مسؤوليات العملاء لتشغيل Azure Spring Apps في شبكة ظاهرية
إشعار
سيتم إهمال الخطط الأساسية والقياسية والمؤسسة بدءا من منتصف مارس 2025، مع فترة تقاعد 3 سنوات. نوصي بالانتقال إلى Azure Container Apps. لمزيد من المعلومات، راجع إعلان إيقاف Azure Spring Apps.
سيتم إهمال الاستهلاك القياسي والخطة المخصصة بدءا من 30 سبتمبر 2024، مع إيقاف التشغيل الكامل بعد ستة أشهر. نوصي بالانتقال إلى Azure Container Apps. لمزيد من المعلومات، راجع ترحيل استهلاك Azure Spring Apps القياسي وخطة مخصصة إلى Azure Container Apps.
تنطبق هذه المقالة على: ✔️ Basic/Standard ✔️ Enterprise
تتضمن هذه المقالة مواصفات لاستخدام Azure Spring Apps في شبكة ظاهرية.
عند نشر Azure Spring Apps في شبكتك الظاهرية، يكون له تبعيات صادرة على الخدمات خارج الشبكة الظاهرية. ينبغي، لأغراض الإدارة والتشغيل، أن يصل Azure Spring Apps إلى منافذ محددة وأسماء مجالات مؤهلة بالكامل (FQDNs). يتطلب Azure Spring Apps نقاط النهاية هذه للاتصال بوحدة الإدارة وتنزيل وتثبيت مكونات مجموعة Kubernetes الأساسية وتحديثات الأمان.
يتمتع Azure Spring Apps بالوصول إلى الإنترنت الصادر غير المقيد (نقطة انتشار) بشكل افتراضي. يسمح هذا المستوى من الوصول إلى الشبكة للتطبيقات التي يتم بتشغيلها بالوصول إلى موارد خارجية حسب الحاجة. إذا كنت ترغب في تقييد حركة مرور نقطة الانتشار، يجب أن يكون العدد المحدود من المنافذ والعناوين متاحا لأغراض مهام الصيانة. يكمن أبسط حل لتأمين العناوين الصادرة في استخدام جهاز جدار حماية يمكنه التحكم في حركة المرور الصادرة استنادًا إلى أسماء النطاق. يمكن لـ Azure Firewall، على سبيل المثال، تقييد حركة مرور HTTP وHTTPS الصادرة استنادًا إلى FQDN للوجهة. يمكنك أيضًا تكوين جدار الحماية المفضل وقواعد الأمان للسماح بهذه المنافذ والعناوين المطلوبة.
متطلبات مورد Azure Spring Apps
تعرض القائمة التالية متطلبات المورد لخدمات Azure Spring Apps. لا يجب، كمطلب عام، تعديل مجموعات الموارد التي تم إنشاؤها بواسطة Azure Spring Apps وموارد الشبكة الأساسية.
- تجنب تعديل مجموعات الموارد التي تم إنشاؤها وتملكها بواسطة Azure Spring Apps.
- بشكل افتراضي، يتم تسمية
ap-svc-rt_<service-instance-name>_<region>*مجموعات الموارد هذه وap_<service-instance-name>_<region>*. - لا يحظر Azure Spring Apps تحديث الموارد في مجموعات الموارد هذه.
- بشكل افتراضي، يتم تسمية
- تجنب تعديل الشبكات الفرعية التي يستخدمها Azure Spring Apps.
- لا تقم بإنشاء أكثر من مثيل خدمة Azure Spring Apps في نفس الشبكة الفرعية.
- عند استخدام جدار حماية للتحكم في حركة المرور، لا تحظر حركة مرور نقطة الانتشار التالية على مكونات Azure Spring Apps التي تعمل على مثيل الخدمة وتحافظ عليه وتدعمه.
