Partilhar via


Responsabilidades do cliente para o consumo padrão e plano dedicado do Azure Spring Apps em uma rede virtual

Nota

Os planos Basic, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de aposentadoria de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte o anúncio de aposentadoria do Azure Spring Apps.

O plano de consumo padrão e dedicado será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte Migrar consumo padrão e plano dedicado do Azure Spring Apps para Aplicativos de Contêiner do Azure.

Este artigo aplica-se a:✅ Consumo padrão e dedicado (Pré-visualização) ❎ Básico/Standard ❎ Enterprise

Este artigo descreve as responsabilidades do cliente para executar um consumo do Azure Spring Apps Standard e uma instância de serviço de plano dedicada em uma rede virtual.

Use NSGs (Network Security Groups) para configurar redes virtuais em conformidade com as configurações exigidas pelo Kubernetes.

Para controlar todo o tráfego de entrada e saída para o ambiente de Aplicativos de Contêiner do Azure, você pode usar NSGs para bloquear uma rede com regras mais restritivas do que as regras NSG padrão.

NSG permitir regras

As tabelas a seguir descrevem como configurar uma coleção de regras de permissão do NSG.

Nota

A sub-rede associada a um ambiente de Aplicativos de Contêiner do Azure requer um prefixo CIDR igual /23 ou maior.

Saída com ServiceTags

Protocolo Porta ServiceTag Description
UDP 1194 AzureCloud.<region> Necessário para a conexão segura interna do Serviço Kubernetes do Azure (AKS) entre os nós subjacentes e o plano de controle. Substitua <region> pela região onde seu aplicativo de contêiner está implantado.
TCP 9000 AzureCloud.<region> Necessário para conexão segura interna do AKS entre os nós subjacentes e o plano de controle. Substitua <region> pela região onde seu aplicativo de contêiner está implantado.
TCP 443 AzureMonitor Permite chamadas de saída para o Azure Monitor.
TCP 443 Azure Container Registry Habilita o Registro de Contêiner do Azure conforme descrito em Pontos de extremidade do serviço de rede virtual.
TCP 443 MicrosoftContainerRegistry A marca de serviço para registro de contêiner para contêineres da Microsoft.
TCP 443 AzureFrontDoor.FirstParty Uma dependência da MicrosoftContainerRegistry etiqueta de serviço.
TCP 443, 445 Azure Files Habilita o Armazenamento do Azure conforme descrito em Pontos de extremidade de serviço de rede virtual.

Saída com regras de IP curinga

Protocolo Porta IP Description
TCP 443 * Defina todo o tráfego de saída na porta 443 para permitir todas as dependências de saída baseadas em FQDN (nome de domínio totalmente qualificado) que não tenham um IP estático.
UDP 123 * Servidor NTP.
TCP 5671 * Plano de controle de aplicativos de contêiner.
TCP 5672 * Plano de controle de aplicativos de contêiner.
Qualquer * Espaço de endereçamento da sub-rede de infraestrutura Permitir a comunicação entre IPs na sub-rede de infraestrutura. Esse endereço é passado como um parâmetro quando você cria um ambiente - por exemplo, 10.0.0.0/21.

Saída com requisitos FQDN/regras de aplicação

Protocolo Porta FQDN Description
TCP 443 mcr.microsoft.com Registro de contêiner da Microsoft (MCR).
TCP 443 *.cdn.mscr.io Armazenamento MCR apoiado pela CDN (Rede de Entrega de Conteúdo) do Azure.
TCP 443 *.data.mcr.microsoft.com Armazenamento MCR apoiado pela CDN do Azure.

Saída com FQDN para gerenciamento de desempenho de aplicativos de terceiros (opcional)

Protocolo Porta FQDN Description
TCP 443/80 collector*.newrelic.com As redes necessárias de aplicação New Relic e agentes de monitoramento de desempenho (APM) da região dos EUA. Consulte Redes de agentes APM.
TCP 443/80 collector*.eu01.nr-data.net As redes necessárias de agentes APM da New Relic da região da UE. Consulte Redes de agentes APM.
TCP 443 *.live.dynatrace.com A rede necessária de agentes Dynatrace APM.
TCP 443 *.live.ruxit.com A rede necessária de agentes Dynatrace APM.
TCP 443/80 *.saas.appdynamics.com A rede necessária de agentes AppDynamics APM. Consulte Domínios SaaS e intervalos de IP.

Considerações

  • Se você estiver executando servidores HTTP, talvez seja necessário adicionar portas 80 e 443.
  • Adicionar regras de negação para algumas portas e protocolos com prioridade menor do que 65000 pode causar interrupção do serviço e comportamento inesperado.

Próximos passos