Déployer Azure Spring Apps dans un réseau virtuel

Remarque

Azure Spring Apps est le nouveau nom du service Azure Spring Cloud. Bien que le service ait un nouveau nom, vous verrez l’ancien nom à divers endroits pendant un certain temps, car nous travaillons à mettre à jour les ressources telles que les captures d’écran, les vidéos et les diagrammes.

Cet article s’applique à : ✔️ Java ✔️ C#

Cet article s’applique à : ❌ De base ✔️ Standard ✔️ Entreprise

Ce tutoriel explique comment déployer une instance Azure Spring Apps dans votre réseau virtuel. Ce déploiement est parfois appelé « injection de réseau virtuel ».

Le déploiement permet :

• L’isolement des applications et du runtime du service Azure Spring Apps par rapport à Internet sur votre réseau d’entreprise
• L’interaction d’Azure Spring Apps avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels
• La possibilité pour les clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Apps.

La vidéo suivante montre comment sécuriser les applications Spring Boot à l’aide de réseaux virtuels managés.

Remarque

Vous pouvez sélectionner votre réseau virtuel Azure uniquement quand vous créez une instance de service Azure Spring Apps. Vous ne pouvez pas changer et utiliser un autre réseau virtuel après la création de l’instance Azure Spring Apps.

Prérequis

Inscrivez le fournisseur de ressources Azure Spring Apps Microsoft.AppPlatform et Microsoft.ContainerService conformément aux instructions figurant dans Inscrire un fournisseur de ressources dans le portail Azure ou en exécutant la commande Azure CLI suivante :

az provider register --namespace Microsoft.AppPlatform
az provider register --namespace Microsoft.ContainerService

Conditions requises pour le réseau virtuel

Le réseau virtuel dans lequel vous déployez votre instance Azure Spring Apps doit répondre aux conditions suivantes :

• Emplacement : le réseau virtuel doit résider au même emplacement que l’instance Azure Spring Apps.
• Abonnement: le réseau virtuel doit figurer dans le même abonnement que l’instance Azure Spring Apps.
• Sous-réseaux : le réseau virtuel doit inclure deux sous-réseaux dédiés à une instance Azure Spring Apps :
  • Un pour le runtime du service.
  • Un pour vos applications Spring.
  • Il existe une relation un-à-un entre ces sous-réseaux et une instance Azure Spring Apps. Utilisez un nouveau sous-réseau pour chaque instance de service que vous déployez. Chaque sous-réseau ne peut inclure qu’une seule instance de service.
• Espace d’adressage : blocs CIDR jusqu’à /28 pour le sous-réseau du runtime du service et le sous-réseau des applications Spring.
• Table de routage : par défaut, les sous-réseaux n’ont pas besoin d’être associés à des tables de routage existantes. Vous pouvez apporter votre propre table de routage.

Utilisez les étapes suivantes pour configurer le réseau virtuel visant à contenir l’instance Azure Spring Apps.

Créez un réseau virtuel

Azure portal

Si vous disposez déjà d’un réseau virtuel pour héberger une instance Azure Spring Apps, ignorez les étapes 1, 2 et 3. Vous pouvez commencer à l’étape 4 pour préparer les sous-réseaux du réseau virtuel.

1. Dans le menu du portail Azure, sélectionnez Créer une ressource. Dans la Place de marché Azure, sélectionnez Mise en réseau>Réseau virtuel.

2. Dans la boîte de dialogue Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :

   Paramètre	Valeur
   Abonnement	Sélectionnez votre abonnement.
   Resource group	Sélectionnez votre groupe de ressources ou créez-en un.
   Nom	Entrez azure-spring-apps-vnet.
   Emplacement	Sélectionnez USA Est.

3. Sélectionnez Suivant : Adresses IP.

4. Pour l’espace d’adressage IPv4, entrez 10.1.0.0/16.

5. Sélectionnez Ajouter un sous-réseau. Ensuite, entrez service-runtime-subnet pour Nom du sous-réseau et entrez 10.1.0.0/24 pour Plage d’adresses de sous-réseau. Ensuite, cliquez sur Ajouter.

6. Sélectionnez à nouveau Ajouter un sous-réseau, puis entrez le nom du sous-réseau et la plage d’adresses du sous-réseau. Par exemple, entrez apps-subnet et 10.1.1.0/24. Ensuite, cliquez sur Ajouter.

