Nasazení Azure Spring Apps ve virtuální síti

Poznámka:

Azure Spring Apps je nový název služby Azure Spring Cloud. Přestože má služba nový název, na některých místech uvidíte starý název, protože pracujeme na aktualizaci prostředků, jako jsou snímky obrazovky, videa a diagramy.

Tento článek se vztahuje na: ✔️ Java ✔️ C#

Tento článek se vztahuje na:❌ Basic ✔️ Standard ✔️ Enterprise

Tento kurz vysvětluje, jak nasadit instanci Azure Spring Apps ve vaší virtuální síti. Toto nasazení se někdy označuje jako injektáž virtuální sítě.

Nasazení umožňuje:

• Izolace aplikací Azure Spring Apps a modulu runtime služeb z internetu ve vaší podnikové síti
• Interakce Azure Spring Apps se systémy v místních datových centrech nebo službách Azure v jiných virtuálních sítích
• Posílení počtu zákazníků k řízení příchozí a odchozí síťové komunikace pro Azure Spring Apps

Následující video popisuje, jak zabezpečit aplikace Spring Boot pomocí spravovaných virtuálních sítí.

Poznámka:

Virtuální síť Azure můžete vybrat jenom v případě, že vytvoříte novou instanci služby Azure Spring Apps. Po vytvoření služby Azure Spring Apps nemůžete změnit použití jiné virtuální sítě.

Požadavky

Zaregistrujte poskytovatele Microsoft.AppPlatform prostředků Azure Spring Apps a Microsoft.ContainerService podle pokynů v registraci poskytovatele prostředků na webu Azure Portal nebo spuštěním následujícího příkazu Azure CLI:

az provider register --namespace Microsoft.AppPlatform
az provider register --namespace Microsoft.ContainerService

Požadavky na virtuální síť

Virtuální síť, do které nasadíte instanci Azure Spring Apps, musí splňovat následující požadavky:

• Umístění: Virtuální síť se musí nacházet ve stejném umístění jako instance Azure Spring Apps.
• Předplatné: Virtuální síť musí být ve stejném předplatném jako instance Azure Spring Apps.
• Podsítě: Virtuální síť musí obsahovat dvě podsítě vyhrazené pro instanci Azure Spring Apps:
  • Jeden pro modul runtime služby.
  • Jedna pro aplikace Spring.
  • Mezi těmito podsítěmi a instancí Azure Spring Apps existuje vztah 1:1. Pro každou nasazenou instanci služby použijte novou podsíť. Každá podsíť může obsahovat pouze jednu instanci služby.
• Adresní prostor: CIDR blokuje až /28 pro podsíť modulu runtime služby i podsíť aplikací Spring.
• Směrovací tabulka: Ve výchozím nastavení podsítě nepotřebují přidružené existující směrovací tabulky. Můžete použít vlastní směrovací tabulku.

Pomocí následujících kroků nastavte virtuální síť tak, aby obsahovala instanci Azure Spring Apps.

Vytvoření virtuální sítě

Azure Portal

Pokud už máte virtuální síť pro hostování instance Azure Spring Apps, přeskočte kroky 1, 2 a 3. Můžete začít od kroku 4 a připravit podsítě pro virtuální síť.

1. V nabídce webu Azure Portal vyberte Vytvořit prostředek. Na Webu Azure Marketplace vyberte >Síťová virtuální síť.

2. V dialogovém okně Vytvořit virtuální síť zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte skupinu prostředků nebo vytvořte novou.
   Název	Zadejte azure-spring-apps-vnet.
   Umístění	Vyberte USA – východ.

3. Vyberte Další: IP adresy.

4. Pro adresní prostor IPv4 zadejte 10.1.0.0/16.

5. Vyberte Přidat podsíť. Pak jako název podsítě zadejte service-runtime-subnet a jako rozsah adres podsítě zadejte 10.1.0.0/24. Pak vyberte Přidat.

6. Znovu vyberte Přidat podsíť a zadejte název podsítě a rozsah adres podsítě. Zadejte například podsíť aplikací a 10.1.1.0/24. Pak vyberte Přidat.

