Az Azure Spring Apps üzembe helyezése virtuális hálózaton

Feljegyzés

Az Alapszintű, a Standard és a Nagyvállalati csomag 2025. március közepétől megszűnik, 3 éves nyugdíjazási időszakkal. Javasoljuk, hogy váltson az Azure Container Appsre. További információkért lásd az Azure Spring Apps kivonási bejelentését.

A standard felhasználás és a dedikált csomag 2024. szeptember 30-tól megszűnik, hat hónap után pedig teljes leállítással. Javasoljuk, hogy váltson az Azure Container Appsre. További információ: Azure Spring Apps Standard-használat migrálása és dedikált csomag az Azure Container Appsbe.

Ez a cikk a következőre vonatkozik: ✔️ Java ✔️ C#

Ez a cikk a következőre vonatkozik:❌ Basic ✔️ Standard ✔️ Enterprise

Ez az oktatóanyag bemutatja, hogyan helyezhet üzembe Egy Azure Spring Apps-példányt a virtuális hálózaton. Ezt az üzembe helyezést VNet-injektálásnak is nevezik.

Az üzembe helyezés a következőket teszi lehetővé:

• Az Azure Spring Apps-alkalmazások és a szolgáltatás-futtatókörnyezet elkülönítése az internetről a vállalati hálózaton.
• Az Azure Spring Apps együttműködik a helyszíni adatközpontok rendszereivel vagy más virtuális hálózatok Azure-szolgáltatásaival.
• Az ügyfelek felhatalmazása az Azure Spring Apps bejövő és kimenő hálózati kommunikációjának szabályozására.

Az alábbi videó bemutatja, hogyan lehet biztonságossá tenni a Spring Boot-alkalmazásokat felügyelt virtuális hálózatok használatával.

Feljegyzés

Az Azure-beli virtuális hálózatot csak akkor választhatja ki, ha új Azure Spring Apps-szolgáltatáspéldányt hoz létre. Az Azure Spring Apps létrehozása után nem válthat másik virtuális hálózat használatára.

Előfeltételek

Regisztrálja az Azure Spring Apps-erőforrás-szolgáltatót Microsoft.AppPlatform Microsoft.ContainerService az Erőforrás-szolgáltató regisztrálása az Azure Portalon vagy a következő Azure CLI-parancs futtatásával:

az provider register --namespace Microsoft.AppPlatform
az provider register --namespace Microsoft.ContainerService

A virtuális hálózatra vonatkozó követelmények

Annak a virtuális hálózatnak, amelyre az Azure Spring Apps-példányt telepíti, meg kell felelnie az alábbi követelményeknek:

• Hely: A virtuális hálózatnak ugyanabban a helyen kell lennie, mint az Azure Spring Apps-példánynak.
• Előfizetés: A virtuális hálózatnak ugyanabban az előfizetésben kell lennie, mint az Azure Spring Apps-példány.
• Alhálózatok: A virtuális hálózatnak egy Azure Spring Apps-példányhoz dedikált két alhálózatot kell tartalmaznia:
  • Egy a szolgáltatás futtatókörnyezetéhez.
  • Egyet a Spring-alkalmazásokhoz.
  • Az alhálózatok és az Azure Spring Apps-példányok között egy-az-egyhez kapcsolat áll fenn. Minden üzembe helyezett szolgáltatáspéldányhoz használjon új alhálózatot. Minden alhálózat csak egyetlen szolgáltatáspéldányt tartalmazhat.
• Címtér: A CIDR a /28-ig blokkolja a szolgáltatás futtatókörnyezeti alhálózatát és a Spring-alkalmazások alhálózatát.
• Útvonaltábla: Alapértelmezés szerint az alhálózatokhoz nincs szükség meglévő útvonaltáblák társításához. Saját útvonaltáblát is használhat.

Az alábbi lépésekkel beállíthatja a virtuális hálózatot, hogy tartalmazza az Azure Spring Apps-példányt.

