Az Azure Spring Apps VNET-ben való futtatásával kapcsolatos ügyfélfeladatok

Megjegyzés

Az Azure Spring Apps az Azure Spring Cloud szolgáltatás új neve. Bár a szolgáltatásnak új neve van, a régi nevet néhány helyen egy darabig látni fogja, miközben folyamatosan frissítjük az adategységeket, például a képernyőképeket, videókat és diagramokat.

Ez a cikk a következőre vonatkozik: ✔️ Alapszintű/Standard szintű ✔️ Vállalati szint

Ez a cikk az Azure Spring Apps virtuális hálózaton való használatára vonatkozó specifikációkat tartalmazza.

Amikor az Azure Spring Apps üzembe van helyezve a virtuális hálózaton, kimenő függőségekkel rendelkezik a virtuális hálózaton kívüli szolgáltatásoktól. Felügyeleti és üzemeltetési célokból az Azure Spring Appsnek bizonyos portokhoz és teljes tartománynevekhez (FQDN-ekhez) kell hozzáférnie. Az Azure Spring Apps megköveteli, hogy ezek a végpontok kommunikáljanak a felügyeleti síkkal, és letöltsék és telepítsenek alapvető Kubernetes-fürtösszetevőket és biztonsági frissítéseket.

Alapértelmezés szerint az Azure Spring Apps korlátlan kimenő (kimenő) internet-hozzáféréssel rendelkezik. A hálózati hozzáférés ezen szintje lehetővé teszi, hogy a futtatott alkalmazások szükség szerint hozzáférjenek a külső erőforrásokhoz. Ha korlátozni szeretné a kimenő forgalmat, korlátozott számú portnak és címnek elérhetőnek kell lennie a karbantartási feladatokhoz. A kimenő címek biztonságossá tételének legegyszerűbb megoldása egy olyan tűzfaleszköz használata, amely tartománynevek alapján képes szabályozni a kimenő forgalmat. Azure Firewall például korlátozhatja a kimenő HTTP- és HTTPS-forgalmat a cél teljes tartományneve alapján. Az előnyben részesített tűzfalat és biztonsági szabályokat úgy is konfigurálhatja, hogy engedélyezze ezeket a szükséges portokat és címeket.

Az Azure Spring Apps erőforrás-követelményei

Az alábbi lista az Azure Spring Apps-szolgáltatások erőforrás-követelményeit mutatja be. Általános követelmény, hogy ne módosítsa az Azure Spring Apps és a mögöttes hálózati erőforrások által létrehozott erőforráscsoportokat.

  • Ne módosítsa az Azure Spring Apps által létrehozott és birtokolt erőforráscsoportokat.
    • Alapértelmezés szerint ezek az erőforráscsoportok a következő néven ap-svc-rt_[SERVICE-INSTANCE-NAME]_[REGION]* vannak elnevezve: és ap_[SERVICE-INSTANCE-NAME]_[REGION]*.
    • Ne tiltsa le, hogy az Azure Spring Apps frissítse az ezekben az erőforráscsoportokban lévő erőforrásokat.
  • Ne módosítsa az Azure Spring Apps által használt alhálózatokat.
  • Ne hozzon létre egynél több Azure Spring Apps-szolgáltatáspéldányt ugyanabban az alhálózatban.
  • Ha tűzfallal vezérli a forgalmat, ne blokkolja a következő kimenő forgalmat a szolgáltatáspéldányt üzemeltető, karbantartó és támogató Azure Spring Apps-összetevők felé.

Az Azure Spring Apps hálózati követelményei

Célvégpont Port Használat Megjegyzés
*:1194 vagyServiceTag – AzureCloud:1194 UDP:1194 Mögöttes Kubernetes-fürtkezelés.
*:443 vagyServiceTag – AzureCloud:443 TCP:443 Az Azure Spring Apps szolgáltatásfelügyelete. A "requiredTraffics" szolgáltatáspéldány adatai ismertek lehetnek az erőforrás hasznos adatai között, a "networkProfile" szakaszban.
*:123 vagy ntp.ubuntu.com:123 UDP:123 NTP-időszinkronizálás Linux-csomópontokon.
*.azurecr.io:443 vagyServiceTag – AzureContainerRegistry:443 TCP:443 Azure Container Registry. Lecserélhető Azure Container Registryszolgáltatás-végpont engedélyezésével a virtuális hálózaton.
*.core.windows.net:443 és *.core.windows.net:445 vagyServiceTag – Storage:443 és Storage:445 TCP:443, TCP:445 Azure Files Az Azure Storageszolgáltatásvégpont virtuális hálózaton való engedélyezésével helyettesíthető.
*.servicebus.windows.net:443 vagyServiceTag – EventHub:443 TCP:443 Azure Event Hubs. A virtuálishálózaton Azure Event Hubs szolgáltatásvégpont engedélyezésével helyettesíthető.

Az Azure Spring Apps FQDN-követelményei/alkalmazásszabályai

Azure Firewall biztosítja az AzureKubernetesService FQDN-címkét a következő konfigurációk egyszerűsítéséhez:

Cél teljes tartománynév Port Használat
*.azmk8s.io HTTPS:443 Mögöttes Kubernetes-fürtkezelés.
mcr.microsoft.com HTTPS:443 Microsoft Container Registry (MCR).
*.cdn.mscr.io HTTPS:443 AZ Azure CDN által támogatott MCR-tároló.
*.data.mcr.microsoft.com HTTPS:443 AZ Azure CDN által támogatott MCR-tároló.
management.azure.com HTTPS:443 Mögöttes Kubernetes-fürtkezelés.
*login.microsoftonline.com HTTPS:443 Azure Active Directory-hitelesítés.
*login.microsoft.com HTTPS:443 Azure Active Directory-hitelesítés.
packages.microsoft.com HTTPS:443 Microsoft packages repository.
acs-mirror.azureedge.net HTTPS:443 A szükséges bináris fájlok, például a Kubenet és az Azure CNI telepítéséhez szükséges adattár.
mscrl.microsoft.com1 HTTPS:80 A Microsoft tanúsítványláncának szükséges elérési útjai.
crl.microsoft.com1 HTTPS:80 A Microsoft tanúsítványláncának szükséges elérési útjai.
crl3.digicert.com1 HTTPS:80 Külső TLS-/SSL-tanúsítványláncok elérési útjai.

1 Vegye figyelembe, hogy ezek a teljes tartománynevek nem szerepelnek a teljes tartománynév címkéjében.

Azure Spring Apps – opcionális teljes tartománynév harmadik féltől származó alkalmazások teljesítménykezeléséhez

Cél teljes tartománynév Port Használat
gyűjtő*.newrelic.com TCP:443/80 A New Relic APM-ügynökök szükséges hálózatai az USA-régióból, lásd az APM-ügynökök hálózatait is.
gyűjtő*.eu01.nr-data.net TCP:443/80 A New Relic APM-ügynökök szükséges hálózatai az EU-régióból, lásd az APM-ügynökök hálózatait is.
*.live.dynatrace.com TCP:443 Dynatrace APM-ügynökök szükséges hálózata.
*.live.ruxit.com TCP:443 Dynatrace APM-ügynökök szükséges hálózata.
*.saas.appdynamics.com TCP:443/80 Az AppDynamics APM-ügynökök szükséges hálózata, lásd még : SaaS-tartományok és IP-tartományok.

Következő lépések