Nasazení Azure Spring Apps ve virtuální síti

Poznámka:

Plány Basic, Standarda Enterprise vstoupily do důchodového období 17. března 2025. Další informace najdete v oznámení o vyřazení Azure Spring Apps.

Tento článek se vztahuje na:✅ Java ✅ C#

Tento článek se vztahuje na: ❎ Basic ✅ Standard ✅ Enterprise

Tento kurz vysvětluje, jak nasadit instanci Azure Spring Apps ve vaší virtuální síti. Toto nasazení se někdy označuje jako injektáž virtuální sítě.

Nasazení umožňuje:

• Izolace aplikací služby Azure Spring Apps a běhového prostředí služeb od internetu na vaší podnikové síti.
• Interakce Azure Spring Apps se systémy v místních datových centrech nebo službách Azure v jiných virtuálních sítích
• Zplnomocnění zákazníků ke kontrole příchozí a odchozí síťové komunikace pro Azure Spring Apps.

Následující video popisuje, jak zabezpečit aplikace Spring Boot pomocí spravovaných virtuálních sítí.

Poznámka:

Virtuální síť Azure můžete vybrat jenom v případě, že vytvoříte novou instanci služby Azure Spring Apps. Po vytvoření služby Azure Spring Apps nemůžete změnit použití jiné virtuální sítě.

Požadavky

Zaregistrujte poskytovatele Microsoft.AppPlatform prostředků Azure Spring Apps a Microsoft.ContainerService podle pokynů v registraci poskytovatele prostředků na webu Azure Portal nebo spuštěním následujícího příkazu Azure CLI:

az provider register --namespace Microsoft.AppPlatform
az provider register --namespace Microsoft.ContainerService

Požadavky na virtuální síť

Virtuální síť, do které nasadíte instanci Azure Spring Apps, musí splňovat následující požadavky:

• Umístění: Virtuální síť se musí nacházet ve stejném umístění jako instance Azure Spring Apps.
• Předplatné: Virtuální síť musí být ve stejném předplatném jako instance Azure Spring Apps.
• Podsítě: Virtuální síť musí obsahovat dvě podsítě vyhrazené pro instanci Azure Spring Apps:
  • Jeden pro provozní čas služby.
  • Jedna pro aplikace Spring.
  • Mezi těmito podsítěmi a instancí Azure Spring Apps existuje vztah 1:1. Pro každou nasazenou instanci služby použijte novou podsíť. Každá podsíť může obsahovat pouze jednu instanci služby.
• Adresní prostor: CIDR bloky až do /28 jak pro podsíť běhového prostředí služby, tak pro podsíť aplikací Spring.
• Směrovací tabulka: Ve výchozím nastavení podsítě nepotřebují přidružené existující směrovací tabulky. Můžete použít vlastní směrovací tabulku.

Pomocí následujících kroků nastavte virtuální síť tak, aby obsahovala instanci Azure Spring Apps.

Vytvoření virtuální sítě

Azure Portal

Pokud už máte virtuální síť pro hostování instance Azure Spring Apps, přeskočte kroky 1, 2 a 3. Můžete začít od kroku 4 a připravit podsítě pro virtuální síť.

1. V nabídce webu Azure Portal vyberte Vytvořit prostředek. V Azure Marketplace vyberte Síť>Virtuální síť.

2. V dialogovém okně Vytvořit virtuální síť zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte skupinu prostředků nebo vytvořte novou.
   Název	Zadejte azure-spring-apps-vnet.
   Umístění	Vyberte USA – východ.

3. Vyberte Další: IP adresy.

4. Pro adresní prostor IPv4 zadejte 10.1.0.0/16.

5. Vyberte Přidat podsíť. Pak do pole Název podsítě zadejte service-runtime-subnet a do pole Rozsah adres podsítě zadejte 10.1.0.0/24. Pak vyberte Přidat.

6. Znovu vyberte Přidat podsíť a zadejte název podsítě a rozsah adres podsítě. Zadejte například apps-subnet a 10.1.1.0/24. Pak vyberte Přidat.

7. Vyberte Zkontrolovat a vytvořit. Ponechte zbytek jako výchozí a vyberte Vytvořit.

Azure CLI

Pokud už máte virtuální síť pro hostování instance Azure Spring Apps, přeskočte kroky 1, 2, 3 a 4. Můžete začít od kroku 5 a připravit podsítě pro virtuální síť.

