Dela via


Kundansvar för Azure Spring Apps Standard-förbrukning och dedikerad plan i ett virtuellt nätverk

Kommentar

Basic-, Standard- och Enterprise-planerna kommer att vara inaktuella från och med mitten av mars 2025, med en 3-årig pensionsperiod. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i meddelandet om azure Spring Apps-pensionering.

Standardförbrukningen och den dedikerade planen kommer att vara inaktuell från och med den 30 september 2024, med en fullständig avstängning efter sex månader. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i Migrera Azure Spring Apps Standard-förbrukning och dedikerad plan till Azure Container Apps.

Den här artikeln gäller för: ✔️ Standardförbrukning och dedikerad (förhandsversion) ❌ Basic/Standard ❌ Enterprise

Den här artikeln beskriver kundens ansvar för att köra en Azure Spring Apps Standard-förbrukning och en dedikerad plantjänstinstans i ett virtuellt nätverk.

Använd nätverkssäkerhetsgrupper (NSG:er) för att konfigurera virtuella nätverk så att de överensstämmer med de inställningar som krävs av Kubernetes.

Om du vill styra all inkommande och utgående trafik för Azure Container Apps-miljön kan du använda NSG:er för att låsa ett nätverk med mer restriktiva regler än standardreglerna för NSG.

NSG-tillåtna regler

I följande tabeller beskrivs hur du konfigurerar en samling NSG-tillåtna regler.

Kommentar

Undernätet som är associerat med en Azure Container Apps-miljö kräver ett CIDR-prefix på /23 eller större.

Utgående med ServiceTags

Protokoll Port ServiceTag beskrivning
UDP 1194 AzureCloud.<region> Krävs för intern AKS-säker anslutning (Azure Kubernetes Service) mellan underliggande noder och kontrollplanet. Ersätt <region> med den region där containerappen distribueras.
TCP 9000 AzureCloud.<region> Krävs för intern AKS-säker anslutning mellan underliggande noder och kontrollplanet. Ersätt <region> med den region där containerappen distribueras.
TCP 443 AzureMonitor Tillåter utgående anrop till Azure Monitor.
TCP 443 Azure Container Registry Aktiverar Azure Container Registry enligt beskrivningen i Tjänstslutpunkter för virtuellt nätverk.
TCP 443 MicrosoftContainerRegistry Tjänsttaggen för containerregistret för Microsoft-containrar.
TCP 443 AzureFrontDoor.FirstParty Ett beroende av MicrosoftContainerRegistry tjänsttaggen.
TCP 443, 445 Azure Files Aktiverar Azure Storage enligt beskrivningen i Tjänstslutpunkter för virtuellt nätverk.

Utgående med IP-regler för jokertecken

Protokoll Port IP beskrivning
TCP 443 * Ställ in all utgående trafik på porten 443 så att alla fullständigt kvalificerade domännamn (FQDN) baserade på utgående beroenden som inte har en statisk IP-adress tillåts.
UDP 123 * NTP-server.
TCP 5671 * Kontrollplan för Container Apps.
TCP 5672 * Kontrollplan för Container Apps.
Alla * Infrastrukturundernätsadressutrymme Tillåt kommunikation mellan IP-adresser i infrastrukturundernätet. Den här adressen skickas som en parameter när du skapar en miljö , till exempel 10.0.0.0/21.

Utgående med FQDN-krav/programregler

Protokoll Port FQDN beskrivning
TCP 443 mcr.microsoft.com Microsoft Container Registry (MCR).
TCP 443 *.cdn.mscr.io MCR-lagring som backas upp av Azure Content Delivery Network (CDN).
TCP 443 *.data.mcr.microsoft.com MCR-lagring som backas upp av Azure CDN.

Utgående med FQDN för programprestandahantering från tredje part (valfritt)

Protokoll Port FQDN beskrivning
TCP 443/80 collector*.newrelic.com De nätverk som krävs för APM-agenter (New Relic application and performance monitoring) från regionen USA. Se APM-agentnätverk.
TCP 443/80 collector*.eu01.nr-data.net De nätverk som krävs av APM-agenter från EU-regionen. Se APM-agentnätverk.
TCP 443 *.live.dynatrace.com Det nödvändiga nätverket av Dynatrace APM-agenter.
TCP 443 *.live.ruxit.com Det nödvändiga nätverket av Dynatrace APM-agenter.
TCP 443/80 *.saas.appdynamics.com Det nödvändiga nätverket av AppDynamics APM-agenter. Se SaaS-domäner och IP-intervall.

Att tänka på

  • Om du kör HTTP-servrar kan du behöva lägga till portar 80 och 443.
  • Att lägga till neka-regler för vissa portar och protokoll med lägre prioritet än 65000 vad som kan orsaka avbrott i tjänsten och oväntat beteende.

Nästa steg