7. Vyberte Zkontrolovat a vytvořit. Ponechte zbytek jako výchozí a vyberte Vytvořit.

Azure CLI

Pokud už máte virtuální síť pro hostování instance Azure Spring Apps, přeskočte kroky 1, 2, 3 a 4. Můžete začít od kroku 5 a připravit podsítě pro virtuální síť.

1. Pomocí následujícího příkazu definujte proměnné pro vaše předplatné, skupinu prostředků a instanci Azure Spring Apps. Přizpůsobte hodnoty na základě skutečného prostředí.

   export SUBSCRIPTION='<subscription-id>'
   export RESOURCE_GROUP='<resource-group-name>'
   export LOCATION='eastus'
   export AZURE_SPRING_APPS_INSTANCE_NAME='<Azure-Spring-Apps-Instance-name>'
   export VIRTUAL_NETWORK_NAME='azure-spring-apps-vnet'
   

2. Pomocí následujícího příkazu se přihlaste k Azure CLI a zvolte aktivní předplatné.

   az login
   az account set --subscription ${SUBSCRIPTION}
   

3. Pomocí následujícího příkazu vytvořte skupinu prostředků pro vaše prostředky:

   az group create --name $RESOURCE_GROUP --location $LOCATION
   

4. K vytvoření virtuální sítě použijte následující příkaz:

   az network vnet create \
       --resource-group $RESOURCE_GROUP \
       --name $VIRTUAL_NETWORK_NAME \
       --location $LOCATION \
       --address-prefix 10.1.0.0/16
   

5. Pomocí následujícího příkazu vytvořte v této virtuální síti dvě podsítě:

   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.0.0/24 \
       --name service-runtime-subnet 
   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.1.0/24 \
       --name apps-subnet 
   

Udělení oprávnění služby virtuální síti

V této části se dozvíte, jak službě Azure Spring Apps udělit oprávnění vlastníka ve vaší virtuální síti. Toto oprávnění umožňuje udělit vyhrazenému a dynamickému instančnímu objektu ve virtuální síti pro další nasazení a údržbu.

Poznámka:

Minimální požadovaná oprávnění jsou user Access Správa istrator a Přispěvatel sítě. Pokud nemůžete udělit Owner oprávnění, můžete jim udělit přiřazení rolí.

Pokud používáte vlastní směrovací tabulku nebo funkci trasy definovanou uživatelem, musíte také službě Azure Spring Apps udělit stejná přiřazení rolí směrovacím tabulkám. Další informace najdete v části Přineste si vlastní směrovací tabulku a řízení výchozího provozu pro instanci Azure Spring Apps.

Azure Portal

Pomocí následujících kroků udělte oprávnění:

1. Vyberte virtuální síť azure-spring-apps-vnet , kterou jste vytvořili dříve.

2. Vyberte Řízení přístupu (IAM) a pak vyberte Přidat>přiřazení role.

   

3. Owner Přiřaďte roli poskytovateli prostředků Azure Spring Apps. Další informace viz Přiřazení rolí Azure pomocí webu Azure Portal.

   Poznámka:

   Pokud poskytovatele prostředků Azure Spring Apps nenajdete, vyhledejte poskytovatele prostředků Azure Spring Cloud.

   

Azure CLI

K udělení oprávnění použijte následující příkazy:

export VIRTUAL_NETWORK_RESOURCE_ID=$(az network vnet show \
    --resource-group $RESOURCE_GROUP \
    --name $VIRTUAL_NETWORK_NAME \
    --query "id" \
    --output tsv)

az role assignment create \
    --role "Owner" \
    --scope ${VIRTUAL_NETWORK_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

Argument --assignee představuje instanční objekt Azure Spring Apps, který používá k interakci s virtuální sítí zákazníka.

