância de serviço.

Regras de rede necessárias do Azure Global

Ponto de extremidade de destino Porta Utilizar Nota
*:443 ou ServiceTag - AzureCloud:443 TCP:443 Gerenciamento de Serviço do Azure Spring Apps. Para obter informações sobre a instância requiredTrafficsde serviço, consulte a carga útil do networkProfile recurso, na seção .
*.azurecr.io:443 ou ServiceTag - AzureContainerRegistry:443 TCP:443 Azure Container Registry. Pode ser substituído habilitando o ponto de extremidade do serviço Registro de Contêiner do Azure na rede virtual.
*.core.windows.net:443 e *.core.windows.net:445 ou ServiceTag - Armazenamento:443 e Armazenamento:445 TCP:443, TCP:445 Ficheiros do Azure Pode ser substituído habilitando o ponto de extremidade do serviço de Armazenamento do Azure na rede virtual.
*.servicebus.windows.net:443 ou ServiceTag - EventHub:443 TCP:443 Hubs de Eventos do Azure. Pode ser substituído habilitando o ponto de extremidade do serviço Hubs de Eventos do Azure na rede virtual.
*.prod.microsoftmetrics.com:443 ou ServiceTag - AzureMonitor:443 TCP:443 Azure Monitor. Permite chamadas de saída para o Azure Monitor.

FQDN / regras de aplicativo necessárias do Azure Global

O Firewall do Azure fornece a marca FQDN AzureKubernetesService para simplificar as seguintes configurações:

FQDN de destino Porta Utilizar
*.azmk8s.io HTTPS:443 Gerenciamento de cluster Kubernetes subjacente.
mcr.microsoft.com HTTPS:443 Registro de contêiner da Microsoft (MCR).
*.data.mcr.microsoft.com HTTPS:443 Armazenamento MCR apoiado pela CDN do Azure.
management.azure.com HTTPS:443 Gerenciamento de cluster Kubernetes subjacente.
login.microsoftonline.com HTTPS:443 Autenticação do Microsoft Entra.
packages.microsoft.com HTTPS:443 Repositório de pacotes da Microsoft.
acs-mirror.azureedge.net HTTPS:443 Repositório necessário para instalar binários necessários, como kubenet e Azure CNI.

Regras de rede necessárias do Microsoft Azure operado pela 21Vianet

Ponto de extremidade de destino Porta Utilizar Nota
*:443 ou ServiceTag - AzureCloud:443 TCP:443 Gerenciamento de Serviço do Azure Spring Apps. Para obter informações sobre a instância requiredTrafficsde serviço, consulte a carga útil do networkProfile recurso, na seção .
*.azurecr.cn:443 ou ServiceTag - AzureContainerRegistry:443 TCP:443 Azure Container Registry. Pode ser substituído habilitando o ponto de extremidade do serviço Registro de Contêiner do Azure na rede virtual.
*.core.chinacloudapi.cn:443 e *.core.chinacloudapi.cn:445 ou ServiceTag - Armazenamento: 443 e Armazenamento: 445 TCP:443, TCP:445 Ficheiros do Azure Pode ser substituído habilitando o ponto de extremidade do serviço de Armazenamento do Azure na rede virtual.
*.servicebus.chinacloudapi.cn:443 ou ServiceTag - EventHub:443 TCP:443 Hubs de Eventos do Azure. Pode ser substituído habilitando o ponto de extremidade do serviço Hubs de Eventos do Azure na rede virtual.
*.prod.microsoftmetrics.com:443 ou ServiceTag - AzureMonitor:443 TCP:443 Azure Monitor. Permite chamadas de saída para o Azure Monitor.

Microsoft Azure operado pela 21Vianet necessário FQDN / regras de aplicativo

O Firewall do Azure fornece a marca AzureKubernetesService FQDN para simplificar as seguintes configurações:

FQDN de destino Porta Utilizar
*.cx.prod.service.azk8s.cn HTTPS:443 Gerenciamento de cluster Kubernetes subjacente.
mcr.microsoft.com HTTPS:443 Registro de contêiner da Microsoft (MCR).
*.data.mcr.microsoft.com HTTPS:443 Armazenamento MCR apoiado pela CDN do Azure.
management.chinacloudapi.cn HTTPS:443 Gerenciamento de cluster Kubernetes subjacente.
login.chinacloudapi.cn HTTPS:443 Autenticação do Microsoft Entra.
packages.microsoft.com HTTPS:443 Repositório de pacotes da Microsoft.
*.azk8s.cn HTTPS:443 Repositório necessário para instalar binários necessários, como kubenet e Azure CNI.

FQDN opcional do Azure Spring Apps para gerenciamento de desempenho de aplicativos de terceiros

FQDN de destino Porta Utilizar
colecionador*.newrelic.com TCP:443/80 Redes necessárias de agentes New Relic APM da região dos EUA, consulte também APM Agents Networks.
coletor*.eu01.nr-data.net TCP:443/80 Redes obrigatórias de agentes APM da New Relic da região da UE, consulte também APM Agents Networks.
*.live.dynatrace.com TCP:443 Rede necessária de agentes Dynatrace APM.
*.live.ruxit.com TCP:443 Rede necessária de agentes Dynatrace APM.
*.saas.appdynamics.com TCP:443/80 Rede necessária de agentes AppDynamics APM, consulte também Domínios SaaS e Intervalos de IP.

FQDN opcional do Azure Spring Apps para Application Insights

Você precisa abrir algumas portas de saída no firewall do servidor para permitir que o SDK do Application Insights ou o Application Insights Agent envie dados para o portal. Para obter mais informações, consulte a seção Portas de saída de endereços IP usados pelo Azure Monitor.

Próximos passos