Az Azure Spring Apps virtuális hálózaton való futtatásával kapcsolatos ügyfélfeladatok
Feljegyzés
Az Alapszintű, a Standard és a Nagyvállalati csomag 2025. március közepétől megszűnik, 3 éves nyugdíjazási időszakkal. Javasoljuk, hogy váltson az Azure Container Appsre. További információkért lásd az Azure Spring Apps kivonási bejelentését.
A standard felhasználás és a dedikált csomag 2024. szeptember 30-tól megszűnik, hat hónap után pedig teljes leállítással. Javasoljuk, hogy váltson az Azure Container Appsre. További információ: Azure Spring Apps Standard-használat migrálása és dedikált csomag az Azure Container Appsbe.
Ez a cikk a következőre vonatkozik: ✔️ Basic/Standard ✔️ Enterprise
Ez a cikk az Azure Spring Apps virtuális hálózaton való használatára vonatkozó specifikációkat tartalmazza.
Amikor az Azure Spring Apps üzembe van helyezve a virtuális hálózaton, kimenő függőségei vannak a virtuális hálózaton kívüli szolgáltatásoktól. Felügyeleti és üzemeltetési célokból az Azure Spring Appsnek bizonyos portokhoz és teljes tartománynevekhez (FQDN-ekhez) kell hozzáférnie. Az Azure Spring Apps megköveteli, hogy ezek a végpontok kommunikáljanak a felügyeleti síkkal, valamint töltse le és telepítse az alapvető Kubernetes-fürtösszetevőket és biztonsági frissítéseket.
Alapértelmezés szerint az Azure Spring Apps korlátlan kimenő (kimenő) internetkapcsolattal rendelkezik. A hálózati hozzáférés ezen szintje lehetővé teszi, hogy a futtatott alkalmazások szükség szerint hozzáférjenek a külső erőforrásokhoz. Ha korlátozni szeretné a kimenő forgalmat, korlátozott számú portnak és címnek kell elérhetőnek lennie a karbantartási feladatokhoz. A kimenő címek védelmének legegyszerűbb megoldása egy olyan tűzfaleszköz használata, amely tartománynevek alapján képes szabályozni a kimenő forgalmat. Az Azure Firewall például korlátozhatja a kimenő HTTP- és HTTPS-forgalmat a cél teljes tartományneve alapján. Az előnyben részesített tűzfalat és biztonsági szabályokat úgy is konfigurálhatja, hogy engedélyezze ezeket a szükséges portokat és címeket.
Az Azure Spring Apps erőforráskövetelményei
Az alábbi lista az Azure Spring Apps-szolgáltatások erőforrás-követelményeit mutatja be. Általános követelmény, hogy ne módosítsa az Azure Spring Apps és a mögöttes hálózati erőforrások által létrehozott erőforráscsoportokat.
- Ne módosítsa az Azure Spring Apps által létrehozott és birtokolt erőforráscsoportokat.
- Alapértelmezés szerint ezek az erőforráscsoportok el vannak nevezve
ap-svc-rt_<service-instance-name>_<region>*ésap_<service-instance-name>_<region>*. - Ne tiltsa le, hogy az Azure Spring Apps frissítse az erőforrásokat ezekben az erőforráscsoportokban.
- Alapértelmezés szerint ezek az erőforráscsoportok el vannak nevezve
- Ne módosítsa az Azure Spring Apps által használt alhálózatokat.
- Ne hozzon létre több Azure Spring Apps-szolgáltatáspéldányt ugyanabban az alhálózatban.
- Ha tűzfalat használ a forgalom szabályozására, ne tiltsa le a következő kimenő forgalmat a szolgáltatáspéldányt üzemeltető, karbantartó és támogató Azure Spring Apps-összetevők felé.
