客戶在虛擬網路中執行 Azure Spring Apps 的責任
注意
基本、標準和企業方案將從 2025 年 3 月中旬開始淘汰,並停用 3 年。 建議您轉換至 Azure Container Apps。 如需詳細資訊,請參閱 Azure Spring Apps 淘汰公告。
標準 耗用量和專用 方案將從 2024 年 9 月 30 日起淘汰,並在六個月後完成關閉。 建議您轉換至 Azure Container Apps。 如需詳細資訊,請參閱 將 Azure Spring Apps 標準取用和專用方案遷移至 Azure Container Apps。
本文適用於:✅ 基本/標準 ✅ 企業
本文包含在虛擬網路中使用 Azure Spring Apps 的規格。
Azure Spring Apps 部署於虛擬網路時,會對虛擬網路外部的服務具有輸出相依性。 基於管理和操作目的,Azure Spring Apps 必須存取特定連接埠和完整網域名稱 (FQDN)。 Azure Spring Apps 需要這些端點才能與管理平面通訊,以及下載並安裝核心 Kubernetes 叢集元件和安全性更新。
根據預設,Azure Spring Apps 具有不受限制的輸出 (連出) 網際網路存取。 此網路存取層級可讓您執行的應用程式視需要存取外部資源。 如果您想要限制連出流量,則必須能夠存取有限數量的連接埠和位址,以進行維護工作。 保護輸出位址的最簡單解決方案,是使用可以根據網域名稱控制輸出流量的防火牆裝置。 例如,Azure 防火牆可以依據目的地的 FQDN 限制 HTTP 和 HTTPS 流量輸出。 您也可設定慣用的防火牆和安全性規則,以允許這些必要的連接埠和位址。
Azure Spring Apps 資源需求
下列清單顯示 Azure Spring Apps 服務的資源需求。 您不應修改 Azure Spring Apps 所建立的資源群組和基礎網路資源,這是一般需求。
- 請勿修改 Azure Spring Apps 所建立和擁有的資源群組。
- 根據預設,這些資源群組會命名為
ap-svc-rt_<service-instance-name>_<region>*和ap_<service-instance-name>_<region>*。 - 請勿阻止 Azure Spring Apps 更新這些資源群組中的資源。
- 根據預設,這些資源群組會命名為
- 請勿修改 Azure Spring Apps 所使用的子網路。
- 請勿在相同的子網路中建立多個 Azure Spring Apps 服務執行個體。
- 使用防火牆控制流量時,請勿封鎖以操作、維護及支援服務執行個體的 Azure Spring Apps 元件為目標的下列連出流量。
Azure 全域所需的網路規則
| 目的地端點 | 連接埠 | 使用 | 注意 |
|---|---|---|---|
| *:443 或ServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps 服務管理。 | 如需服務執行個體 requiredTraffics 的相關資訊,請參閱 networkProfile 章節底下的資源承載。 |
| *.azurecr.io:443 或ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry。 | 可藉由在虛擬網路中啟用 Azure Container Registry服務端點來取代。 |
| *.core.windows.net:443 和 *.core.windows.net:445 或ServiceTag - Storage:443 和 Storage:445 | TCP:443、TCP:445 | Azure 檔案 | 可藉由在虛擬網路中啟用 Azure 儲存體服務端點來取代。 |
| *.servicebus.windows.net:443 或ServiceTag - EventHub:443 | TCP:443 | Azure 事件中樞。 | 可以藉由在虛擬網路中啟用 Azure 事件中樞服務端點來取代。 |
| *.prod.microsoftmetrics.com:443 或ServiceTag - AzureMonitor:443 | TCP:443 | Azure 監視器。 | 允許對 Azure 監視器進行輸出呼叫。 |
Azure 全域必要 FQDN/應用程式規則
Azure 防火牆提供 FQDN 標籤 AzureKubernetesService 以簡化下列設定:
| 目的地 FQDN | 連接埠 | 使用 |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | 基礎 Kubernetes 叢集管理。 |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR)。 |
| *.data.mcr.microsoft.com | HTTPS:443 | 由 Azure CDN 支援的 MCR 儲存體。 |
| management.azure.com | HTTPS:443 | 基礎 Kubernetes 叢集管理。 |
| login.microsoftonline.com | HTTPS:443 | Microsoft Entra 驗證。 |
| packages.microsoft.com | HTTPS:443 | Microsoft 套件存放庫。 |
| acs-mirror.azureedge.net | HTTPS:443 | 安裝必要的二進位檔 (例如 kubenet 和 Azure CNI) 所需的存放庫。 |
