مسؤوليات العملاء لتشغيل Azure Spring Apps في شبكة ظاهرية
إشعار
يعد Azure Spring Apps هو الاسم الجديد لخدمة Azure Spring Cloud. رغم أن الخدمة تحمل اسماً جديداً، سترى الاسم القديم في بعض الأماكن لفترة من الوقت بينما نعمل على تحديث الأصول مثل لقطات الشاشة، ومقاطع الفيديو، والرسوم التخطيطية.
تنطبق هذه المقالة على: ✔️ Basic/Standard ✔️ Enterprise
تتضمن هذه المقالة مواصفات لاستخدام Azure Spring Apps في شبكة ظاهرية.
عند نشر Azure Spring Apps في شبكتك الظاهرية، يكون له تبعيات صادرة على الخدمات خارج الشبكة الظاهرية. ينبغي، لأغراض الإدارة والتشغيل، أن يصل Azure Spring Apps إلى منافذ محددة وأسماء مجالات مؤهلة بالكامل (FQDNs). يتطلب Azure Spring Apps نقاط النهاية هذه للاتصال بوحدة الإدارة وتنزيل وتثبيت مكونات مجموعة Kubernetes الأساسية وتحديثات الأمان.
يتمتع Azure Spring Apps بالوصول إلى الإنترنت الصادر غير المقيد (نقطة انتشار) بشكل افتراضي. يسمح هذا المستوى من الوصول إلى الشبكة للتطبيقات التي يتم بتشغيلها بالوصول إلى موارد خارجية حسب الحاجة. إذا كنت ترغب في تقييد حركة مرور نقطة الانتشار، يجب أن يكون العدد المحدود من المنافذ والعناوين متاحا لأغراض مهام الصيانة. يكمن أبسط حل لتأمين العناوين الصادرة في استخدام جهاز جدار حماية يمكنه التحكم في حركة المرور الصادرة استنادًا إلى أسماء النطاق. يمكن لـ Azure Firewall، على سبيل المثال، تقييد حركة مرور HTTP وHTTPS الصادرة استنادًا إلى FQDN للوجهة. يمكنك أيضًا تكوين جدار الحماية المفضل وقواعد الأمان للسماح بهذه المنافذ والعناوين المطلوبة.
متطلبات مورد Azure Spring Apps
تعرض القائمة التالية متطلبات المورد لخدمات Azure Spring Apps. لا يجب، كمطلب عام، تعديل مجموعات الموارد التي تم إنشاؤها بواسطة Azure Spring Apps وموارد الشبكة الأساسية.
- تجنب تعديل مجموعات الموارد التي تم إنشاؤها وتملكها بواسطة Azure Spring Apps.
- بشكل افتراضي، يتم تسمية
ap-svc-rt_<service-instance-name>_<region>*مجموعات الموارد هذه وap_<service-instance-name>_<region>*. - لا يحظر Azure Spring Apps تحديث الموارد في مجموعات الموارد هذه.
- بشكل افتراضي، يتم تسمية
- تجنب تعديل الشبكات الفرعية التي يستخدمها Azure Spring Apps.
- لا تقم بإنشاء أكثر من مثيل خدمة Azure Spring Apps في نفس الشبكة الفرعية.
- عند استخدام جدار حماية للتحكم في حركة المرور، لا تحظر حركة مرور نقطة الانتشار التالية على مكونات Azure Spring Apps التي تعمل على مثيل الخدمة وتحافظ عليه وتدعمه.