Nasazení instance Azure Spring Apps

Azure Portal

Pomocí následujících kroků nasaďte instanci Azure Spring Apps ve virtuální síti:

1. Otevřete Azure Portal.

2. V horním vyhledávacím poli vyhledejte Azure Spring Apps. Ve výsledku vyberte Azure Spring Apps .

3. Na stránce Azure Spring Apps vyberte Přidat.

4. Vyplňte formulář na stránce Vytvoření aplikace Azure Spring Apps.

5. Vyberte stejnou skupinu prostředků a oblast jako virtuální síť.

6. Jako název v části Podrobnosti služby vyberte azure-spring-apps-vnet.

7. Vyberte kartu Sítě a vyberte následující hodnoty:

   Nastavení	Hodnota
   Nasazení ve vlastní virtuální síti	Vyberte Ano.
   Virtuální síť	Vyberte azure-spring-apps-vnet.
   Podsíť modulu runtime služby	Vyberte podsíť service-runtime.
   Podsíť aplikací mikroslužeb Spring Boot	Vyberte podsíť aplikací.

   

8. Vyberte Zkontrolovat a vytvořit.

9. Ověřte specifikace a vyberte Vytvořit.

   

Azure CLI

Nasazení instance Azure Spring Apps ve virtuální síti:

Pomocí následujícího příkazu vytvořte instanci Azure Spring Apps a zadejte virtuální síť a podsítě, které jste vytvořili dříve:

az spring create  \
    --resource-group "$RESOURCE_GROUP" \
    --name "$AZURE_SPRING_APPS_INSTANCE_NAME" \
    --vnet $VIRTUAL_NETWORK_NAME \
    --service-runtime-subnet service-runtime-subnet \
    --app-subnet apps-subnet \
    --enable-java-agent \
    --sku standard \
    --location $LOCATION

Po nasazení se ve vašem předplatném vytvoří dvě další skupiny prostředků pro hostování síťových prostředků pro instanci Azure Spring Apps. Přejděte na domovskou stránku a potom v položkách horní nabídky vyberte skupiny prostředků, abyste našli následující nové skupiny prostředků.

Skupina prostředků s názvem obsahuje ap-svc-rt_{service instance name}_{service instance region} síťové prostředky pro modul runtime služby instance služby.

Skupina prostředků s názvem obsahuje ap-app_{service instance name}_{service instance region} síťové prostředky pro aplikace Spring instance služby.

Tyto síťové prostředky jsou připojené k vaší virtuální síti vytvořené v předchozí imagi.

Důležité

Skupiny prostředků jsou plně spravované službou Azure Spring Apps. Neodstraňovat ani neupravovat žádný prostředek uvnitř ručně.

Použití menších rozsahů podsítí

Tato tabulka ukazuje maximální počet instancí aplikací, které Azure Spring Apps podporuje, s využitím menších rozsahů podsítí.

CIDR podsítě aplikace	Celkový počet IP adres	Dostupné IP adresy	Maximální počet instancí aplikací
/28	16	8	Aplikace s 0,5 jádrem: 192 Aplikace s jedním jádrem: 96 Aplikace se dvěma jádry: 48 Aplikace se třemi jádry: 32 Aplikace se čtyřmi jádry: 24
/27	32	24	Aplikace s 0,5 jádrem: 456 Aplikace s jedním jádrem: 228 Aplikace se dvěma jádry: 144 Aplikace se třemi jádry: 96 Aplikace se čtyřmi jádry: 72
/26	64	56	Aplikace s 0,5 jádrem: 500 Aplikace s jedním jádrem: 500 Aplikace se dvěma jádry: 336 Aplikace se třemi jádry: 224 Aplikace se čtyřmi jádry: 168
/25	128	120	Aplikace s 0,5 jádrem: 500 Aplikace s jedním jádrem: 500 Aplikace se dvěma jádry: 500 Aplikace se třemi jádry: 480 Aplikace se čtyřmi jádry: 360
/24	256	248	Aplikace s 0,5 jádrem: 500 Aplikace s jedním jádrem: 500 Aplikace se dvěma jádry: 500 Aplikace se třemi jádry: 500 Aplikace se čtyřmi jádry: 500

Pro podsítě si Azure vyhrazuje pět IP adres a Azure Spring Apps vyžaduje aspoň tři IP adresy. Vyžaduje se alespoň osm IP adres, takže /29 a /30 nejsou nefunkční.

Pro podsíť modulu runtime služby je minimální velikost /28.

