Responsabilidades del cliente al ejecutar Azure Spring Apps en una red virtual
Nota:
Los planes Básico, Estándar y Enterprise quedarán en desuso a partir de mediados de marzo de 2025, con un período de jubilación de 3 años. Se recomienda realizar la transición a Azure Container Apps. Para obtener más información, consulte el anuncio de retirada de Azure Spring Apps.
El plan de consumo estándar y dedicado quedará obsoleto a partir del 30 de septiembre de 2024, con un cierre completo al cabo de seis meses. Se recomienda realizar la transición a Azure Container Apps. Para más información, consulte Migrar el consumo estándar de Azure Spring Apps y el plan dedicado a Azure Container Apps.
La información de este artículo puede ponerse en práctica en: ✔️ Básico o Estándar ✔️ Enterprise
En este artículo se incluyen especificaciones para el uso de Azure Spring Apps en una red virtual.
Cuando se implementa Azure Spring Apps en la red virtual, tiene dependencias de salida de los servicios fuera de la red virtual. Para fines operativos y de administración, Azure Spring Apps debe tener acceso a determinados puertos y nombres de dominio completo (FQDN). Azure Spring Apps requiere estos puntos de conexión para realizar la comunicación con el plano de administración y para la descarga e instalación de las actualizaciones de seguridad y componentes principales del clúster de Kubernetes.
De forma predeterminada, Azure Spring Apps tiene el acceso de salida a Internet ilimitado. Este nivel de acceso a la red permite que las aplicaciones que ejecuta accedan a recursos externos según sea necesario. Si desea restringir el tráfico de salida, es necesario el acceso a un número limitado de puertos y direcciones para las tareas de mantenimiento. La solución más sencilla para proteger las direcciones de salida consiste en usar un dispositivo de firewall que pueda controlar el tráfico de salida en función de los nombres de dominio. Azure Firewall, por ejemplo, puede restringir el tráfico saliente HTTP y HTTPS en función del FQDN de destino. También puede configurar las reglas de seguridad y de firewall que prefiera para permitir estos puertos y direcciones necesarios.
Requisitos de recursos de Azure Spring Apps
En la siguiente lista se muestran los requisitos de recursos de los servicios de Azure Spring Apps. Como requisito general, no debe modificar los grupos de recursos creados por Azure Spring Apps y los recursos de red subyacentes.
- No modifique los grupos de recursos creados que son propiedad de Azure Spring Apps.
- De manera predeterminada, estos grupos de recursos se denominan
ap-svc-rt_<service-instance-name>_<region>*yap_<service-instance-name>_<region>*. - No evite que Azure Spring Apps actualice recursos de estos grupos de recursos.
- De manera predeterminada, estos grupos de recursos se denominan
- No modifique las subredes usadas por Azure Spring Apps.
- No cree más de una instancia de servicio de Azure Spring Apps en la misma subred.
- Si usa un firewall para controlar el tráfico, no bloquee el siguiente tráfico de salida a los componentes de Azure Spring Apps que operan, mantienen y prestan soporte a la instancia de servicio.