7. Sélectionnez Revoir + créer. Conservez les autres valeurs par défaut, puis sélectionnez Créer.

Azure CLI

Si vous disposez déjà d’un réseau virtuel pour héberger une instance Azure Spring Apps, ignorez les étapes 1, 2, 3 et 4. Vous pouvez commencer à l’étape 5 pour préparer les sous-réseaux pour le réseau virtuel.

1. Utilisez la commande suivante pour définir les variables pour votre abonnement, votre groupe de ressources et votre instance Azure Spring Apps. Personnalisez les valeurs en fonction de votre environnement réel.

   export SUBSCRIPTION='<subscription-id>'
   export RESOURCE_GROUP='<resource-group-name>'
   export LOCATION='eastus'
   export AZURE_SPRING_APPS_INSTANCE_NAME='<Azure-Spring-Apps-Instance-name>'
   export VIRTUAL_NETWORK_NAME='azure-spring-apps-vnet'
   

2. Utilisez la commande suivante pour vous connecter à Azure CLI et choisir votre abonnement actif.

   az login
   az account set --subscription ${SUBSCRIPTION}
   

3. Utilisez la commande suivante pour créer un groupe de ressources pour vos ressources :

   az group create --name $RESOURCE_GROUP --location $LOCATION
   

4. Utilisez la commande suivante pour créer le réseau virtuel :

   az network vnet create \
       --resource-group $RESOURCE_GROUP \
       --name $VIRTUAL_NETWORK_NAME \
       --location $LOCATION \
       --address-prefix 10.1.0.0/16
   

5. Utilisez la commande suivante pour créer deux sous-réseaux dans ce réseau virtuel :

   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.0.0/24 \
       --name service-runtime-subnet 
   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.1.0/24 \
       --name apps-subnet 
   

Accorder l’autorisation du service au réseau virtuel

Cette section vous montre comment accorder à Azure Spring Apps l’autorisation Propriétaire sur votre réseau virtuel. Cette autorisation vous permet d’accorder un principal de service dédié et dynamique sur le réseau virtuel pour davantage de déploiement et de maintenance.

Remarque

Les autorisations minimales requises sont Administrateur d’accès utilisateur et Contributeur de réseaux. Vous pouvez accorder des attributions de rôles aux deux si vous ne pouvez pas accorder d’autorisation Owner.

Si vous utilisez votre propre table de routage ou une fonctionnalité de routage défini par l’utilisateur, vous devez également accorder à Azure Spring Apps les mêmes attributions de rôles à vos tables de routage. Pour plus d’informations, consultez la section Apporter votre propre table de routage et Contrôler le trafic de sortie pour une instance Azure Spring Apps.

Azure portal

Utilisez les étapes suivantes pour accorder des autorisations :

1. Sélectionnez le réseau virtuel azure-spring-apps-vnet que vous avez créé précédemment.

2. Sélectionnez Contrôle d’accès (IAM), puis Ajouter>Ajouter une attribution de rôle.

   

3. Attribuez le rôle Owner au Fournisseur de ressources Azure Spring Apps. Pour plus d’informations, consultez Attribuer des rôles Azure en utilisant le portail Azure.

   Remarque

   Si vous ne trouvez pas le Fournisseur de ressources Azure Spring Apps, recherchez Fournisseur de ressources Azure Spring Cloud.

   

Azure CLI

Utilisez les commandes suivantes pour accorder des autorisations :

export VIRTUAL_NETWORK_RESOURCE_ID=$(az network vnet show \
    --resource-group $RESOURCE_GROUP \
    --name $VIRTUAL_NETWORK_NAME \
    --query "id" \
    --output tsv)

az role assignment create \
    --role "Owner" \
    --scope ${VIRTUAL_NETWORK_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

L’argument --assignee représente le principal de service qu’utilise Azure Spring Apps pour interagir avec le réseau virtuel du client.

