Responsabilidades del cliente al ejecutar Azure Spring Apps en una red virtual
Nota:
Azure Spring Apps es el nuevo nombre del servicio Azure Spring Cloud. Aunque el servicio tiene un nuevo nombre, verá el nombre antiguo en algunos lugares durante un tiempo mientras trabajamos para actualizar recursos, como capturas de pantalla, vídeos y diagramas.
La información de este artículo puede ponerse en práctica en: ✔️ Básico o Estándar ✔️ Enterprise
En este artículo se incluyen especificaciones para el uso de Azure Spring Apps en una red virtual.
Cuando se implementa Azure Spring Apps en la red virtual, tiene dependencias de salida de los servicios fuera de la red virtual. Para fines operativos y de administración, Azure Spring Apps debe tener acceso a determinados puertos y nombres de dominio completo (FQDN). Azure Spring Apps requiere estos puntos de conexión para realizar la comunicación con el plano de administración y para la descarga e instalación de las actualizaciones de seguridad y componentes principales del clúster de Kubernetes.
De forma predeterminada, Azure Spring Apps tiene el acceso de salida a Internet ilimitado. Este nivel de acceso a la red permite que las aplicaciones que ejecuta accedan a recursos externos según sea necesario. Si desea restringir el tráfico de salida, es necesario el acceso a un número limitado de puertos y direcciones para las tareas de mantenimiento. La solución más sencilla para proteger las direcciones de salida consiste en usar un dispositivo de firewall que pueda controlar el tráfico de salida en función de los nombres de dominio. Azure Firewall, por ejemplo, puede restringir el tráfico saliente HTTP y HTTPS en función del FQDN de destino. También puede configurar las reglas de seguridad y de firewall que prefiera para permitir estos puertos y direcciones necesarios.
Requisitos de recursos de Azure Spring Apps
En la siguiente lista se muestran los requisitos de recursos de los servicios de Azure Spring Apps. Como requisito general, no debe modificar los grupos de recursos creados por Azure Spring Apps y los recursos de red subyacentes.
- No modifique los grupos de recursos creados que son propiedad de Azure Spring Apps.
- De manera predeterminada, estos grupos de recursos se denominan
ap-svc-rt_<service-instance-name>_<region>*yap_<service-instance-name>_<region>*. - No evite que Azure Spring Apps actualice recursos de estos grupos de recursos.
- De manera predeterminada, estos grupos de recursos se denominan
- No modifique las subredes usadas por Azure Spring Apps.
- No cree más de una instancia de servicio de Azure Spring Apps en la misma subred.
- Si usa un firewall para controlar el tráfico, no bloquee el siguiente tráfico de salida a los componentes de Azure Spring Apps que operan, mantienen y prestan soporte a la instancia de servicio.
Reglas de red obligatorias globales de Azure
| Punto de conexión de destino | Port | Uso | Nota: |
|---|---|---|---|
| *:443 oServiceTag: AzureCloud:443 | TCP:443 | Administración del servicio de Azure Spring Apps. | Para obtener información sobre la instancia de servicio requiredTraffics, consulte la carga del recurso, en la sección networkProfile. |
| *.azurecr.io:443 oServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Se puede reemplazar si se habilita el punto de conexión de servicio de Azure Container Registry en la red virtual. |
| *.core.windows.net:443 y *.core.windows.net:445 oServiceTag: Storage:443 y Storage:445 | TCP:443, TCP:445 | Azure Files | Se puede reemplazar si se habilita el punto de conexión de servicio de Azure Storage en la red virtual. |
| *.servicebus.windows.net:443 oServiceTag: EventHub:443 | TCP:443 | Azure Event Hubs. | Se puede reemplazar si se habilita el punto de conexión de servicio de Azure Event Hubs en la red virtual. |
| *.prod.microsoftmetrics.com:443 oServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Permite llamadas salientes a Azure Monitor. |
Reglas de aplicación o FQDN obligatorias globales de Azure
Azure Firewall proporciona la etiqueta de FQDN AzureKubernetesService para simplificar las siguientes configuraciones:
| FQDN de destino | Port | Uso |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Administración de un clúster de Kubernetes subyacente. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Almacenamiento de MCR respaldado por Azure CDN. |
| management.azure.com | HTTPS:443 | Administración de un clúster de Kubernetes subyacente. |
| login.microsoftonline.com | HTTPS:443 | Autenticación de Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositorio de paquetes de Microsoft. |
| acs-mirror.azureedge.net | HTTPS:443 | Repositorio necesario para instalar los archivos binarios necesarios, como kubenet y Azure CNI. |
Reglas de red necesarias de Microsoft Azure operado por 21Vianet
| Punto de conexión de destino | Port | Uso | Nota: |
|---|---|---|---|
| *:443 oServiceTag: AzureCloud:443 | TCP:443 | Administración del servicio de Azure Spring Apps. | Para obtener información sobre la instancia de servicio requiredTraffics, consulte la carga del recurso, en la sección networkProfile. |
| *.azurecr.cn:443 oServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Se puede reemplazar si se habilita el punto de conexión de servicio de Azure Container Registry en la red virtual. |
| *.core.chinacloudapi.cn:443 and *.core.chinacloudapi.cn:445 oServiceTag - Storage:443 y Storage:445 | TCP:443, TCP:445 | Azure Files | Se puede reemplazar si se habilita el punto de conexión de servicio de Azure Storage en la red virtual. |
| *.servicebus.chinacloudapi.cn:443 oServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs. | Se puede reemplazar si se habilita el punto de conexión de servicio de Azure Event Hubs en la red virtual. |
| *.prod.microsoftmetrics.com:443 oServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Permite llamadas salientes a Azure Monitor. |
Microsoft Azure operado por 21Vianet requiere FQDN / reglas de aplicación
Azure Firewall proporciona la etiqueta AzureKubernetesService de FQDN para simplificar las siguientes configuraciones:
| FQDN de destino | Port | Uso |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Administración de un clúster de Kubernetes subyacente. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Almacenamiento de MCR respaldado por Azure CDN. |
| management.chinacloudapi.cn | HTTPS:443 | Administración de un clúster de Kubernetes subyacente. |
| login.chinacloudapi.cn | HTTPS:443 | Autenticación de Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositorio de paquetes de Microsoft. |
| *.azk8s.cn | HTTPS:443 | Repositorio necesario para instalar los archivos binarios necesarios, como kubenet y Azure CNI. |
FQDN opcional de Azure Spring Apps para la administración del rendimiento de aplicaciones de terceros
| FQDN de destino | Port | Uso |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | Redes necesarias de agentes de APM de New Relic de la región de EE. UU.; consulte también las Redes de agentes de APM. |
| collector*.eu01.nr-data.net | TCP:443/80 | Redes necesarias de agentes de APM de New Relic de la región de Europa; consulte también las Redes de agentes de APM. |
| *.live.dynatrace.com | TCP:443 | Red necesaria de agentes APM de Dynatrace. |
| *.live.ruxit.com | TCP:443 | Red necesaria de agentes APM de Dynatrace. |
| *.saas.appdynamics.com | TCP:443/80 | Red necesaria de agentes de AppDynamics APM, vea también Dominios de SaaS e intervalos IP. |
FQDN opcional de Azure Spring Apps para Application Insights
Debe abrir algunos puertos salientes en el firewall de su servidor para permitir que el SDK de Application Insights o el agente de Application Insights envíen datos al portal. Para obtener más información, consulte la sección Puertos salientes de direcciones IP usadas por Azure Monitor.