Compartir vía


Responsabilidades del cliente para el plan de consumo y dedicado Estándar de Azure Spring Apps en una red virtual

Nota:

Los planes Básico, Estándar y Enterprise quedarán en desuso a partir de mediados de marzo de 2025, con un período de jubilación de 3 años. Se recomienda realizar la transición a Azure Container Apps. Para obtener más información, consulte el anuncio de retirada de Azure Spring Apps.

El plan de consumo estándar y dedicado quedará en desuso a partir del 30 de septiembre de 2024, con un cierre completo al cabo de seis meses. Se recomienda realizar la transición a Azure Container Apps. Para más información, consulte Migrar el consumo estándar de Azure Spring Apps y el plan dedicado a Azure Container Apps.

Este artículo se aplica a: ✔️ Consumo y dedicado Estándar (versión preliminar) ❌ Básico/Estándar ❌ Enterprise

En este artículo se describen las responsabilidades del cliente para ejecutar una instancia de servicio de plan dedicado y consumo estándar de Azure Spring Apps en una red virtual.

Use grupos de seguridad de red (NSG) para configurar redes virtuales para que se ajusten a la configuración requerida por Kubernetes.

Para controlar todo el tráfico entrante y saliente del entorno de Azure Container Apps, puede utilizar las NSG para bloquear una red con reglas más restrictivas que las reglas NSG predeterminadas.

Reglas de permisos de NSG

En las tablas siguientes se describe cómo configurar una colección de reglas de permisos de NSG.

Nota:

La subred asociada a un entorno de Azure Container Apps requiere un prefijo CIDR de /23 o mayor.

Saliente con ServiceTags

Protocolo Puerto ServiceTag Descripción
UDP 1194 AzureCloud.<region> Necesario para la conexión segura interna de Azure Kubernetes Service (AKS) entre los nodos subyacentes y el plano de control. Reemplace <region> con la región en la que está implementada la aplicación de contenedor.
TCP 9000 AzureCloud.<region> Se requiere para la conexión segura de AKS interna entre los nodos subyacentes y el plano de control. Reemplace <region> con la región en la que está implementada la aplicación de contenedor.
TCP 443 AzureMonitor Permite llamadas salientes a Azure Monitor.
TCP 443 Azure Container Registry Habilita Azure Container Registry como se describe en puntos de conexión de servicio de red virtual.
TCP 443 MicrosoftContainerRegistry La etiqueta de servicio para el registro de contenedores de Microsoft.
TCP 443 AzureFrontDoor.FirstParty Dependencia de la etiqueta de servicio MicrosoftContainerRegistry.
TCP 443, 445 Azure Files Habilita Azure Storage como se describe en puntos de conexión de servicio de red virtual.

Saliente con reglas IP de caracteres comodín

Protocolo Puerto IP Descripción
TCP 443 * Establezca todo el tráfico saliente en el puerto 443 para permitir que todas las dependencias de salida basadas en el nombre de dominio completo (FQDN) no tengan una dirección IP estática.
UDP 123 * Servidor NTP.
TCP 5671 * Plano de control de Container Apps.
TCP 5672 * Plano de control de Container Apps.
Any * Espacio de direcciones en la subred de la infraestructura Permite la comunicación entre direcciones IP en la subred de la infraestructura. Esta dirección se pasa como parámetro al crear un entorno; por ejemplo, 10.0.0.0/21.

Salida con requisitos de FQDN o reglas de aplicación

Protocolo Puerto FQDN Descripción
TCP 443 mcr.microsoft.com Microsoft Container Registry (MCR).
TCP 443 *.cdn.mscr.io Almacenamiento MCR respaldado por Azure Content Delivery Network (CDN).
TCP 443 *.data.mcr.microsoft.com Almacenamiento de MCR respaldado por Azure CDN.

Salida con FQDN para la gestión del rendimiento de aplicaciones de terceros (opcional)

Protocolo Puerto FQDN Descripción
TCP 443/80 collector*.newrelic.com Las redes necesarias de agentes de aplicación y supervisión del rendimiento (APM) de New Relic desde la región de EE. UU. Consulte Redes de agentes APM.
TCP 443/80 collector*.eu01.nr-data.net Las redes necesarias de agentes de New Relic APM de la región de Europa. Consulte Redes de agentes APM.
TCP 443 *.live.dynatrace.com La red necesaria de agentes de APM de Dynatrace.
TCP 443 *.live.ruxit.com La red necesaria de agentes de APM de Dynatrace.
TCP 443/80 *.saas.appdynamics.com La red necesaria de agentes de APM de AppDynamics. Consulte Dominios SaaS e intervalos IP.

Consideraciones

  • Si ejecuta servidores HTTP, es posible que tenga que agregar puertos 80 y 443.
  • Agregar reglas de denegación para algunos puertos y protocolos con menor prioridad que 65000 puede provocar interrupciones del servicio y un comportamiento inesperado.

Pasos siguientes