Odpovědnost zákazníků za spotřebu azure Spring Apps Standard a vyhrazený plán ve virtuální síti
Poznámka:
Azure Spring Apps je nový název služby Azure Spring Cloud. Přestože má služba nový název, na některých místech uvidíte starý název, protože pracujeme na aktualizaci prostředků, jako jsou snímky obrazovky, videa a diagramy.
Tento článek se vztahuje na: ✔️ Využití standardu a vyhrazené (Preview) ❌ Basic/Standard ❌ Enterprise
Tento článek popisuje odpovědnost zákazníka za spuštění služby Azure Spring Apps Standard a instance služby vyhrazeného plánu ve virtuální síti.
Pomocí skupin zabezpečení sítě (NSG) nakonfigurujte virtuální sítě tak, aby odpovídaly nastavení vyžadovaným Kubernetes.
Pokud chcete řídit veškerý příchozí a odchozí provoz pro prostředí Azure Container Apps, můžete pomocí skupin zabezpečení sítě uzamknout síť s přísnějšími pravidly než výchozí pravidla NSG.
Pravidla povolení NSG
Následující tabulky popisují, jak nakonfigurovat kolekci pravidel povolení NSG.
Poznámka:
Podsíť přidružená k prostředí Azure Container Apps vyžaduje předponu /23
CIDR nebo větší.
Odchozí spojení se značkami ServiceTags
Protokol | Port | ServiceTag | Popis |
---|---|---|---|
UDP | 1194 |
AzureCloud.<region> |
Vyžaduje se pro interní zabezpečené připojení Azure Kubernetes Service (AKS) mezi podkladovými uzly a řídicí rovinou. Nahraďte <region> oblastí, ve které je vaše aplikace kontejneru nasazená. |
TCP | 9000 |
AzureCloud.<region> |
Vyžaduje se pro interní zabezpečené připojení AKS mezi podkladovými uzly a řídicí rovinou. Nahraďte <region> oblastí, ve které je vaše aplikace kontejneru nasazená. |
TCP | 443 |
AzureMonitor |
Umožňuje odchozí volání do služby Azure Monitor. |
TCP | 443 |
Azure Container Registry |
Povolí službu Azure Container Registry, jak je popsáno v koncových bodech služby virtuální sítě. |
TCP | 443 |
MicrosoftContainerRegistry |
Značka služby pro registr kontejneru pro kontejnery Microsoftu. |
TCP | 443 |
AzureFrontDoor.FirstParty |
Závislost značky MicrosoftContainerRegistry služby. |
TCP | 443 , 445 |
Azure Files |
Povolí službu Azure Storage, jak je popsáno v koncových bodech služby virtuální sítě. |
Odchozí s pravidly IP adres se zástupnými adresou
Protokol | Port | IP | Popis |
---|---|---|---|
TCP | 443 |
* | Nastavte veškerý odchozí provoz na portu 443 tak, aby povoloval všechny plně kvalifikované názvy domén (FQDN) na základě odchozích závislostí, které nemají statickou IP adresu. |
UDP | 123 |
* | Server NTP. |
TCP | 5671 |
* | Řídicí rovina container Apps |
TCP | 5672 |
* | Řídicí rovina container Apps |
Všechny | * | Adresní prostor podsítě infrastruktury | Povolte komunikaci mezi IP adresami v podsíti infrastruktury. Tato adresa se předává jako parametr při vytváření prostředí , 10.0.0.0/21 například . |
Odchozí s požadavky na plně kvalifikovaný název domény / pravidla aplikace
Protokol | Port | FQDN | Popis |
---|---|---|---|
TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
TCP | 443 |
*.cdn.mscr.io |
Úložiště MCR zálohované službou Azure Content Delivery Network (CDN). |
TCP | 443 |
*.data.mcr.microsoft.com |
Úložiště MCR zálohované službou Azure CDN |
Odchozí s plně kvalifikovaným názvem domény pro správu výkonu aplikací třetích stran (volitelné)
Protokol | Port | FQDN | Popis |
---|---|---|---|
TCP | 443/80 |
collector*.newrelic.com |
Požadované sítě agentů aplikace New Relic a monitorování výkonu (APM) z oblasti USA. Viz Sítě agentů APM. |
TCP | 443/80 |
collector*.eu01.nr-data.net |
Požadované sítě agentů New Relic APM z regionu EU. Viz Sítě agentů APM. |
TCP | 443 |
*.live.dynatrace.com |
Požadovaná síť agentů Dynatrace APM. |
TCP | 443 |
*.live.ruxit.com |
Požadovaná síť agentů Dynatrace APM. |
TCP | 443/80 |
*.saas.appdynamics.com |
Požadovaná síť agentů AppDynamics APM. Viz Domény SaaS a rozsahy IP adres. |
Důležité informace
- Pokud používáte servery HTTP, možná budete muset přidat porty
80
a443
. - Přidání pravidel zamítnutí pro některé porty a protokoly s nižší prioritou, než
65000
může způsobit přerušení služeb a neočekávané chování.
Další kroky
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro