Kundenzuständigkeiten für die Ausführung von Azure Spring Apps in einem virtuellen Netzwerk
Hinweis
Die Pläne Basic, Standard und Enterprise gelten ab Mitte März 2025 als veraltet und werden über einen Zeitraum von 3 Jahren eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie in der Ankündigung zur Einstellung von Azure Spring Apps.
Der Standardverbrauchs- und dedizierte Plan wird ab dem 30. September 2024 als veraltet gekennzeichnet und nach sechs Monaten vollständig eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie unter Migrieren vom Standardverbrauchs- und dedizierten Plan von Azure Spring Apps zu Azure Container Apps.
Dieser Artikel gilt für: ✔️ Basic/Standard ✔️ Enterprise
In diesem Artikel finden Sie Spezifikationen für die Verwendung von Azure Spring Apps in einem virtuellen Netzwerk.
Wenn Azure Spring Apps in Ihrem virtuellen Netzwerk bereitgestellt wird, verfügt der Dienst über ausgehende Abhängigkeiten von Diensten außerhalb des virtuellen Netzwerks. Zu Verwaltungs- und Betriebszwecken muss Azure Spring Apps auf bestimmte Ports und vollqualifizierte Domänennamen (FQDNs) zugreifen. Azure Spring Apps benötigt diese Endpunkte für die Kommunikation mit der Verwaltungsebene und zum Herunterladen und Installieren von Kernkomponenten des Kubernetes-Clusters und Sicherheitsupdates.
Standardmäßig verfügt Azure Spring Apps über uneingeschränkten Internetzugriff in ausgehender Richtung. Diese Ebene des Netzwerkzugriffs ermöglicht es, dass ausgeführte Anwendungen je nach Bedarf auf externe Ressourcen zugreifen können. Wenn Sie den ausgehenden Datenverkehr einschränken möchten, muss eine begrenzte Anzahl von Ports und Adressen für Wartungsaufgaben zugänglich sein. Die einfachste Lösung zum Schützen ausgehender Adressen besteht in der Verwendung eines Firewallgeräts, das den ausgehenden Datenverkehr auf der Grundlage von Domänennamen kontrolliert. Von Azure Firewall kann beispielsweise ausgehender HTTP- und HTTPS-Datenverkehr auf der Grundlage des FQDN des Ziels eingeschränkt werden. Darüber hinaus können Sie Ihre bevorzugten Firewall- und Sicherheitsregeln konfigurieren, um diese erforderlichen Ports und Adressen zuzulassen.
Anforderungen für Azure Spring Apps-Ressourcen
Die folgende Liste enthält die Ressourcenanforderungen für Azure Spring Apps-Dienste. Eine allgemeine Anforderung besteht darin, dass keine Ressourcengruppen geändert werden sollten, die von Azure Spring Apps und den zugrunde liegenden Netzwerkressourcen erstellt wurden.
- Ändern Sie keine Ressourcengruppen, die vom Azure Spring Apps-Dienst erstellt werden und sich in dessen Besitz befinden.
- Standardmäßig werden diese Ressourcengruppen
ap-svc-rt_<service-instance-name>_<region>*undap_<service-instance-name>_<region>*genannt. - Hindern Sie Azure Spring Apps nicht am Aktualisieren von Ressourcen in diesen Ressourcengruppen.
- Standardmäßig werden diese Ressourcengruppen
- Ändern Sie keine Subnetze, die von Azure Spring Apps verwendet werden.
- Erstellen Sie im selben Subnetz nicht mehr als eine Instanz des Azure Spring Apps-Diensts.
- Bei Verwendung einer Firewall zum Steuern des Datenverkehrs sollten Sie nicht den folgenden ausgehenden Datenverkehr für Azure Spring Apps-Komponenten blockieren, mit denen die Dienstinstanz betrieben, verwaltet und unterstützt wird.