Déployer une instance Azure Spring Apps

Azure portal

Utilisez les étapes suivantes pour déployer une instance Azure Spring Apps dans le réseau virtuel :

1. Ouvrez le portail Azure.

2. Dans la zone de recherche en haut, recherchez Azure Spring Apps. Sélectionnez Azure Spring Apps dans le résultat.

3. Dans la page Azure Spring Apps, sélectionnez Ajouter.

4. Remplissez le formulaire dans la page Créer Azure Spring Apps.

5. Sélectionnez le même groupe de ressources et la même région que le réseau virtuel.

6. Pour Nom, sous Détails sur le service, sélectionnez azure-spring-apps-vnet.

7. Sélectionnez l’onglet Mise en réseau et les valeurs suivantes :

   Paramètre	Valeur
   Déployer dans votre propre réseau virtuel	Sélectionnez Oui.
   Réseau virtuel	Sélectionnez azure-spring-apps-vnet.
   Sous-réseau du runtime du service	Sélectionnez service-runtime-subnet.
   Sous-réseau des applications de microservices Spring Boot	Sélectionnez apps-subnet.

   

8. Sélectionnez Examiner et créer.

9. Vérifiez vos spécifications, puis cliquez sur Créer.

   

Azure CLI

Pour déployer une instance Azure Spring Apps dans le réseau virtuel :

Utilisez la commande suivante pour créer votre instance Azure Spring Apps en spécifiant le réseau virtuel et les sous-réseaux que vous venez de créer :

az spring create  \
    --resource-group "$RESOURCE_GROUP" \
    --name "$AZURE_SPRING_APPS_INSTANCE_NAME" \
    --vnet $VIRTUAL_NETWORK_NAME \
    --service-runtime-subnet service-runtime-subnet \
    --app-subnet apps-subnet \
    --enable-java-agent \
    --sku standard \
    --location $LOCATION

Après le déploiement, deux autres groupes de ressources sont créés dans votre abonnement afin d’héberger les ressources réseau pour l’instance Azure Spring Apps. Accédez à Accueil, puis sélectionnez Groupes de ressources dans les éléments de menu du haut pour trouver les nouveaux groupes de ressources suivants.

Le groupe de ressources nommé ap-svc-rt_{service instance name}_{service instance region} contient les ressources réseau pour le runtime de service de l’instance du service.

Le groupe de ressources nommé ap-app_{service instance name}_{service instance region} contient les ressources réseau pour vos applications Spring de l’instance du service.

Ces ressources réseau sont connectées à votre réseau virtuel créé dans l’image précédente.

Important

Les groupes de ressources sont entièrement gérés par le service Azure Spring Apps. Veillez à ne pas y supprimer ou modifier manuellement des ressources.

Utilisation de plages de sous-réseaux plus petites

Ce tableau indique le nombre maximal d’instances d’application prises en charge par Azure Spring Apps à l’aide de plages de sous-réseaux plus petites.

CIDR du sous-réseau d’application	Nombre total d’adresses IP	Adresses IP disponibles	Nombre maximal d’instances d’application
/28	16	8	Application avec 0.5 noyau : 192 Application avec un cœur : 96 Application avec deux cœurs : 48 Application avec trois cœurs : 32 Application avec quatre cœurs : 24
/27	32	24	Application avec 0.5 noyau : 456 Application avec un cœur : 228 Application avec deux cœurs : 144 Application avec trois cœurs : 96 Application avec quatre cœurs : 72
/26	64	56	Application avec 0.5 noyau : 500 Application avec un cœur : 500 Application avec deux cœurs : 336 Application avec trois cœurs : 224 Application avec quatre cœurs : 168
/25	128	120	Application avec 0.5 noyau : 500 Application avec un cœur : 500 Application avec deux cœurs : 500 Application avec trois cœurs : 480 Application avec quatre cœurs : 360
/24	256	248	Application avec 0.5 noyau : 500 Application avec un cœur : 500 Application avec deux cœurs : 500 Application avec trois cœurs : 500 Application avec quatre cœurs : 500

Pour les sous-réseaux, Azure réserve cinq adresses IP et Azure Spring Apps exige au moins trois adresses IP. Au moins huit adresses IP sont exigées, si bien que /29 et /30 ne sont pas opérationnelles.

Pour un sous-réseau du runtime du service, la taille minimale est /28.

Remarque

Une petite plage de sous-réseaux a un impact sur la ressource sous-jacente que vous pouvez utiliser pour les composants système tels que le contrôleur d’entrée. Azure Spring Apps utilise un contrôleur d’entrée sous-jacent pour traiter la gestion du trafic des applications. Le nombre d’instances de contrôleur d’entrée augmente automatiquement à mesure que le trafic des applications augmente. Réservez une plus grande plage d’adresses IP de sous-réseau de réseau virtuel au cas où le trafic des applications augmenterait. Vous réservez généralement une adresse IP pour le trafic de 10 000 requêtes par seconde.