قواعد شبكة الاتصال المطلوبة Azure Global
| نقطة نهاية الوجهة | المنفذ | استخدام | إشعار |
|---|---|---|---|
| *:443 أوServiceTag - AzureCloud:443 | TCP:443 | إدارة خدمة Azure Spring Apps. | للحصول على معلومات حول مثيل requiredTrafficsالخدمة ، راجع حمولة المورد، ضمن networkProfile القسم . |
| *.azurecr.io:443 أوServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | يمكن استبدال بتمكين نقطة نهاية خدمة Azure Container Registryفي الشبكة الظاهرية. |
| *.core.windows.net:443 و*.core.windows.net:445 أوServiceTag - التخزين:443 والتخزين:445 | TCP:443, TCP:445 | ملفات Azure | يمكن استبدال بتمكين نقطة نهاية خدمة Azure Storageفي الشبكة الظاهرية. |
| *.servicebus.windows.net:443 orServiceTag - EventHub:443 | TCP:443 | مراكز الأحداث. | يمكن استبدال بتمكين نقطة نهاية خدمة Azure Event Hubsفي الشبكة الظاهرية. |
| *.prod.microsoftmetrics.com:443 أوServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | يُسمَح باستدعاءات صادرة إلى Azure Monitor. |
قواعد تطبيق / FQDN المطلوبة والخاصة بـ Azure Global
يوفر Azure Firewall علامة FQDN AzureKubernetesService لتبسيط التكوينات التالية:
| وجهة FQDN | المنفذ | استخدام |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | إدارة نظام مجموعة Kubernetes الأساسية. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | تخزين MCR مدعوم بواسطة Azure CDN. |
| management.azure.com | HTTPS:443 | إدارة نظام مجموعة Kubernetes الأساسية. |
| login.microsoftonline.com | HTTPS:443 | مصادقة Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | مستودع حزم Microsoft. |
| acs-mirror.azureedge.net | HTTPS:443 | مستودع مطلوب لتثبيت ثنائيات لازمة مثل kubenet وAzure CNI. |
Microsoft Azure المشغل بواسطة قواعد الشبكة المطلوبة 21Vianet
| نقطة نهاية الوجهة | المنفذ | استخدام | إشعار |
|---|---|---|---|
| *:443 أوServiceTag - AzureCloud:443 | TCP:443 | إدارة خدمة Azure Spring Apps. | للحصول على معلومات حول مثيل requiredTrafficsالخدمة ، راجع حمولة المورد، ضمن networkProfile القسم . |
| *.azurecr.cn:443 أوServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | يمكن استبدال بتمكين نقطة نهاية خدمة Azure Container Registryفي الشبكة الظاهرية. |
| *.core.chinacloudapi.cn:443 و*.core.chinacloudapi.cn:445 أوServiceTag - التخزين:443 والتخزين:445 | TCP:443, TCP:445 | ملفات Azure | يمكن استبدال بتمكين نقطة نهاية خدمة Azure Storageفي الشبكة الظاهرية. |
| *.servicebus.chinacloudapi.cn:443 أوServiceTag - EventHub:443 | TCP:443 | مراكز الأحداث. | يمكن استبدال بتمكين نقطة نهاية خدمة Azure Event Hubsفي الشبكة الظاهرية. |
| *.prod.microsoftmetrics.com:443 أوServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | يُسمَح باستدعاءات صادرة إلى Azure Monitor. |
Microsoft Azure المشغل بواسطة 21Vianet المطلوبة FQDN / قواعد التطبيق
يوفر جدار حماية Azure علامة AzureKubernetesService FQDN لتبسيط التكوينات التالية:
| وجهة FQDN | المنفذ | استخدام |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | إدارة نظام مجموعة Kubernetes الأساسية. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | تخزين MCR مدعوم بواسطة Azure CDN. |
| management.chinacloudapi.cn | HTTPS:443 | إدارة نظام مجموعة Kubernetes الأساسية. |
| login.chinacloudapi.cn | HTTPS:443 | مصادقة Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | مستودع حزم Microsoft. |
| *.azk8s.cn | HTTPS:443 | مستودع مطلوب لتثبيت ثنائيات لازمة مثل kubenet وAzure CNI. |
Azure Spring Apps اختياري FQDN لإدارة أداء تطبيقات جهات خارجية
| وجهة FQDN | المنفذ | استخدام |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | الشبكات المطلوبة من وكلاء New Relic APM من منطقة الولايات المتحدة، راجع أيضا APM Agents Networks. |
| collector*.eu01.nr-data.net | TCP:443/80 | الشبكات المطلوبة من وكلاء New Relic APM من منطقة الاتحاد الأوروبي، راجع أيضا APM Agents Networks. |
| *.live.dynatrace.com | TCP:443 | شبكة مطلوبة لوكلاء Dynatrace APM. |
| *.live.ruxit.com | TCP:443 | شبكة مطلوبة لوكلاء Dynatrace APM. |
| *.saas.appdynamics.com | TCP:443/80 | شبكة مطلوبة لوكلاء AppDynamics APM، راجع أيضا مجالات SaaS ونطاقات IP. |
Azure Spring Apps اختياري FQDN ل Application Insights
تحتاج إلى فتح بعض المنافذ الصادرة في جدار حماية الخادم الخاص بك للسماح ل Application Insights SDK أو وكيل Application Insights بإرسال البيانات إلى المدخل. لمزيد من المعلومات، راجع قسم المنافذ الصادرة من عناوين IP المستخدمة من قبل Azure Monitor.