Für Azure Global benötigte Netzwerkregeln
| Zielendpunkt | Port | Zweck | Hinweis |
|---|---|---|---|
| *:443 oder ServiceTag: AzureCloud:443 | TCP:443 | Azure Spring Apps-Dienstverwaltung. | Informationen zur Dienstinstanz requiredTraffics finden Sie unter den Ressourcennutzdaten im Abschnitt networkProfile. |
| *.azurecr.io:443 oder ServiceTag: AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Kann durch die Aktivierung des Azure Container Registry-Dienstendpunkts im virtuellen Netzwerk ersetzt werden. |
| *.core.windows.net:443 und *.core.windows.net:445 oder ServiceTag: Storage:443 und Storage:445 | TCP:443, TCP:445 | Azure Files | Kann durch die Aktivierung des Azure Storage-Dienstendpunkts im virtuellen Netzwerk ersetzt werden. |
| *.servicebus.windows.net:443 oder ServiceTag: EventHub:443 | TCP:443 | Azure Event Hubs. | Kann durch die Aktivierung des Azure Event Hubs-Dienstendpunkts im virtuellen Netzwerk ersetzt werden. |
| *.prod.microsoftmetrics.com:443 oder ServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor. | Ermöglicht ausgehende Aufrufe an Azure Monitor |
Für Azure Global benötigte FQDNs/Anwendungsregeln
Von Azure Firewall wird das FQDN-Tag AzureKubernetesService bereitgestellt, um die folgenden Konfigurationen zu vereinfachen:
| Ziel-FQDN | Port | Zweck |
|---|---|---|
| *.azmk8s.io | HTTPS: 443 | Verwaltung des zugrunde liegenden Kubernetes-Clusters |
| mcr.microsoft.com | HTTPS: 443 | Microsoft Container Registry (MCR) |
| *.data.mcr.microsoft.com | HTTPS: 443 | MCR-Speicher, der auf Azure CDN basiert |
| management.azure.com | HTTPS: 443 | Verwaltung des zugrunde liegenden Kubernetes-Clusters |
| login.microsoftonline.com | HTTPS: 443 | Microsoft Entra-Authentifizierung. |
| packages.microsoft.com | HTTPS: 443 | Microsoft-Paketrepository |
| acs-mirror.azureedge.net | HTTPS: 443 | Repository, das zum Installieren erforderlicher Binärdateien, z. B. für kubenet und Azure CNI, benötigt wird. |
Erforderliche Netzwerkregeln für Microsoft Azure, betrieben von 21Vianet
| Zielendpunkt | Port | Zweck | Hinweis |
|---|---|---|---|
| *:443 oder ServiceTag: AzureCloud:443 | TCP:443 | Azure Spring Apps-Dienstverwaltung. | Informationen zur Dienstinstanz requiredTraffics finden Sie unter den Ressourcennutzdaten im Abschnitt networkProfile. |
| *.azurecr.cn:443 oder ServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Kann durch die Aktivierung des Azure Container Registry-Dienstendpunkts im virtuellen Netzwerk ersetzt werden. |
| *.core.chinacloudapi.cn:443 und *.core.chinacloudapi.cn:445 oder ServiceTag – Speicher:443 und Speicher:445 | TCP:443, TCP:445 | Azure Files | Kann durch die Aktivierung des Azure Storage-Dienstendpunkts im virtuellen Netzwerk ersetzt werden. |
| *.servicebus.chinacloudapi.cn:443 oder ServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Kann durch die Aktivierung des Azure Event Hubs-Dienstendpunkts im virtuellen Netzwerk ersetzt werden. |
| *.prod.microsoftmetrics.com:443 oder ServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor. | Ermöglicht ausgehende Aufrufe an Azure Monitor |
Erforderliche FQDN-/Anwendungsregeln für Microsoft Azure, betrieben von 21Vianet
Azure Firewall stellt das FQDN-Tag AzureKubernetesService bereit, um die folgenden Konfigurationen zu vereinfachen:
| Ziel-FQDN | Port | Zweck |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS: 443 | Verwaltung des zugrunde liegenden Kubernetes-Clusters |
| mcr.microsoft.com | HTTPS: 443 | Microsoft Container Registry (MCR) |
| *.data.mcr.microsoft.com | HTTPS: 443 | MCR-Speicher, der auf Azure CDN basiert |
| management.chinacloudapi.cn | HTTPS: 443 | Verwaltung des zugrunde liegenden Kubernetes-Clusters |
| login.chinacloudapi.cn | HTTPS: 443 | Microsoft Entra-Authentifizierung. |
| packages.microsoft.com | HTTPS: 443 | Microsoft-Paketrepository |
| *.azk8s.cn | HTTPS: 443 | Repository, das zum Installieren erforderlicher Binärdateien, z. B. für kubenet und Azure CNI, benötigt wird. |
Optionaler Azure Spring Apps-FQDN für die Leistungsverwaltung von Drittanbieteranwendungen
| Ziel-FQDN | Port | Zweck |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | Die benötigten Netzwerke von New Relic APM-Agents aus der USA-Region finden Sie auch unter APM Agents Networks. |
| collector*.eu01.nr-data.net | TCP:443/80 | Die benötigten Netzwerke von New Relic APM-Agents aus der EU-Region finden Sie auch unter APM Agents Networks. |
| *.live.dynatrace.com | TCP:443 | Erforderliches Netzwerk von Dynatrace APM-Agents. |
| *.live.ruxit.com | TCP:443 | Erforderliches Netzwerk von Dynatrace APM-Agents. |
| *.saas.appdynamics.com | TCP:443/80 | Erforderliches Netzwerk von AppDynamics-APM-Agents. Weitere Informationen finden Sie unter SaaS-Domänen und IP-Adressbereiche. |
Optionaler FQDN für Azure Spring Apps für Application Insights
Sie müssen einige ausgehende Ports in der Firewall Ihres Servers öffnen, damit das Application Insights SDK oder der Application Insights Agent Daten an das Portal senden kann. Weitere Informationen finden Sie im Abschnitt Ausgehende Ports von IP-Adressen, die von Azure Monitor verwendet werden.