Responsabilités du client pour le plan de consommation Standard et dédié d’Azure Spring Apps dans un réseau virtuel
Remarque
Azure Spring Apps est le nouveau nom du service Azure Spring Cloud. Bien que le service ait un nouveau nom, vous verrez l’ancien nom à divers endroits pendant un certain temps, car nous travaillons à mettre à jour les ressources telles que les captures d’écran, les vidéos et les diagrammes.
Cet article s’applique à : ✔️ plan de consommation et dédié Standard (préversion) ❌ De base/Standard ❌ Enterprise
Cet article décrit les responsabilités des clients pour l’exécution d’une instance de service de plan dédié et de consommation Azure Spring Apps Standard dans un réseau virtuel.
Utilisez des groupes de sécurité réseau (NSG) pour configurer des réseaux virtuels conformément aux paramètres requis par Kubernetes.
Pour contrôler tout le trafic entrant et sortant pour l’environnement Azure Container Apps, vous pouvez utiliser des groupes de sécurité réseau pour verrouiller un réseau avec des règles plus restrictives que les règles de groupe de sécurité réseau par défaut.
Règles d’autorisation de groupe de sécurité réseau
Les tableaux suivants décrivent la configuration d’un ensemble de règles de groupe de sécurité réseau.
Remarque
Le sous-réseau associé à un environnement Azure Container Apps nécessite un préfixe CIDR de ou de /23 plus grande taille.
Sortant avec ServiceTags
| Protocole | Port | Balise de service | Description |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
Requis pour une connexion sécurisée Azure Kubernetes Service (AKS) interne entre les nœuds sous-jacents et le plan de contrôle. Remplacez <region> par la région dans laquelle votre application de conteneur est déployée. |
| TCP | 9000 |
AzureCloud.<region> |
Requis pour la connexion sécurisée AKS interne entre les nœuds sous-jacents et le plan de contrôle. Remplacez <region> par la région dans laquelle votre application de conteneur est déployée. |
| TCP | 443 |
AzureMonitor |
Autorise les appels sortants vers Azure Monitor. |
| TCP | 443 |
Azure Container Registry |
Active Azure Container Registry comme décrit dans les points de terminaison de service de réseau virtuel. |
| TCP | 443 |
MicrosoftContainerRegistry |
Balise de service pour le registre de conteneurs pour les conteneurs Microsoft. |
| TCP | 443 |
AzureFrontDoor.FirstParty |
Dépendance de l’étiquette de MicrosoftContainerRegistry service. |
| TCP | 443, 445 |
Azure Files |
Active Stockage Azure comme décrit dans les points de terminaison de service de réseau virtuel. |
Sortant avec les règles d’adresse IP générique
| Protocole | Port | IP | Description |
|---|---|---|---|
| TCP | 443 |
* | Définissez tout le trafic sortant sur le port 443 pour autoriser toutes les dépendances sortantes basées sur un nom de domaine complet (FQDN) qui n’ont pas d’adresse IP statique. |
| UDP | 123 |
* | Serveur NTP. |
| TCP | 5671 |
* | Plan de contrôle Container Apps. |
| TCP | 5672 |
* | Plan de contrôle Container Apps. |
| Tout | * | Espace d’adressage de sous-réseau d’infrastructure | Autorisez la communication entre les adresses IP dans le sous-réseau d’infrastructure. Cette adresse est passée en tant que paramètre lorsque vous créez un environnement , par exemple 10.0.0.0/21. |
Sortant avec les exigences/règles d’application du nom de domaine complet
| Protocole | Port | FQDN | Description |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
Stockage MCR soutenu par azure réseau de distribution de contenu (CDN). |
| TCP | 443 |
*.data.mcr.microsoft.com |
Stockage de MCR s’appuyant sur le réseau de distribution de contenu. |
Sortant avec nom de domaine complet pour la gestion des performances des applications tierces (facultatif)
| Protocole | Port | FQDN | Description |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
Les réseaux requis des agents d’application et de surveillance des performances New Relic (APM) à partir de la région américaine. Voir Réseaux d’agents APM. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
Réseaux requis d’agents APM New Relic à partir de la région de l’UE. Voir Réseaux d’agents APM. |
| TCP | 443 |
*.live.dynatrace.com |
Réseau requis d’agents APM Dynatrace. |
| TCP | 443 |
*.live.ruxit.com |
Réseau requis d’agents APM Dynatrace. |
| TCP | 443/80 |
*.saas.appdynamics.com |
Réseau requis d’agents APM AppDynamics. Consultez les domaines SaaS et les plages d’adresses IP. |
À propos de l’installation
- Si vous exécutez des serveurs HTTP, vous devrez peut-être ajouter des ports
80et443. - L’ajout de règles de refus pour certains ports et protocoles avec une priorité inférieure à
65000peut entraîner une interruption de service et un comportement inattendu.