1. Pomocí následujícího příkazu definujte proměnné pro vaše předplatné, skupinu prostředků a instanci Azure Spring Apps. Přizpůsobte hodnoty na základě skutečného prostředí.

   export SUBSCRIPTION='<subscription-id>'
   export RESOURCE_GROUP='<resource-group-name>'
   export LOCATION='eastus'
   export AZURE_SPRING_APPS_INSTANCE_NAME='<Azure-Spring-Apps-Instance-name>'
   export VIRTUAL_NETWORK_NAME='azure-spring-apps-vnet'
   

2. Pomocí následujícího příkazu se přihlaste k Azure CLI a zvolte aktivní předplatné.

   az login
   az account set --subscription ${SUBSCRIPTION}
   

3. Pomocí následujícího příkazu vytvořte skupinu prostředků pro vaše zdroje.

   az group create --name $RESOURCE_GROUP --location $LOCATION
   

4. K vytvoření virtuální sítě použijte následující příkaz:

   az network vnet create \
       --resource-group $RESOURCE_GROUP \
       --name $VIRTUAL_NETWORK_NAME \
       --location $LOCATION \
       --address-prefix 10.1.0.0/16
   

5. Pomocí následujícího příkazu vytvořte v této virtuální síti dvě podsítě:

   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.0.0/24 \
       --name service-runtime-subnet
   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.1.0/24 \
       --name apps-subnet
   

Udělení oprávnění služby virtuální síti

V této části se dozvíte, jak službě Azure Spring Apps udělit oprávnění Správce uživatelských přístupů a Přispěvatel sítě ve vaší virtuální síti. Toto oprávnění umožňuje vytvořit vyhrazeného a dynamického principála služby ve virtuální síti pro další nasazení a údržbu.

Poznámka:

Pokud používáte vlastní směrovací tabulku nebo funkci trasy definovanou uživatelem, musíte také službě Azure Spring Apps udělit stejná přiřazení rolí směrovacím tabulkám. Další informace najdete v části Vlastní směrovací tabulka a Řízení odchozího provozu pro instanci Azure Spring Apps.

Azure Portal

Pomocí následujících kroků udělte oprávnění:

1. Vyberte virtuální síť azure-spring-apps-vnet , kterou jste vytvořili dříve.

2. Vyberte Řízení přístupu (IAM), pak vyberte Přidat>Přiřazení role.

   

3. Přiřaďte roli Přispěvatel sítě a Správce uživatelských přístupů poskytovateli prostředků Azure Spring Cloud. Další informace viz Přiřazení rolí Azure pomocí webu Azure Portal.

   Poznámka:

   Správce přístupu uživatele je v rolích privilegovaných správců a Přispěvatel sítě je v rolích pracovních funkcí.

Azure CLI

K udělení oprávnění použijte následující příkazy:

export VIRTUAL_NETWORK_RESOURCE_ID=$(az network vnet show \
    --resource-group $RESOURCE_GROUP \
    --name $VIRTUAL_NETWORK_NAME \
    --query "id" \
    --output tsv)

az role assignment create \
    --role "User Access Administrator" \
    --scope ${VIRTUAL_NETWORK_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

az role assignment create \
    --role "Network Contributor" \
    --scope ${VIRTUAL_NETWORK_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

Argument --assignee představuje instanční objekt Azure Spring Apps, který používá k interakci s virtuální sítí zákazníka.

Nasazení instance Azure Spring Apps

Azure Portal

Pomocí následujících kroků nasaďte instanci Azure Spring Apps ve virtuální síti:

1. Otevřete Azure Portal.

2. V horním vyhledávacím poli vyhledejte Azure Spring Apps. Ve výsledku vyberte Azure Spring Apps .

3. Na stránce Azure Spring Apps vyberte Přidat.

4. Vyplňte formulář na stránce Vytvoření aplikace Azure Spring Apps.

5. Vyberte stejnou skupinu prostředků a oblast jako virtuální síť.

6. Jako název v části Podrobnosti služby vyberte azure-spring-apps-vnet.

7. Vyberte kartu Sítě a vyberte následující hodnoty:

   Nastavení	Hodnota
   Nasazení ve vlastní virtuální síti	Vyberte Ano.
   Virtuální síť	Vyberte azure-spring-apps-vnet.
   Podsíť běhového prostředí služby	Vyberte service-runtime-podsíť.
   Podsíť aplikací mikroslužeb Spring Boot	Vyberte podsíť aplikací.

