Responsabilidades del cliente para el plan de consumo y dedicado Estándar de Azure Spring Apps en una red virtual
Nota:
Azure Spring Apps es el nuevo nombre del servicio Azure Spring Cloud. Aunque el servicio tiene un nuevo nombre, verá el nombre antiguo en algunos lugares durante un tiempo mientras trabajamos para actualizar recursos, como capturas de pantalla, vídeos y diagramas.
Este artículo se aplica a: ✔️ Consumo y dedicado Estándar (versión preliminar) ❌ Básico/Estándar ❌ Enterprise
En este artículo se describen las responsabilidades del cliente para ejecutar una instancia de servicio de plan dedicado y consumo estándar de Azure Spring Apps en una red virtual.
Use grupos de seguridad de red (NSG) para configurar redes virtuales para que se ajusten a la configuración requerida por Kubernetes.
Para controlar todo el tráfico entrante y saliente para el entorno de Azure Container Apps, puede usar grupos de seguridad de red para bloquear una red con reglas más restrictivas que las reglas de NSG predeterminadas.
Reglas de permisos de NSG
En las tablas siguientes se describe cómo configurar una colección de reglas de permisos de NSG.
Nota:
La subred asociada a un entorno de Azure Container Apps requiere un prefijo CIDR de /23 o mayor.
Saliente con ServiceTags
| Protocolo | Puerto | ServiceTag | Descripción |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
Se requiere para una conexión segura de Azure Kubernetes Service (AKS) interna entre los nodos subyacentes y el plano de control. Reemplace <region> con la región en la que está implementada la aplicación de contenedor. |
| TCP | 9000 |
AzureCloud.<region> |
Se requiere para la conexión segura de AKS interna entre los nodos subyacentes y el plano de control. Reemplace <region> con la región en la que está implementada la aplicación de contenedor. |
| TCP | 443 |
AzureMonitor |
Permite llamadas salientes a Azure Monitor. |
| TCP | 443 |
Azure Container Registry |
Habilita Azure Container Registry como se describe en Puntos de conexión de servicio de red virtual. |
| TCP | 443 |
MicrosoftContainerRegistry |
Etiqueta de servicio para el registro de contenedor para contenedores de Microsoft. |
| TCP | 443 |
AzureFrontDoor.FirstParty |
Dependencia de la etiqueta de MicrosoftContainerRegistry servicio. |
| TCP | 443, 445 |
Azure Files |
Habilita Azure Storage como se describe en Puntos de conexión de servicio de red virtual. |
Saliente con reglas IP de caracteres comodín
| Protocolo | Puerto | IP | Descripción |
|---|---|---|---|
| TCP | 443 |
* | Establezca todo el tráfico saliente en el puerto 443 para permitir todas las dependencias de salida basadas en el nombre de dominio completo (FQDN) que no tienen una dirección IP estática. |
| UDP | 123 |
* | Servidor NTP. |
| TCP | 5671 |
* | Plano de control de Container Apps. |
| TCP | 5672 |
* | Plano de control de Container Apps. |
| Any | * | Espacio de direcciones en la subred de la infraestructura | Permite la comunicación entre direcciones IP en la subred de la infraestructura. Esta dirección se pasa como parámetro al crear un entorno, por ejemplo, 10.0.0.0/21. |
Salida con requisitos de FQDN o reglas de aplicación
| Protocolo | Puerto | FQDN | Descripción |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
Almacenamiento MCR respaldado por Azure Content Delivery Network (CDN). |
| TCP | 443 |
*.data.mcr.microsoft.com |
Almacenamiento de MCR respaldado por Azure CDN. |
Salida con FQDN para la administración del rendimiento de aplicaciones de terceros (opcional)
| Protocolo | Puerto | FQDN | Descripción |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
Las redes necesarias de agentes de aplicación y supervisión del rendimiento (APM) de New Relic desde la región de EE. UU. Consulte Redes de agentes de APM. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
Las redes necesarias de agentes de APM de New Relic de la región de la UE. Consulte Redes de agentes de APM. |
| TCP | 443 |
*.live.dynatrace.com |
La red necesaria de agentes de APM de Dynatrace. |
| TCP | 443 |
*.live.ruxit.com |
La red necesaria de agentes de APM de Dynatrace. |
| TCP | 443/80 |
*.saas.appdynamics.com |
La red necesaria de agentes de APM de AppDynamics. Consulte Dominios SaaS e intervalos IP. |
Consideraciones
- Si ejecuta servidores HTTP, es posible que tenga que agregar puertos
80y443. - Agregar reglas de denegación para algunos puertos y protocolos con menor prioridad que
65000puede provocar interrupciones del servicio y un comportamiento inesperado.