你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
虚拟网络中 Azure Spring Apps 标准消耗和专用计划的客户责任
注意
从 2025 年 3 月中旬开始,基本、标准和企业计划将弃用,停用期为三年。 建议过渡到 Azure 容器应用。 有关详细信息,请参阅 Azure Spring Apps 停用公告。
从 2024 年 9 月 30 日开始,标准消耗和专用计划将弃用,六个月后将完全关闭。 建议过渡到 Azure 容器应用。 有关详细信息,请参阅将 Azure Spring Apps 标准消耗和专用计划迁移到 Azure 容器应用。
本文适用于:✔️ 标准消耗和专用(预览版)❌ 基本/标准 ❌ 企业
本文介绍在虚拟网络中运行 Azure Spring Apps 标准消耗和专用计划服务实例的客户职责。
使用网络安全组 (NSG) 将虚拟网络配置为符合 Kubernetes 所需的设置。
若要控制容器应用环境的所有入站和出站流量,可以通过具有比默认 NSG 规则更严格的规则的 NSG 锁定网络。
NSG 允许规则
下表介绍了如何配置一组 NSG 允许规则。
注意
与 Azure 容器应用环境关联的子网需要 /23 或更大的 CIDR 前缀。
使用 ServiceTags 出站
| 协议 | 端口 | ServiceTag | 说明 |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
对于基础节点和控制平面之间的内部 Azure Kubernetes 服务 (AKS) 安全连接是必需的。 将 <region> 替换为部署容器应用的区域。 |
| TCP | 9000 |
AzureCloud.<region> |
对于基础节点和控制平面之间的内部 AKS 安全连接是必需的。 将 <region> 替换为部署容器应用的区域。 |
| TCP | 443 |
AzureMonitor |
允许对 Azure Monitor 的出站调用。 |
| TCP | 443 |
Azure Container Registry |
启用 Azure 容器注册表,如虚拟网络服务终结点中所述。 |
| TCP | 443 |
MicrosoftContainerRegistry |
Microsoft 容器的容器注册表的服务标记。 |
| TCP | 443 |
AzureFrontDoor.FirstParty |
MicrosoftContainerRegistry 服务标记的依赖项。 |
| TCP | 443、445 |
Azure Files |
启用 Azure 存储,如虚拟网络服务终结点中所述。 |
使用通配符 IP 规则出站
| 协议 | 端口 | IP | 说明 |
|---|---|---|---|
| TCP | 443 |
* | 在端口 443 上设置所有出站流量,以允许没有静态 IP 的所有完全限定的域名 (FQDN) 的出站依赖项。 |
| UDP | 123 |
* | NTP 服务器。 |
| TCP | 5671 |
* | 容器应用控制平面。 |
| TCP | 5672 |
* | 容器应用控制平面。 |
| Any | * | 基础结构子网地址空间 | 允许基础结构子网中的 IP 之间的通信。 创建环境时,此地址作为参数传递,例如 10.0.0.0/21。 |
具有 FQDN 要求/应用程序规则的出站
| 协议 | 端口 | FQDN | 说明 |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft 容器注册表 (MCR)。 |
| TCP | 443 |
*.cdn.mscr.io |
Azure 内容分发网络 (CDN) 支持的 MCR 存储。 |
| TCP | 443 |
*.data.mcr.microsoft.com |
由 Azure CDN 提供支持的 MCR 存储。 |
使用 FQDN 进行出站,用于第三方应用程序性能管理(可选)
| 协议 | 端口 | FQDN | 说明 |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
来自美国区域的 New Relic 应用程序和性能监视 (APM) 代理所需的网络。 请参阅 APM 代理网络。 |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
来自欧盟区域的 New Relic APM 代理所需的网络。 请参阅 APM 代理网络。 |
| TCP | 443 |
*.live.dynatrace.com |
Dynatrace APM 代理所需的网络。 |
| TCP | 443 |
*.live.ruxit.com |
Dynatrace APM 代理所需的网络。 |
| TCP | 443/80 |
*.saas.appdynamics.com |
AppDynamics APM 代理所需的网络。 请参阅 SaaS 域和 IP 范围。 |
注意事项
- 如果运行的是 HTTP 服务器,则可能需要添加端口
80和443。 - 为某些优先级比
65000低的端口和协议添加拒绝规则可能会导致服务中断和意外行为。