Az Azure Globalhoz szükséges hálózati szabályok
| Célvégpont | Kikötő | Használat | Feljegyzés |
|---|---|---|---|
| *:443 vagy ServiceTag – AzureCloud:443 | TCP:443 | Azure Spring Apps Service Management. | A szolgáltatáspéldánysal requiredTrafficskapcsolatos információkért tekintse meg az erőforrás hasznos adatait a networkProfile szakaszban. |
| *.azurecr.io:443 vagy ServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Lecserélhető az Azure Container Registry szolgáltatásvégpontjának engedélyezésével a virtuális hálózaton. |
| *.core.windows.net:443 és *.core.windows.net:445 vagy ServiceTag – Storage:443 és Storage:445 | TCP:443, TCP:445 | Azure Files | Lecserélhető az Azure Storage szolgáltatásvégpontjának engedélyezésével a virtuális hálózaton. |
| *.servicebus.windows.net:443 vagy ServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Helyettesíthető az Azure Event Hubs szolgáltatásvégpontjának engedélyezésével a virtuális hálózaton. |
| *.prod.microsoftmetrics.com:443 vagy ServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor. | Engedélyezi a kimenő hívásokat az Azure Monitorba. |
Az Azure Global kötelező teljes tartománynevét/alkalmazásszabályát
Az Azure Firewall az AzureKubernetesService teljes tartománynévcímkét biztosítja a következő konfigurációk egyszerűsítése érdekében:
| Cél teljes tartománynév | Kikötő | Használat |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Mögöttes Kubernetes-fürtkezelés. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | AZ Azure CDN által támogatott MCR-tároló. |
| management.azure.com | HTTPS:443 | Mögöttes Kubernetes-fürtkezelés. |
| login.microsoftonline.com | HTTPS:443 | Microsoft Entra-hitelesítés. |
| packages.microsoft.com | HTTPS:443 | Microsoft Packages-adattár. |
| acs-mirror.azureedge.net | HTTPS:443 | A szükséges bináris fájlok, például a Kubenet és az Azure CNI telepítéséhez szükséges adattár. |
A 21Vianet által üzemeltetett Microsoft Azure szükséges hálózati szabályok
| Célvégpont | Kikötő | Használat | Feljegyzés |
|---|---|---|---|
| *:443 vagy ServiceTag – AzureCloud:443 | TCP:443 | Azure Spring Apps Service Management. | A szolgáltatáspéldánysal requiredTrafficskapcsolatos információkért tekintse meg az erőforrás hasznos adatait a networkProfile szakaszban. |
| *.azurecr.cn:443 vagy ServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Lecserélhető az Azure Container Registry szolgáltatásvégpontjának engedélyezésével a virtuális hálózaton. |
| *.core.chinacloudapi.cn:443 és *.core.chinacloudapi.cn:445 vagy ServiceTag – Storage:443 és Storage:445 | TCP:443, TCP:445 | Azure Files | Lecserélhető az Azure Storage szolgáltatásvégpontjának engedélyezésével a virtuális hálózaton. |
| *.servicebus.chinacloudapi.cn:443 vagy ServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Helyettesíthető az Azure Event Hubs szolgáltatásvégpontjának engedélyezésével a virtuális hálózaton. |
| *.prod.microsoftmetrics.com:443 vagy ServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor. | Engedélyezi a kimenő hívásokat az Azure Monitorba. |
A 21Vianet által üzemeltetett Microsoft Azure kötelező teljes tartományneveket és alkalmazásszabályokat
Az Azure Firewall az FQDN-címkét AzureKubernetesService biztosítja a következő konfigurációk egyszerűsítése érdekében:
| Cél teljes tartománynév | Kikötő | Használat |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Mögöttes Kubernetes-fürtkezelés. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | AZ Azure CDN által támogatott MCR-tároló. |
| management.chinacloudapi.cn | HTTPS:443 | Mögöttes Kubernetes-fürtkezelés. |
| login.chinacloudapi.cn | HTTPS:443 | Microsoft Entra-hitelesítés. |
| packages.microsoft.com | HTTPS:443 | Microsoft Packages-adattár. |
| *.azk8s.cn | HTTPS:443 | A szükséges bináris fájlok, például a Kubenet és az Azure CNI telepítéséhez szükséges adattár. |
Azure Spring Apps – opcionális teljes tartománynév harmadik féltől származó alkalmazások teljesítménykezeléséhez
| Cél teljes tartománynév | Kikötő | Használat |
|---|---|---|
| gyűjtő*.newrelic.com | TCP:443/80 | Az Usa régiójából származó Új Relic APM-ügynökök szükséges hálózatai, lásd az APM-ügynökök hálózatait is. |
| collector*.eu01.nr-data.net | TCP:443/80 | Az eu-régióból származó Új Relic APM-ügynökök szükséges hálózatai, lásd az APM-ügynökök hálózatait is. |
| *.live.dynatrace.com | TCP:443 | A Dynatrace APM-ügynökök szükséges hálózata. |
| *.live.ruxit.com | TCP:443 | A Dynatrace APM-ügynökök szükséges hálózata. |
| *.saas.appdynamics.com | TCP:443/80 | Az AppDynamics APM-ügynökök szükséges hálózata, lásd még az SaaS-tartományok és AZ IP-tartományok című témakört. |
Azure Spring Apps – opcionális teljes tartománynév az Application Insightshoz
Meg kell nyitnia néhány kimenő portot a kiszolgáló tűzfalán, hogy az Application Insights SDK vagy az Application Insights-ügynök adatokat küldjön a portálra. További információ: Az Azure Monitor által használt IP-címek kimenő portok szakasza.