   

8. Vyberte Zkontrolujte a vytvořte.

9. Ověřte specifikace a vyberte Vytvořit.

   

Azure CLI

Nasazení instance Azure Spring Apps ve virtuální síti:

Pomocí následujícího příkazu vytvořte instanci Azure Spring Apps a zadejte virtuální síť a podsítě, které jste vytvořili dříve:

az spring create  \
    --resource-group "$RESOURCE_GROUP" \
    --name "$AZURE_SPRING_APPS_INSTANCE_NAME" \
    --vnet $VIRTUAL_NETWORK_NAME \
    --service-runtime-subnet service-runtime-subnet \
    --app-subnet apps-subnet \
    --enable-java-agent \
    --sku standard \
    --location $LOCATION

Po nasazení se ve vašem předplatném vytvoří dvě další skupiny prostředků pro hostování síťových prostředků pro instanci Azure Spring Apps. Přejděte na domovskou stránku a potom v položkách horní nabídky vyberte skupiny prostředků, abyste našli následující nové skupiny prostředků.

Skupina prostředků s názvem ap-svc-rt_{název instance služby}_{oblast instance služby} obsahuje síťové prostředky pro běhové prostředí instance služby.

Skupina prostředků s názvem ap-app_{název instance služby}_{oblast instance služby} obsahuje síťové prostředky pro aplikace Spring instance služby.

Tyto síťové prostředky jsou připojené k vaší virtuální síti vytvořené v předchozí imagi.

Důležité

Skupiny prostředků jsou plně spravované službou Azure Spring Apps. Neodstraňujte ani neupravujte ručně žádné prostředky uvnitř.

Pokud vaše organizace používá přiřazení azure Policy, která vynucují pravidla pro skupiny prostředků, budete možná muset vytvořit vyloučení zásad pro skupiny prostředků spravovaných službou Azure Spring Apps – ap-svc-rt_* a ap-app_*. Služba Azure Spring Apps řídí tyto skupiny a omezení zásad můžou bránit správné fungování služby.

Zkontrolujte také, jestli se u těchto skupin použijí nějaké zámky prostředků. Zámky můžou službě zabránit ve vytváření nebo aktualizaci prostředků.

V protokolu aktivit pro tyto skupiny prostředků můžete zjistit neúspěšné operace nebo události odepření přístupu. Příčinou těchto problémů můžou být nastavení zásad nebo zámky prostředků.

Před nasazením se obraťte na správce Azure a ujistěte se, že jsou proběhla správná vyloučení zásad a že žádné zámky prostředků neblokují normální operace.

Použití menších rozsahů podsítí

Tato tabulka ukazuje maximální počet instancí aplikací, které Azure Spring Apps podporuje, s využitím menších rozsahů podsítí.

Aplikační podsíť CIDR	Celkový počet IP adres	Dostupné IP adresy	Maximální počet instancí aplikace
/28	16	8	Aplikace s 0,5 jádrem: 192 Aplikace s jedním jádrem: 96 Aplikace se dvěma jádry: 48 Aplikace se třemi jádry: 32 Aplikace se čtyřmi jádry: 24
/27	32	24	Aplikace s 0,5 jádrem: 456 Aplikace s jedním jádrem: 228 Aplikace se dvěma jádry: 144 Aplikace se třemi jádry: 96 Aplikace se čtyřmi jádry: 72
/26	64	56	Aplikace s 0,5 jádrem: 500 Aplikace s jedním jádrem: 500 Aplikace se dvěma jádry: 336 Aplikace se třemi jádry: 224 Aplikace se čtyřmi jádry: 168
/25	128	120	Aplikace s 0,5 jádrem: 500 Aplikace s jedním jádrem: 500 Aplikace se dvěma jádry: 500 Aplikace se třemi jádry: 480 Aplikace se čtyřmi jádry: 360
/24	256	248	Aplikace s 0,5 jádrem: 500 Aplikace s jedním jádrem: 500 Aplikace se dvěma jádry: 500 Aplikace se třemi jádry: 500 Aplikace se čtyřmi jádry: 500

Pro podsítě si Azure vyhrazuje pět IP adres a Azure Spring Apps vyžaduje aspoň tři IP adresy. Vyžaduje se alespoň osm IP adres, takže /29 a /30 nejsou nefunkční.

Pro podsíť služby runtime je minimální velikost /28.