Virtuális hálózat létrehozása

Azure Portal

Ha már rendelkezik egy Azure Spring Apps-példány üzemeltetéséhez szükséges virtuális hálózatokkal, hagyja ki az 1., a 2. és a 3. lépést. A 4. lépéstől kezdve előkészítheti a virtuális hálózat alhálózatait.

1. Az Azure Portal menüjében válassza az Erőforrás létrehozása elemet. Az Azure Marketplace-en válassza a Hálózati>virtuális hálózat lehetőséget.

2. A Virtuális hálózat létrehozása párbeszédpanelen adja meg vagy válassza ki a következő adatokat:

   Beállítás	Érték
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza ki az erőforráscsoportot, vagy hozzon létre egy újat.
   Név	Adja meg az azure-spring-apps-vnetet.
   Hely	Válassza az USA keleti régiója lehetőséget.

3. Válassza a Tovább: IP-címek lehetőséget.

4. Az IPv4-címtérbe írja be a 10.1.0.0/16 értéket.

5. Válassza az Alhálózat hozzáadása lehetőséget. Ezután adja meg az alhálózat nevének service-runtime-alhálózatát, és adja meg az alhálózat címtartományának 10.1.0.0/24-ét. Ezután válassza a Hozzáadás elemet.

6. Válassza ismét az Alhálózat hozzáadása lehetőséget, majd adja meg az alhálózat nevét és alhálózati címtartományát. Írja be például az apps-alhálózatot és a 10.1.1.0/24-et. Ezután válassza a Hozzáadás elemet.

7. Válassza az Áttekintés + létrehozás lehetőséget. Hagyja a többit alapértelmezettként, és válassza a Létrehozás lehetőséget.

Azure CLI

Ha már rendelkezik egy Azure Spring Apps-példány üzemeltetésére szolgáló virtuális hálózatsal, hagyja ki az 1., 2., 3. és 4. lépést. Az 5. lépéstől kezdve előkészítheti az alhálózatokat a virtuális hálózathoz.

1. Az alábbi paranccsal definiálhatja az előfizetés, az erőforráscsoport és az Azure Spring Apps-példány változóit. A valós környezet alapján testre szabhatja az értékeket.

   export SUBSCRIPTION='<subscription-id>'
   export RESOURCE_GROUP='<resource-group-name>'
   export LOCATION='eastus'
   export AZURE_SPRING_APPS_INSTANCE_NAME='<Azure-Spring-Apps-Instance-name>'
   export VIRTUAL_NETWORK_NAME='azure-spring-apps-vnet'
   

2. Az alábbi paranccsal jelentkezzen be az Azure CLI-be, és válassza ki az aktív előfizetését.

   az login
   az account set --subscription ${SUBSCRIPTION}
   

3. Az alábbi paranccsal hozzon létre erőforráscsoportot az erőforrásokhoz:

   az group create --name $RESOURCE_GROUP --location $LOCATION
   

4. A virtuális hálózat létrehozásához használja a következő parancsot:

   az network vnet create \
       --resource-group $RESOURCE_GROUP \
       --name $VIRTUAL_NETWORK_NAME \
       --location $LOCATION \
       --address-prefix 10.1.0.0/16
   

5. A következő paranccsal hozzon létre két alhálózatot ebben a virtuális hálózatban:

   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.0.0/24 \
       --name service-runtime-subnet
   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.1.0/24 \
       --name apps-subnet
   

Szolgáltatásengedély megadása a virtuális hálózathoz

Ez a szakasz bemutatja, hogyan adhat az Azure Spring Appsnek felhasználói hozzáférési rendszergazdai és hálózati közreműködői engedélyeket a virtuális hálózaton. Ez az engedély lehetővé teszi, hogy dedikált és dinamikus szolgáltatásnevet adjon a virtuális hálózaton a további üzembe helyezéshez és karbantartáshoz.