由 21Vianet 營運的 Microsoft Azure 需要網路規則
| 目的地端點 | 連接埠 | 使用 | 注意 |
|---|---|---|---|
| *:443 或ServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps 服務管理。 | 如需服務執行個體 requiredTraffics 的相關資訊,請參閱 networkProfile 章節底下的資源承載。 |
| *.azurecr.cn:443 或ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry。 | 可藉由在虛擬網路中啟用 Azure Container Registry服務端點來取代。 |
| *.core.chinacloudapi.cn:443 和 *.core.chinacloudapi.cn:445 或ServiceTag - Storage:443 and Storage:445 | TCP:443、TCP:445 | Azure 檔案 | 可藉由在虛擬網路中啟用 Azure 儲存體服務端點來取代。 |
| *.servicebus.chinacloudapi.cn:443 或ServiceTag - EventHub:443 | TCP:443 | Azure 事件中樞。 | 可以藉由在虛擬網路中啟用 Azure 事件中樞服務端點來取代。 |
| *.prod.microsoftmetrics.com:443 或ServiceTag - AzureMonitor:443 | TCP:443 | Azure 監視器。 | 允許對 Azure 監視器進行輸出呼叫。 |
由 21Vianet 營運的 Microsoft Azure 需要 FQDN/應用程式規則
Azure 防火牆會提供 FQDN 標籤 AzureKubernetesService 以簡化下列設定:
| 目的地 FQDN | 連接埠 | 使用 |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | 基礎 Kubernetes 叢集管理。 |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR)。 |
| *.data.mcr.microsoft.com | HTTPS:443 | 由 Azure CDN 支援的 MCR 儲存體。 |
| management.chinacloudapi.cn | HTTPS:443 | 基礎 Kubernetes 叢集管理。 |
| login.chinacloudapi.cn | HTTPS:443 | Microsoft Entra 驗證。 |
| packages.microsoft.com | HTTPS:443 | Microsoft 套件存放庫。 |
| *.azk8s.cn | HTTPS:443 | 安裝必要的二進位檔 (例如 kubenet 和 Azure CNI) 所需的存放庫。 |
適用於第三方應用程式效能管理的 Azure Spring Apps 選用 FQDN
| 目的地 FQDN | 連接埠 | 使用 |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | 美國區域的 New Relic APM 代理程式所需的網路,另請參閱 APM 代理程式網路。 |
| collector*.eu01.nr-data.net | TCP:443/80 | 歐盟區域的 New Relic APM 代理程式所需的網路,另請參閱 APM 代理程式網路。 |
| *.live.dynatrace.com | TCP:443 | Dynatrace APM 代理程式的必要網路。 |
| *.live.ruxit.com | TCP:443 | Dynatrace APM 代理程式的必要網路。 |
| *.saas.appdynamics.com | TCP:443/80 | AppDynamics APM 代理程式所需的網路,另請參閱 SaaS 網域和 IP 範圍。 |
適用於 Application Insights 的 Azure Spring 應用程式選用 FQDN
您必須在伺服器的防火牆中開啟一些傳出埠,以允許 Application Insights SDK 或 Application Insights 代理程式將資料傳送至入口網站。 如需詳細資訊,請參閱 Azure 監視器所使用的 IP 位址 的 [傳出埠]章節。
VirtualNetwork 服務標籤
Azure 網路安全組可以篩選 Azure 虛擬網路內的網路流量。 當您使用 VirtualNetwork 服務標籤啟用輸入網路流量時,它會自動包含工作負載虛擬網路和任何對等互連傳輸虛擬網路的所有IP位址範圍。
針對在 Azure Kubernetes Service (AKS) 上執行的 Azure Spring Apps,AKS 基礎結構會管理所有 AKS 節點集區上工作負載的 IP 位址前綴。 這些前置詞會隱含地包含在服務標籤中 VirtualNetwork 。 此設計可確保應用程式在虛擬網路內仍可存取,即使其IP位址落在虛擬網路定義的IP範圍之外也一樣。
如果您決定不允許使用服務標籤的 VirtualNetwork 流量,您必須設定特定規則,以允許 Azure Spring Apps 服務運行時間子網與應用程式子網之間的通訊。 此外,您必須明確允許來自基礎 AKS 基礎結構所使用的 Azure Spring Apps 保留無類別網路變數間路由 (CIDR) 範圍的流量。 您無法只將 CIDR 範圍的一部分新增至允許清單,因為工作負載的地址前綴是動態的。