Poznámka:

Malý rozsah podsítě má vliv na základní prostředek, který můžete použít pro systémové komponenty, jako je kontroler příchozího přenosu dat. Azure Spring Apps používá základní kontroler příchozího přenosu dat ke zpracování správy provozu aplikací. Počet instancí řadiče pro vstup se automaticky zvyšuje, jakmile se zvyšuje provoz aplikací. Vyhraďte si větší rozsah IP adres podsítě virtuální sítě, pokud by se provoz aplikace mohl v budoucnu zvýšit. Obvykle si rezervujete jednu IP adresu pro provoz 1 0000 požadavků za sekundu.

Přineste si vlastní směrovací tabulku

Azure Spring Apps podporuje použití existujících podsítí a směrovacích tabulek.

Pokud vaše vlastní podsítě neobsahují směrovací tabulky, Azure Spring Apps je vytvoří pro každou z podsítí a v průběhu životního cyklu instance do nich přidá pravidla. Pokud vaše vlastní podsítě obsahují směrovací tabulky, Azure Spring Apps potvrdí stávající směrovací tabulky během operací instance a odpovídajícím způsobem přidává/aktualizuje a/nebo pravidla pro operace.

Varování

Vlastní pravidla je možné přidat do vlastních směrovacích tabulek a aktualizovat je. Azure Spring Apps ale přidává pravidla, která nesmí být aktualizována ani odebrána. Pravidla jako například 0.0.0.0/0 musí vždy existovat v dané směrovací tabulce a mapovat k cíli vašeho internetového přístupového bodu, jako je síťové virtuální zařízení (NVA) nebo jiná výstupní brána. Buďte opatrní při aktualizaci pravidel, když upravujete pouze svá vlastní pravidla.

Požadavky směrovací tabulky

Směrovací tabulky, ke kterým je přidružená vaše vlastní virtuální síť, musí splňovat následující požadavky:

• Směrovací tabulky Azure můžete přidružit k virtuální síti pouze při vytváření nové instance služby Azure Spring Apps. Po vytvoření instance Azure Spring Apps nemůžete změnit použití jiné směrovací tabulky.
• Podsíť aplikace Spring i podsíť služby runtime musí být přidruženy k různým směrovacím tabulkám nebo k žádné.
• Oprávnění musí být přiřazena před vytvořením instance. Ujistěte se, že poskytovateli prostředků Azure Spring Cloud udělíte oprávnění User Access Administrator a Network Contributor ke směrovacím tabulkám.
• Po vytvoření clusteru nemůžete aktualizovat přidružený prostředek směrovací tabulky. I když nemůžete aktualizovat prostředek směrovací tabulky, můžete upravit vlastní pravidla v směrovací tabulce.
• Směrovací tabulku s více instancemi nemůžete znovu použít kvůli možným konfliktům pravidel směrování.

Použití vlastních serverů DNS

Azure Spring Apps podporuje používání vlastních serverů DNS ve vaší virtuální síti.

Pokud v nastavení virtuální sítě pro DNS server nezadáte vlastní servery DNS, Azure Spring Apps automaticky použije Azure DNS k překladu IP adres. Pokud je vaše virtuální síť nakonfigurovaná s vlastním nastavením DNS, přidejte IP adresu 168.63.129.16 Azure DNS jako nadřazený server DNS na vlastní server DNS. Azure DNS dokáže překládat IP adresy pro všechny veřejné plně kvalifikované názvy domén uvedené v odpovědnosti zákazníků běžící Azure Spring Apps ve virtuální síti. Může také přeložit IP adresu ve virtuální síti *.svc.private.azuremicroservices.io.

Pokud váš vlastní server DNS nemůže přidat IP adresu 168.63.129.16 Azure DNS jako nadřazený server DNS, postupujte následovně:

• Ujistěte se, že váš vlastní server DNS dokáže překládat IP adresy pro všechny veřejné plně kvalifikované názvy domén. Další informace najdete v tématu Odpovědnost zákazníka při provozu služby Azure Spring Apps v rámci virtuální sítě.
• Přidejte záznam *.svc.private.azuremicroservices.io DNS do IP adresy vaší aplikace. Pro další informace se podívejte do části Vyhledání IP adresy pro vaši aplikaci v oddílu Otevření aplikace v Azure Spring Apps ve virtuální síti.

Další kroky

• Řešení potíží s Azure Spring Apps ve virtuálních sítích
• Odpovědnost zákazníka za spouštění aplikací Azure Spring Apps ve virtuální síti