Feljegyzés

Ha saját útvonaltáblát vagy felhasználó által meghatározott útvonalfunkciót használ, az Azure Spring Appsnek is meg kell adnia ugyanazokat a szerepkör-hozzárendeléseket az útvonaltáblákhoz. További információ: Saját útvonaltábla létrehozása és kimenő forgalom szabályozása egy Azure Spring Apps-példányhoz.

Azure Portal

Az engedély megadásához kövesse az alábbi lépéseket:

1. Válassza ki a korábban létrehozott virtuális hálózatot azure-spring-apps-vnet .

2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget, majd válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget>.

   

3. Rendelje hozzá a Network Contributor User Access Administrator szerepköröket az Azure Spring Cloud-erőforrás-szolgáltatóhoz. További információ: Azure-szerepkörök hozzárendelése a Azure Portal.

   Feljegyzés

   A szerepkör User Access Administrator a kiemelt rendszergazdai szerepkörökben van, és Network Contributor a Feladat függvény szerepköreiben van.

Azure CLI

Az engedély megadásához használja az alábbi parancsokat:

export VIRTUAL_NETWORK_RESOURCE_ID=$(az network vnet show \
    --resource-group $RESOURCE_GROUP \
    --name $VIRTUAL_NETWORK_NAME \
    --query "id" \
    --output tsv)

az role assignment create \
    --role "User Access Administrator" \
    --scope ${VIRTUAL_NETWORK_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

az role assignment create \
    --role "Network Contributor" \
    --scope ${VIRTUAL_NETWORK_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

Az --assignee argumentum azt a szolgáltatásnevet jelöli, amelyet az Azure Spring Apps használ az ügyfél virtuális hálózatával való interakcióhoz.

Azure Spring Apps-példány üzembe helyezése

Azure Portal

Az alábbi lépésekkel üzembe helyezhet egy Azure Spring Apps-példányt a virtuális hálózaton:

1. Nyissa meg az Azure Portalt.

2. A felső keresőmezőben keresse meg az Azure Spring Appst. Válassza ki az Azure Spring Appst az eredményből.

3. Az Azure Spring Apps lapon válassza a Hozzáadás lehetőséget.

4. Töltse ki az űrlapot az Azure Spring Apps Létrehozás lapján.

5. Válassza ki ugyanazt az erőforráscsoportot és régiót, mint a virtuális hálózat.

6. A Szolgáltatás részletei területen válassza az azure-spring-apps-vnet lehetőséget.

7. Válassza a Hálózatkezelés lapot, és válassza ki a következő értékeket:

   Beállítás	Érték
   Üzembe helyezés saját virtuális hálózaton	Válassza az Igen lehetőséget.
   Virtuális hálózat	Válassza ki az azure-spring-apps-vnetet.
   Szolgáltatás futtatókörnyezeti alhálózata	Válassza ki a service-runtime-alhálózatot.
   Spring Boot mikroszolgáltatás-alkalmazások alhálózata	Válassza ki az alkalmazások alhálózatát.

   

8. Válassza a Véleményezés és létrehozás lehetőséget.

9. Ellenőrizze a specifikációkat, és válassza a Létrehozás lehetőséget.

   

Azure CLI

Azure Spring Apps-példány üzembe helyezése a virtuális hálózaton:

Az alábbi paranccsal hozza létre az Azure Spring Apps-példányt, megadva a korábban létrehozott virtuális hálózatot és alhálózatokat:

az spring create  \
    --resource-group "$RESOURCE_GROUP" \
    --name "$AZURE_SPRING_APPS_INSTANCE_NAME" \
    --vnet $VIRTUAL_NETWORK_NAME \
    --service-runtime-subnet service-runtime-subnet \
    --app-subnet apps-subnet \
    --enable-java-agent \
    --sku standard \
    --location $LOCATION

Az üzembe helyezés után további két erőforráscsoport jön létre az előfizetésben az Azure Spring Apps-példány hálózati erőforrásainak üzemeltetéséhez. Lépjen a Kezdőlapra, majd válassza ki az Erőforráscsoportokat a felső menüelemek közül az alábbi új erőforráscsoportok megkereséséhez.