قواعد شبكة الاتصال المطلوبة Azure Global
| نقطة نهاية الوجهة | المنفذ | استخدام | إشعار |
|---|---|---|---|
| *:443 أو ServiceTag - AzureCloud:443 | TCP:443 | إدارة خدمة Azure Spring Apps. | للحصول على معلومات حول مثيل requiredTrafficsالخدمة ، راجع حمولة المورد، ضمن networkProfile القسم . |
| *.azurecr.io:443 أو ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | يمكن استبدال بتمكين نقطة نهاية خدمة Azure Container Registry في الشبكة الظاهرية. |
| *.core.windows.net:443 و*.core.windows.net:445 أو ServiceTag - التخزين:443 والتخزين:445 | TCP:443, TCP:445 | ملفات Azure | يمكن استبدال بتمكين نقطة نهاية خدمة Azure Storage في الشبكة الظاهرية. |
| *.servicebus.windows.net:443 أو ServiceTag - EventHub:443 | TCP:443 | مراكز الأحداث. | يمكن استبدال بتمكين نقطة نهاية خدمة Azure Event Hubs في الشبكة الظاهرية. |
| *.prod.microsoftmetrics.com:443 أو ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | يُسمَح باستدعاءات صادرة إلى Azure Monitor. |
قواعد تطبيق / FQDN المطلوبة والخاصة بـ Azure Global
يوفر Azure Firewall علامة FQDN AzureKubernetesService لتبسيط التكوينات التالية:
| وجهة FQDN | المنفذ | استخدام |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | إدارة نظام مجموعة Kubernetes الأساسية. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | تخزين MCR مدعوم بواسطة Azure CDN. |
| management.azure.com | HTTPS:443 | إدارة نظام مجموعة Kubernetes الأساسية. |
| login.microsoftonline.com | HTTPS:443 | مصادقة Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | مستودع حزم Microsoft. |
| acs-mirror.azureedge.net | HTTPS:443 | مستودع مطلوب لتثبيت ثنائيات لازمة مثل kubenet وAzure CNI. |
Microsoft Azure المشغل بواسطة قواعد الشبكة المطلوبة 21Vianet
| نقطة نهاية الوجهة | المنفذ | استخدام | إشعار |
|---|---|---|---|
| *:443 أو ServiceTag - AzureCloud:443 | TCP:443 | إدارة خدمة Azure Spring Apps. | للحصول على معلومات حول مثيل requiredTrafficsالخدمة ، راجع حمولة المورد، ضمن networkProfile القسم . |
| *.azurecr.cn:443 أو ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | يمكن استبدال بتمكين نقطة نهاية خدمة Azure Container Registry في الشبكة الظاهرية. |
| *.core.chinacloudapi.cn:443 و*.core.chinacloudapi.cn:445 أو ServiceTag - التخزين:443 والتخزين:445 | TCP:443, TCP:445 | ملفات Azure | يمكن استبدال بتمكين نقطة نهاية خدمة Azure Storage في الشبكة الظاهرية. |
| *.servicebus.chinacloudapi.cn:443 أو ServiceTag - EventHub:443 | TCP:443 | مراكز الأحداث. | يمكن استبدال بتمكين نقطة نهاية خدمة Azure Event Hubs في الشبكة الظاهرية. |
| *.prod.microsoftmetrics.com:443 أو ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | يُسمَح باستدعاءات صادرة إلى Azure Monitor. |
Microsoft Azure المشغل بواسطة 21Vianet المطلوبة FQDN / قواعد التطبيق
يوفر جدار حماية Azure علامة AzureKubernetesService FQDN لتبسيط التكوينات التالية:
| وجهة FQDN | المنفذ | استخدام |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | إدارة نظام مجموعة Kubernetes الأساسية. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | تخزين MCR مدعوم بواسطة Azure CDN. |
| management.chinacloudapi.cn | HTTPS:443 | إدارة نظام مجموعة Kubernetes الأساسية. |
| login.chinacloudapi.cn | HTTPS:443 | مصادقة Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | مستودع حزم Microsoft. |
| *.azk8s.cn | HTTPS:443 | مستودع مطلوب لتثبيت ثنائيات لازمة مثل kubenet وAzure CNI. |
Azure Spring Apps اختياري FQDN لإدارة أداء تطبيقات جهات خارجية
| وجهة FQDN | المنفذ | استخدام |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | الشبكات المطلوبة من وكلاء New Relic APM من منطقة الولايات المتحدة، راجع أيضا APM Agents Networks. |
| collector*.eu01.nr-data.net | TCP:443/80 | الشبكات المطلوبة من وكلاء New Relic APM من منطقة الاتحاد الأوروبي، راجع أيضا APM Agents Networks. |
| *.live.dynatrace.com | TCP:443 | شبكة مطلوبة لوكلاء Dynatrace APM. |
| *.live.ruxit.com | TCP:443 | شبكة مطلوبة لوكلاء Dynatrace APM. |
| *.saas.appdynamics.com | TCP:443/80 | شبكة مطلوبة لوكلاء AppDynamics APM، راجع أيضا مجالات SaaS ونطاقات IP. |
Azure Spring Apps اختياري FQDN ل Application Insights
تحتاج إلى فتح بعض المنافذ الصادرة في جدار حماية الخادم الخاص بك للسماح ل Application Insights SDK أو وكيل Application Insights بإرسال البيانات إلى المدخل. لمزيد من المعلومات، راجع قسم المنافذ الصادرة من عناوين IP المستخدمة من قبل Azure Monitor.