Apporter votre propre table de routage

Azure Spring Apps prend en charge l’utilisation des sous-réseaux et des tables de routage existants.

Si vos sous-réseaux personnalisés ne contiennent pas de tables de routage, Azure Spring Apps en crée pour chacun des sous-réseaux et y ajoute des règles tout au long du cycle de vie de l’instance. Si vos sous-réseaux personnalisés contiennent des tables de routage, Azure Spring Apps reconnaît les tables de routage existantes pendant les opérations de l’instance et ajoute ou met à jour des règles en conséquence pour les opérations.

Avertissement

Des règles personnalisées peuvent être ajoutées aux tables de routage personnalisées et mises à jour. Toutefois, les règles sont ajoutées par Azure Spring Apps et elles ne doivent pas être mises à jour ni supprimées. Les règles telles que 0.0.0.0/0 doivent toujours exister sur une table de route donnée et être mappées à la cible de votre passerelle Internet, telle qu’une appliance virtuelle réseau ou une autre passerelle de sortie. Lors de la mise à jour des règles, soyez prudent si seules vos règles personnalisées sont modifiées.

Spécifications des tables de routage

Les tables de routage auxquelles votre réseau virtuel personnalisé est associé doivent remplir les conditions suivantes :

• Vous pouvez associer vos tables de routage Azure à votre réseau virtuel uniquement lorsque vous créez une nouvelle instance de service Azure Spring Apps. Vous ne pouvez pas changer et utiliser une autre table de routage après la création de l’instance Azure Spring Apps.
• Le sous-réseau d’applications Spring et le sous-réseau du runtime du service doivent être associés à des tables de route différentes ou à aucune d’entre elles.
• Les autorisations doivent être attribuées avant la création de l’instance. Veillez à accorder au Fournisseur de ressources Azure Spring Apps l’autorisation Owner (ou les autorisations User Access Administrator et Network Contributor) dans vos tables de routage.
• Vous ne pouvez pas mettre à jour la ressource de table de route associée après la création du cluster. Vous ne pouvez pas mettre à jour la ressource de table de routage, mais vous pouvez par contre modifier les règles personnalisées sur la table de routage.
• Vous ne pouvez pas réutiliser une table de routage avec plusieurs instances en raison de règles d’acheminement pouvant entrer en conflit.

Utilisation des serveurs DNS personnalisés

Azure Spring Apps prend en charge l’utilisation de serveurs DNS personnalisés dans votre réseau virtuel.

Si vous ne spécifiez pas de serveurs DNS personnalisés dans votre paramètre Réseau virtuel de serveur DNS, Azure Spring Apps utilise par défaut Azure DNS pour résoudre les adresses IP. Si votre réseau virtuel est configuré avec des paramètres DNS personnalisés, ajoutez l’adresse IP Azure DNS 168.63.129.16 en tant que serveur DNS en amont dans le serveur DNS personnalisé. Azure DNS peut résoudre les adresses IP pour tous les noms de domaine complets publics mentionnés dans Responsabilités du client pour l’exécution d’Azure Spring Apps dans un réseau virtuel. Il peut également résoudre l’adresse IP pour *.svc.private.azuremicroservices.io dans votre réseau virtuel.

Si votre serveur DNS personnalisé ne peut pas ajouter l’adresse IP Azure DNS 168.63.129.16 en tant que serveur DNS en amont, suivez ces étapes :

• Vérifiez que votre serveur DNS personnalisé peut résoudre les adresses IP pour tous les noms de domaine complets publics. Pour plus d’informations, consultez Responsabilités du client pour l’exécution d’Azure Spring Apps dans un réseau virtuel.
• Ajoutez l’enregistrement DNS *.svc.private.azuremicroservices.io à l’adresse IP de votre application. Pour plus d’informations, consultez la section Trouver l’adresse IP de votre application dans Accéder à une application dans Azure Spring Apps dans un réseau virtuel.

Étapes suivantes

• Résolution des problèmes Azure Spring Apps dans un réseau virtuel
• Responsabilités du client pour l’exécution d’Azure Spring Apps dans un réseau virtuel