Responsabilidades do cliente para o consumo padrão e plano dedicado do Azure Spring Apps em uma rede virtual
Nota
Os planos Basic, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de aposentadoria de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte o anúncio de aposentadoria do Azure Spring Apps.
O plano de consumo padrão e dedicado será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte Migrar consumo padrão e plano dedicado do Azure Spring Apps para Aplicativos de Contêiner do Azure.
Este artigo aplica-se a:✅ Consumo padrão e dedicado (Pré-visualização) ❎ Básico/Standard ❎ Enterprise
Este artigo descreve as responsabilidades do cliente para executar um consumo do Azure Spring Apps Standard e uma instância de serviço de plano dedicada em uma rede virtual.
Use NSGs (Network Security Groups) para configurar redes virtuais em conformidade com as configurações exigidas pelo Kubernetes.
Para controlar todo o tráfego de entrada e saída para o ambiente de Aplicativos de Contêiner do Azure, você pode usar NSGs para bloquear uma rede com regras mais restritivas do que as regras NSG padrão.
NSG permitir regras
As tabelas a seguir descrevem como configurar uma coleção de regras de permissão do NSG.
Nota
A sub-rede associada a um ambiente de Aplicativos de Contêiner do Azure requer um prefixo CIDR igual /23
ou maior.
Saída com ServiceTags
Protocolo | Porta | ServiceTag | Description |
---|---|---|---|
UDP | 1194 |
AzureCloud.<region> |
Necessário para a conexão segura interna do Serviço Kubernetes do Azure (AKS) entre os nós subjacentes e o plano de controle. Substitua <region> pela região onde seu aplicativo de contêiner está implantado. |
TCP | 9000 |
AzureCloud.<region> |
Necessário para conexão segura interna do AKS entre os nós subjacentes e o plano de controle. Substitua <region> pela região onde seu aplicativo de contêiner está implantado. |
TCP | 443 |
AzureMonitor |
Permite chamadas de saída para o Azure Monitor. |
TCP | 443 |
Azure Container Registry |
Habilita o Registro de Contêiner do Azure conforme descrito em Pontos de extremidade do serviço de rede virtual. |
TCP | 443 |
MicrosoftContainerRegistry |
A marca de serviço para registro de contêiner para contêineres da Microsoft. |
TCP | 443 |
AzureFrontDoor.FirstParty |
Uma dependência da MicrosoftContainerRegistry etiqueta de serviço. |
TCP | 443 , 445 |
Azure Files |
Habilita o Armazenamento do Azure conforme descrito em Pontos de extremidade de serviço de rede virtual. |
Saída com regras de IP curinga
Protocolo | Porta | IP | Description |
---|---|---|---|
TCP | 443 |
* | Defina todo o tráfego de saída na porta 443 para permitir todas as dependências de saída baseadas em FQDN (nome de domínio totalmente qualificado) que não tenham um IP estático. |
UDP | 123 |
* | Servidor NTP. |
TCP | 5671 |
* | Plano de controle de aplicativos de contêiner. |
TCP | 5672 |
* | Plano de controle de aplicativos de contêiner. |
Qualquer | * | Espaço de endereçamento da sub-rede de infraestrutura | Permitir a comunicação entre IPs na sub-rede de infraestrutura. Esse endereço é passado como um parâmetro quando você cria um ambiente - por exemplo, 10.0.0.0/21 . |
Saída com requisitos FQDN/regras de aplicação
Protocolo | Porta | FQDN | Description |
---|---|---|---|
TCP | 443 |
mcr.microsoft.com |
Registro de contêiner da Microsoft (MCR). |
TCP | 443 |
*.cdn.mscr.io |
Armazenamento MCR apoiado pela CDN (Rede de Entrega de Conteúdo) do Azure. |
TCP | 443 |
*.data.mcr.microsoft.com |
Armazenamento MCR apoiado pela CDN do Azure. |
Saída com FQDN para gerenciamento de desempenho de aplicativos de terceiros (opcional)
Protocolo | Porta | FQDN | Description |
---|---|---|---|
TCP | 443/80 |
collector*.newrelic.com |
As redes necessárias de aplicação New Relic e agentes de monitoramento de desempenho (APM) da região dos EUA. Consulte Redes de agentes APM. |
TCP | 443/80 |
collector*.eu01.nr-data.net |
As redes necessárias de agentes APM da New Relic da região da UE. Consulte Redes de agentes APM. |
TCP | 443 |
*.live.dynatrace.com |
A rede necessária de agentes Dynatrace APM. |
TCP | 443 |
*.live.ruxit.com |
A rede necessária de agentes Dynatrace APM. |
TCP | 443/80 |
*.saas.appdynamics.com |
A rede necessária de agentes AppDynamics APM. Consulte Domínios SaaS e intervalos de IP. |
Considerações
- Se você estiver executando servidores HTTP, talvez seja necessário adicionar portas
80
e443
. - Adicionar regras de negação para algumas portas e protocolos com prioridade menor do que
65000
pode causar interrupção do serviço e comportamento inesperado.