Reglas de red obligatorias globales de Azure
| Punto de conexión de destino | Port | Uso | Nota: |
|---|---|---|---|
| *:443 o ServiceTag: AzureCloud:443 | TCP:443 | Administración del servicio de Azure Spring Apps. | Para obtener información sobre la instancia de servicio requiredTraffics, consulte la carga del recurso, en la sección networkProfile. |
| *.azurecr.io:443 o ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Para reemplazarlo, es preciso habilitar el punto de conexión de servicio de Azure Container Registry en la red virtual. |
| *.core.windows.net:443 and *.core.windows.net:445 o ServiceTag: Storage:443 y Storage:445 | TCP:443, TCP:445 | Azure Files | Para reemplazarlo, es preciso habilitar el punto de conexión de servicio de Azure Storage en la red virtual. |
| *.servicebus.windows.net:443 o ServiceTag: EventHub:443 | TCP:443 | Azure Event Hubs. | Para reemplazarlo, es preciso habilitar el punto de conexión de servicio de Azure Event Hubs en la red virtual. |
| *.prod.microsoftmetrics.com:443 o ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Permite llamadas salientes a Azure Monitor. |
Reglas de aplicación o FQDN obligatorias globales de Azure
Azure Firewall proporciona la etiqueta de FQDN AzureKubernetesService para simplificar las siguientes configuraciones:
| FQDN de destino | Port | Uso |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Administración de un clúster de Kubernetes subyacente. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Almacenamiento de MCR respaldado por Azure CDN. |
| management.azure.com | HTTPS:443 | Administración de un clúster de Kubernetes subyacente. |
| login.microsoftonline.com | HTTPS:443 | Autenticación de Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositorio de paquetes de Microsoft. |
| acs-mirror.azureedge.net | HTTPS:443 | Repositorio necesario para instalar los archivos binarios necesarios, como kubenet y Azure CNI. |
Reglas de red necesarias de Microsoft Azure operado por 21Vianet
| Punto de conexión de destino | Port | Uso | Nota: |
|---|---|---|---|
| *:443 o ServiceTag: AzureCloud:443 | TCP:443 | Administración del servicio de Azure Spring Apps. | Para obtener información sobre la instancia de servicio requiredTraffics, consulte la carga del recurso, en la sección networkProfile. |
| *.azurecr.cn:443 o ServiceTag: AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Para reemplazarlo, es preciso habilitar el punto de conexión de servicio de Azure Container Registry en la red virtual. |
| *.core.chinacloudapi.cn:443 y *.core.chinacloudapi.cn:445 o ServiceTag: Storage:443 y Storage:445 | TCP:443, TCP:445 | Azure Files | Para reemplazarlo, es preciso habilitar el punto de conexión de servicio de Azure Storage en la red virtual. |
| *.servicebus.chinacloudapi.cn:443 o ServiceTag: EventHub:443 | TCP:443 | Azure Event Hubs. | Para reemplazarlo, es preciso habilitar el punto de conexión de servicio de Azure Event Hubs en la red virtual. |
| *.prod.microsoftmetrics.com:443 o ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Permite llamadas salientes a Azure Monitor. |
Microsoft Azure operado por 21Vianet requiere FQDN / reglas de aplicación
Azure Firewall proporciona la etiqueta AzureKubernetesService de FQDN para simplificar las siguientes configuraciones:
| FQDN de destino | Port | Uso |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Administración de un clúster de Kubernetes subyacente. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Almacenamiento de MCR respaldado por Azure CDN. |
| management.chinacloudapi.cn | HTTPS:443 | Administración de un clúster de Kubernetes subyacente. |
| login.chinacloudapi.cn | HTTPS:443 | Autenticación de Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositorio de paquetes de Microsoft. |
| *.azk8s.cn | HTTPS:443 | Repositorio necesario para instalar los archivos binarios necesarios, como kubenet y Azure CNI. |
FQDN opcional de Azure Spring Apps para la administración del rendimiento de aplicaciones de terceros
| FQDN de destino | Port | Uso |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | Redes necesarias de agentes de APM de New Relic de la región de EE. UU.; consulte también las Redes de agentes de APM. |
| collector*.eu01.nr-data.net | TCP:443/80 | Redes necesarias de agentes de APM de New Relic de la región de Europa; consulte también las Redes de agentes de APM. |
| *.live.dynatrace.com | TCP:443 | Red necesaria de agentes APM de Dynatrace. |
| *.live.ruxit.com | TCP:443 | Red necesaria de agentes APM de Dynatrace. |
| *.saas.appdynamics.com | TCP:443/80 | Red necesaria de agentes de AppDynamics APM, vea también Dominios de SaaS e intervalos IP. |
FQDN opcional de Azure Spring Apps para Application Insights
Debe abrir algunos puertos salientes en el firewall de su servidor para permitir que el SDK de Application Insights o el agente de Application Insights envíen datos al portal. Para obtener más información, consulte la sección Puertos salientes de direcciones IP usadas por Azure Monitor.