A névvel ap-svc-rt_{service instance name}_{service instance region} ellátott erőforráscsoport a szolgáltatáspéldány szolgáltatás-futtatókörnyezetéhez tartozó hálózati erőforrásokat tartalmazza.

A névvel ap-app_{service instance name}_{service instance region} ellátott erőforráscsoport a szolgáltatáspéldány Spring-alkalmazásaihoz tartozó hálózati erőforrásokat tartalmazza.

Ezek a hálózati erőforrások az előző képen létrehozott virtuális hálózathoz csatlakoznak.

Fontos

Az erőforráscsoportokat az Azure Spring Apps szolgáltatás teljes mértékben felügyeli. Ne törölje vagy módosítsa manuálisan a belső erőforrásokat.

Kisebb alhálózati tartományok használata

Ez a táblázat a kisebb alhálózati tartományok használatát támogató alkalmazáspéldányok maximális számát mutatja.

Alkalmazás alhálózati CIDR	Ip-címek összesen	Elérhető IP-címek	Alkalmazáspéldányok maximális száma
/28	16	8	0,5 magos alkalmazás: 192 Alkalmazás egy maggal: 96 Alkalmazás két maggal: 48 Alkalmazás három maggal: 32 Alkalmazás négy maggal: 24
/27	32	24	0,5 magos alkalmazás: 456 Alkalmazás egy maggal: 228 Alkalmazás két maggal: 144 Alkalmazás három maggal: 96 Alkalmazás négy maggal: 72
/26	64	56	0,5 magos alkalmazás: 500 Alkalmazás egy maggal: 500 Alkalmazás két maggal: 336 Alkalmazás három maggal: 224 Alkalmazás négy maggal: 168
/25	128	120	0,5 magos alkalmazás: 500 Alkalmazás egy maggal: 500 Alkalmazás két maggal: 500 Alkalmazás három maggal: 480 Alkalmazás négy maggal: 360
/24	256	248	0,5 magos alkalmazás: 500 Alkalmazás egy maggal: 500 Alkalmazás két maggal: 500 Alkalmazás három maggal: 500 Alkalmazás négy maggal: 500

Az alhálózatok esetében az Azure öt IP-címet foglal le, az Azure Spring Apps pedig legalább három IP-címet igényel. Legalább nyolc IP-cím szükséges, ezért a /29 és a /30 nem működik.

Szolgáltatás futtatókörnyezeti alhálózat esetén a minimális méret /28.

Feljegyzés

Egy kis alhálózati tartomány hatással van a rendszerösszetevőkhöz, például a bejövőforgalom-vezérlőhöz használható mögöttes erőforrásra. Az Azure Spring Apps egy mögöttes bejövőforgalom-vezérlőt használ az alkalmazásforgalom-kezelés kezeléséhez. Az alkalmazásforgalom növekedésével a bejövőforgalom-vezérlőpéldányok száma automatikusan nő. Foglaljon le egy nagyobb virtuális hálózati alhálózati IP-tartományt, ha az alkalmazásforgalom a jövőben növekedni fog. Általában egy IP-címet foglal le másodpercenként 10000 kérelem forgalmához.

Saját útvonaltábla létrehozása

Az Azure Spring Apps támogatja a meglévő alhálózatok és útvonaltáblák használatát.

Ha az egyéni alhálózatok nem tartalmaznak útvonaltáblákat, az Azure Spring Apps minden alhálózathoz létrehozza őket, és a példány teljes életciklusa során szabályokat ad hozzájuk. Ha az egyéni alhálózatok útvonaltáblákat tartalmaznak, az Azure Spring Apps nyugtázza a meglévő útvonaltáblákat a példányműveletek során, és ennek megfelelően adja hozzá/frissíti és/vagy szabályozza a műveleteket.

