Responsabilités du client pour le plan de consommation Standard et dédié d’Azure Spring Apps dans un réseau virtuel
Remarque
Les plans Essentiel, Standard et Entreprise seront déconseillés à compter de la mi-mars 2025, avec une période de mise hors service de trois ans. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez l’annonce concernant la mise hors service d’Azure Spring Apps.
La consommation Standard et le plan dédié seront déconseillés à compter du 30 septembre 2024, avec un arrêt complet six mois après. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez Migrer la consommation Standard et le plan dédié Azure Spring Apps vers Azure Container Apps.
Cet article s’applique à : ✔️ plan de consommation et dédié Standard (préversion) ❌ De base/Standard ❌ Enterprise
Cet article décrit les responsabilités du client pour l’exécution d’une instance de service de consommation Standard et de plan dédié Azure Spring Apps dans un réseau virtuel.
Utilisez des groupes de sécurité réseau (NSG) afin de configurer des réseaux virtuels pour la conformité aux paramètres exigés par Kubernetes.
Pour contrôler tout le trafic entrant et sortant dans l’environnement Azure Container Apps, vous pouvez utiliser des NSG afin de verrouiller un réseau avec des règles plus restrictives que les règles NSG par défaut.
Règles d’autorisation de groupe de sécurité réseau
Les tableaux suivants décrivent la configuration d’un ensemble de règles de groupe de sécurité réseau.
Remarque
Le sous-réseau associé à un environnement Azure Container Apps nécessite un préfixe CIDR /23 ou supérieur.
Sortant avec ServiceTags
| Protocole | Port | Balise de service | Description |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
Obligatoire pour une connexion sécurisée AKS (Azure Kubernetes Service) interne entre les nœuds sous-jacents et le plan de contrôle. Remplacez <region> par la région dans laquelle votre application de conteneur est déployée. |
| TCP | 9000 |
AzureCloud.<region> |
Obligatoire pour une connexion sécurisée AKS interne entre les nœuds sous-jacents et le plan de contrôle. Remplacez <region> par la région dans laquelle votre application de conteneur est déployée. |
| TCP | 443 |
AzureMonitor |
Autorise les appels sortants vers Azure Monitor. |
| TCP | 443 |
Azure Container Registry |
Active Azure Container Registry comme décrit dans Points de terminaison de service de réseau virtuel. |
| TCP | 443 |
MicrosoftContainerRegistry |
Étiquette de service pour le registre de conteneurs pour les conteneurs Microsoft. |
| TCP | 443 |
AzureFrontDoor.FirstParty |
Dépendance de l’étiquette de service MicrosoftContainerRegistry. |
| TCP | 443, 445 |
Azure Files |
Active Stockage Azure comme décrit dans Points de terminaison de service de réseau virtuel. |
Sortant avec les règles d’adresse IP générique
| Protocole | Port | IP | Description |
|---|---|---|---|
| TCP | 443 |
* | Définir tout le trafic sortant sur le port 443 de façon à autoriser toutes les dépendances sortantes basées sur un nom de domaine complet qui n’ont pas d’adresse IP statique. |
| UDP | 123 |
* | Serveur NTP. |
| TCP | 5671 |
* | Plan de contrôle Container Apps. |
| TCP | 5672 |
* | Plan de contrôle Container Apps. |
| Tout | * | Espace d’adressage de sous-réseau d’infrastructure | Autorisez la communication entre les adresses IP dans le sous-réseau d’infrastructure. Cette adresse est transmise en tant que paramètre lorsque vous créez un environnement, par exemple 10.0.0.0/21. |
Sortant avec les règles d’application/exigences en matière de nom de domaine complet
| Protocole | Port | FQDN | Description |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
Stockage MCR assuré par Azure Content Delivery Network (CDN). |
| TCP | 443 |
*.data.mcr.microsoft.com |
Stockage de MCR s’appuyant sur le réseau de distribution de contenu. |
Sortant avec nom de domaine complet pour la gestion des performances des applications tierces (facultatif)
| Protocole | Port | FQDN | Description |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
Réseaux requis d’agents de monitoring des performances (APM) et d’application New Relic à partir de la région US. Voir Réseaux d’agents APM. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
Réseaux requis d’agents APM New Relic à partir de la région UE. Voir Réseaux d’agents APM. |
| TCP | 443 |
*.live.dynatrace.com |
Réseau requis d’agents APM Dynatrace. |
| TCP | 443 |
*.live.ruxit.com |
Réseau requis d’agents APM Dynatrace. |
| TCP | 443/80 |
*.saas.appdynamics.com |
Réseau requis d’agents APM AppDynamics. Voir Domaines SaaS et plages d’adresses IP. |
À propos de l’installation
- Si vous exécutez des serveurs HTTP, vous devrez peut-être ajouter les ports
80et443. - L’ajout de règles de refus pour certains ports et protocoles avec une priorité inférieure à
65000peut entraîner une interruption de service et un comportement inattendu.