Kundenverantwortung für den Azure Spring Apps-Standardverbrauchs- und dedizierten Plan in einem virtuellen Netzwerk
Hinweis
Die Pläne Basic, Standard und Enterprise gelten ab Mitte März 2025 als veraltet und werden über einen Zeitraum von drei Jahren eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie in der Ankündigung zur Einstellung von Azure Spring Apps.
Der Plan Standardverbrauch und dediziert gilt ab dem 30. September 2024 als veraltet und wird nach sechs Monaten vollständig eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie unter Migrieren vom Plan „Standardverbrauch und dediziert“ von Azure Spring Apps zu Azure Container Apps.
Dieser Artikel gilt für: ✔️ Standardverbrauch und dediziert (Vorschau) ❌ Basic/Standard ❌ Enterprise
Dieser Artikel enthält Informationen zur Kundenverantwortung beim Betrieb einer Dienstinstanz im Azure Spring Apps-Plan „Standardverbrauch und dediziert“ in einem virtuellen Netzwerk.
Verwenden Sie Netzwerksicherheitsgruppen (NSGs), um virtuelle Netzwerke so zu konfigurieren, dass sie den von Kubernetes benötigten Einstellungen entsprechen.
Sie können ein Netzwerk mithilfe von NSGs mit restriktiveren Regeln sperren als mit den NSG-Standardregeln, um den gesamten ein- und ausgehenden Datenverkehr für die Azure Container Apps-Umgebung zu steuern.
NSG-Zulassungsregeln
In den folgenden Tabellen wird beschrieben, wie Sie eine Sammlung von NSG-Zulassungsregeln konfigurieren.
Hinweis
Das Subnetz, das einer Azure Container Apps-Umgebung zugeordnet ist, muss über das CIDR-Präfix /23 oder über ein größeres Präfix verfügen.
Ausgehend mit ServiceTags
| Protocol | Port | ServiceTag | Beschreibung |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
Erforderlich für eine sichere interne AKS-Verbindung (Azure Kubernetes Service) zwischen zugrunde liegenden Knoten und der Steuerungsebene Ersetzen Sie <region> durch die Region, in der Ihre Container-App bereitgestellt wird. |
| TCP | 9000 |
AzureCloud.<region> |
Erforderlich für eine sichere interne AKS-Verbindung zwischen zugrunde liegenden Knoten und der Steuerungsebene Ersetzen Sie <region> durch die Region, in der Ihre Container-App bereitgestellt wird. |
| TCP | 443 |
AzureMonitor |
Ermöglicht ausgehende Aufrufe an Azure Monitor |
| TCP | 443 |
Azure Container Registry |
Aktiviert Azure Container Registry, wie unter Virtual Network-Dienstendpunkte beschrieben |
| TCP | 443 |
MicrosoftContainerRegistry |
Das Diensttag für die Containerregistrierung für Microsoft-Container |
| TCP | 443 |
AzureFrontDoor.FirstParty |
Eine Abhängigkeit des Diensttags MicrosoftContainerRegistry |
| TCP | 443, 445 |
Azure Files |
Aktiviert Azure Storage, wie unter Virtual Network-Dienstendpunkte beschrieben |
Ausgehend mit Platzhalter-IP-Regeln
| Protocol | Port | IP | BESCHREIBUNG |
|---|---|---|---|
| TCP | 443 |
* | Konfiguriert den gesamten ausgehenden Datenverkehr am Port 443 so, dass alle ausgehenden Abhängigkeiten zugelassen werden, die auf einem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) basieren und keine statische IP-Adresse besitzen |
| UDP | 123 |
* | NTP-Server |
| TCP | 5671 |
* | Container Apps-Steuerungsebene. |
| TCP | 5672 |
* | Container Apps-Steuerungsebene. |
| Any | * | Adressraum des Infrastruktursubnetzes | Lassen Sie die Kommunikation zwischen IPs im Infrastruktursubnetz zu. Diese Adresse wird beim Erstellen einer Umgebung als Parameter übergeben. Beispiel: 10.0.0.0/21 |
Ausgehend mit FQDN-Anforderungen/Anwendungsregeln
| Protocol | Port | FQDN | Beschreibung |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR) |
| TCP | 443 |
*.cdn.mscr.io |
Auf Azure Content Delivery Network (CDN) basierender MCR-Speicher. |
| TCP | 443 |
*.data.mcr.microsoft.com |
MCR-Speicher, der auf Azure CDN basiert |
Ausgehend mit FQDN für die Leistungsverwaltung von Drittanbieteranwendungen (optional)
| Protocol | Port | FQDN | Beschreibung |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
Die erforderlichen Netzwerke von New Relic-APM-Agents (Application and Performance Monitoring; Anwendungs- und Leistungsüberwachung) aus der US-Region. Weitere Informationen finden Sie unter „APM Agents Networks“. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
Die erforderlichen Netzwerke von New Relic-APM-Agents aus der EU-Region. Weitere Informationen finden Sie unter „APM Agents Networks“. |
| TCP | 443 |
*.live.dynatrace.com |
Das erforderliche Netzwerk von Dynatrace-APM-Agents. |
| TCP | 443 |
*.live.ruxit.com |
Das erforderliche Netzwerk von Dynatrace-APM-Agents. |
| TCP | 443/80 |
*.saas.appdynamics.com |
Das erforderliche Netzwerk von AppDynamics-APM-Agents. Weitere Informationen finden Sie unter „SaaS-Domänen und IP-Adressbereiche“. |
Überlegungen
- Bei Verwendung von HTTP-Servern müssen ggf. die Ports
80und443hinzugefügt werden. - Hinzufügen von Verweigerungsregeln für einige Ports und Protokolle mit niedrigerer Priorität als
65000dies zu Dienstunterbrechungen und unerwartetem Verhalten führen kann.