Poznámka:

Malý rozsah podsítě má vliv na základní prostředek, který můžete použít pro systémové komponenty, jako je kontroler příchozího přenosu dat. Azure Spring Apps používá základní kontroler příchozího přenosu dat ke zpracování správy provozu aplikací. Početinstancích Vyhraďte si větší rozsah IP adres podsítě virtuální sítě, pokud by se provoz aplikace mohl v budoucnu zvýšit. Obvykle si rezervujete jednu IP adresu pro provoz 1 0000 požadavků za sekundu.

Používání vlastní směrovací tabulky

Azure Spring Apps podporuje použití existujících podsítí a směrovacích tabulek.

Pokud vaše vlastní podsítě neobsahují směrovací tabulky, Azure Spring Apps je vytvoří pro každou z podsítí a v průběhu životního cyklu instance do nich přidá pravidla. Pokud vaše vlastní podsítě obsahují směrovací tabulky, Azure Spring Apps potvrdí stávající směrovací tabulky během operací instance a odpovídajícím způsobem přidává/aktualizuje a/nebo pravidla pro operace.

Upozorňující

Vlastní pravidla je možné přidat do vlastních směrovacích tabulek a aktualizovat je. Azure Spring Apps ale přidává pravidla, která nesmí být aktualizována ani odebrána. Pravidla, jako je například 0.0.0.0/0, musí vždy existovat v dané směrovací tabulce a mapovat na cíl vaší internetové brány, jako je síťové virtuální zařízení nebo jiná výstupní brána. Při aktualizaci pravidel používejte upozornění při úpravě pouze vlastních pravidel.

Požadavky směrovací tabulky

Směrovací tabulky, ke kterým je vaše vlastní virtuální síť přidružená, musí splňovat následující požadavky:

• Směrovací tabulky Azure můžete přidružit k virtuální síti pouze při vytváření nové instance služby Azure Spring Apps. Po vytvoření Azure Spring Apps se nedá změnit použití jiné směrovací tabulky.
• Podsíť aplikace Spring i podsíť modulu runtime služby musí být přidružené k různým směrovacím tabulkám nebo k žádné z nich.
• Oprávnění musí být přiřazena před vytvořením instance. Nezapomeňte poskytovateli Owner prostředků Azure Spring Apps udělit oprávnění (nebo User Access Administrator oprávnění Network Contributor ) ke směrovacím tabulkám.
• Po vytvoření clusteru nemůžete aktualizovat přidružený prostředek směrovací tabulky. I když nemůžete aktualizovat prostředek směrovací tabulky, můžete upravit vlastní pravidla v směrovací tabulce.
• Směrovací tabulku s více instancemi nemůžete znovu použít kvůli možným konfliktům pravidel směrování.

Použití vlastních serverů DNS

Azure Spring Apps podporuje používání vlastních serverů DNS ve vaší virtuální síti.

Pokud v nastavení virtuální sítě SERVERU DNS nezadáte vlastní servery DNS, Azure Spring Apps ve výchozím nastavení použije k překladu IP adres Azure DNS. Pokud je vaše virtuální síť nakonfigurovaná s vlastním nastavením DNS, přidejte IP adresu 168.63.129.16 Azure DNS jako nadřazený server DNS na vlastní server DNS. Azure DNS dokáže překládat IP adresy pro všechny veřejné plně kvalifikované názvy domén uvedené v zodpovědnostech zákazníků, které běží v Azure Spring Apps ve virtuální síti. Může také přeložit IP adresu pro *.svc.private.azuremicroservices.io vaši virtuální síť.

Pokud váš vlastní server DNS nemůže přidat IP adresu 168.63.129.16 Azure DNS jako nadřazený server DNS, postupujte následovně:

• Ujistěte se, že váš vlastní server DNS dokáže překládat IP adresy pro všechny veřejné plně kvalifikované názvy domén. Další informace najdete v tématu Odpovědnost zákazníka se spuštěnou službou Azure Spring Apps ve virtuální síti.
• Přidejte záznam *.svc.private.azuremicroservices.io DNS do IP adresy vaší aplikace. Další informace najdete ve virtuální síti v části Vyhledání IP adresy pro aplikaci pro Access v Azure Spring Apps.

Další kroky

• Řešení potíží s Azure Spring Apps ve virtuální síti
• Odpovědnost zákazníků za spouštění aplikací Azure Spring v virtuální síti