Figyelmeztetés

Az egyéni szabályok hozzáadhatók az egyéni útvonaltáblákhoz, és frissíthetők. Az Azure Spring Apps azonban hozzáadja a szabályokat, és ezeket nem lehet frissíteni vagy eltávolítani. Az olyan szabályoknak, mint a 0.0.0.0/0, mindig létezniük kell egy adott útvonaltáblán, és le kell képezniük az internetes átjáró célját, például egy NVA-t vagy más kimenő átjárót. A szabályok frissítésekor körültekintően járjon el, ha csak az egyéni szabályok módosulnak.

Útvonaltábla követelményei

Az egyéni virtuális hálózathoz társított útvonaltábláknak meg kell felelniük az alábbi követelményeknek:

• Az Azure-útvonaltáblákat csak akkor társíthatja a virtuális hálózathoz, ha új Azure Spring Apps-szolgáltatáspéldányt hoz létre. Az Azure Spring Apps-példány létrehozása után nem válthat másik útvonaltáblára.
• A Spring-alkalmazás alhálózatának és a szolgáltatás futtatókörnyezeti alhálózatának is különböző útvonaltáblákkal kell társítania, vagy egyiket sem.
• A példány létrehozása előtt engedélyeket kell hozzárendelni. Mindenképpen adja meg az Azure Spring Cloud-erőforrás-szolgáltatónak az User Access Administrator útvonaltáblákra vonatkozó engedélyeket és Network Contributor engedélyeket.
• A társított útvonaltábla-erőforrás nem frissíthető a fürt létrehozása után. Bár nem tudja frissíteni az útvonaltábla-erőforrást, módosíthatja az útvonaltábla egyéni szabályait.
• A lehetséges ütköző útválasztási szabályok miatt nem használhat újra több példányt tartalmazó útvonaltáblát.

Egyéni DNS-kiszolgálók használata

Az Azure Spring Apps támogatja az egyéni DNS-kiszolgálók használatát a virtuális hálózaton.

Ha nem ad meg egyéni DNS-kiszolgálókat a DNS-kiszolgáló virtuális hálózatának beállításában, az Azure Spring Apps alapértelmezés szerint az Azure DNS használatával oldja fel az IP-címeket. Ha a virtuális hálózat egyéni DNS-beállításokkal van konfigurálva, adja hozzá az Azure DNS IP-címet 168.63.129.16 az egyéni DNS-kiszolgáló felsőbb rétegbeli DNS-kiszolgálójaként. Az Azure DNS képes feloldani az Azure Spring Apps virtuális hálózaton futó ügyfél-felelősségi körökben említett összes nyilvános teljes tartománynév IP-címét. A virtuális hálózat IP-címét *.svc.private.azuremicroservices.io is feloldhatja.

Ha az egyéni DNS-kiszolgáló nem tudja hozzáadni az Azure DNS-IP-címet 168.63.129.16 a felsőbb rétegbeli DNS-kiszolgálóként, kövesse az alábbi lépéseket:

• Győződjön meg arról, hogy az egyéni DNS-kiszolgáló képes feloldani az összes nyilvános teljes TARTOMÁNY IP-címét. További információt az Azure Spring Apps virtuális hálózaton történő futtatásával kapcsolatos ügyfél-felelősségi körökben talál.
• Adja hozzá a DNS-rekordot *.svc.private.azuremicroservices.io az alkalmazás IP-címéhez. További információkért tekintse meg az Alkalmazás hozzáférése alkalmazás ip-címének megkeresése szakaszt az Azure Spring Appsben egy virtuális hálózaton.

Következő lépések

• Az Azure Spring Apps hibaelhárítása virtuális hálózatokban
• Az Azure Spring Apps virtuális hálózaton való futtatásával kapcsolatos ügyfélfeladatok