Menyebarkan Azure Spring Apps di jaringan virtual

Note

Paket Basic, Standard, dan Enterprise memasuki periode pensiun pada 17 Maret 2025. Untuk informasi selengkapnya, lihat pengumuman penghentian Azure Spring Apps.

Artikel ini berlaku untuk:✅ Java ✅ C#

Artikel ini berlaku untuk: ❎ Basic ✅ Standard ✅ Enterprise

Tutorial ini menjelaskan cara menyebarkan instans Azure Spring Apps di jaringan virtual Anda. Penyebaran ini terkadang disebut injeksi VNet.

Penyebaran memungkinkan:

• Isolasi aplikasi Azure Spring Apps dan runtime layanan dari internet di jaringan perusahaan Anda.
• Interaksi Azure Spring Apps dengan sistem di pusat data lokal atau layanan Azure di jaringan virtual lainnya.
• Pemberdayaan pelanggan untuk mengontrol komunikasi jaringan masuk dan keluar untuk Azure Spring Apps.

Video berikut menjelaskan cara mengamankan aplikasi Spring Boot menggunakan jaringan virtual terkelola.

Note

Anda hanya dapat memilih jaringan virtual Azure saat membuat instans layanan Azure Spring Apps baru. Anda tidak dapat mengubah untuk menggunakan jaringan virtual lain setelah Azure Spring Apps dibuat.

Prerequisites

Daftarkan penyedia Microsoft.AppPlatform sumber daya Azure Spring Apps dan Microsoft.ContainerService sesuai dengan instruksi di Mendaftarkan penyedia sumber daya di portal Microsoft Azure atau dengan menjalankan perintah Azure CLI berikut:

az provider register --namespace Microsoft.AppPlatform
az provider register --namespace Microsoft.ContainerService

Persyaratan jaringan virtual

Jaringan virtual tempat Anda menyebarkan instans Azure Spring Apps harus memenuhi persyaratan berikut:

• Lokasi: Jaringan virtual harus berada di lokasi yang sama dengan instans Azure Spring Apps.
• Langganan: Jaringan virtual harus berada dalam langganan yang sama dengan instans Azure Spring Apps.
• Subnet: Jaringan virtual harus menyertakan dua subnet yang didedikasikan untuk instans Azure Spring Apps:
  • Satu untuk runtime layanan.
  • Satu untuk aplikasi Spring Anda.
  • Ada hubungan satu-ke-satu antara subnet ini dan instans Azure Spring Apps. Gunakan subnet baru untuk setiap instans layanan yang Anda sebarkan. Setiap subnet hanya dapat menyertakan satu instans layanan.
• Ruang alamat: CIDR memblokir hingga /28 untuk subnet runtime layanan dan subnet aplikasi Spring.
• Tabel rute: Secara default subnet tidak memerlukan tabel rute yang ada yang terkait. Anda dapat membawa tabel rute Anda sendiri.

Gunakan langkah-langkah berikut untuk menyiapkan jaringan virtual agar berisi instans Azure Spring Apps.

Buat jaringan virtual

Portal Microsoft Azure

Jika Anda sudah memiliki jaringan virtual untuk menghosting instans Azure Spring Apps, lewati langkah 1, 2, dan 3. Anda dapat memulai dari langkah 4 untuk menyiapkan subnet untuk jaringan virtual.

1. Pada menu portal Microsoft Azure, pilih Buat sumber daya. Dari Marketplace Azure, pilih Jaringan>Jaringan Virtual.

2. Dalam kotak dialog Buat jaringan virtual , masukkan atau pilih informasi berikut ini:

   Setting	Value
   Subscription	Pilih langganan Anda.
   Grup sumber daya	Pilih grup sumber daya Anda, atau buat yang baru.
   Name	Masukkan azure-spring-apps-vnet.
   Location	Pilih AS Timur.

3. Pilih Selanjutnya: Alamat IP.

4. Untuk ruang alamat IPv4, masukkan 10.1.0.0/16.

5. Pilih Tambahkan Subnet. Kemudian masukkan service-runtime-subnet untuk Nama subnet dan masukkan 10.1.0.0/24 untuk Rentang alamat subnet. Kemudian pilih Tambahkan.

6. Pilih Tambahkan subnet lagi, lalu masukkan nama subnet dan rentang alamat subnet. Misalnya, masukkan apps-subnet dan 10.1.1.0/24. Kemudian pilih Tambahkan.

7. Pilih Tinjau + kreasikan. Biarkan sisanya sebagai default, dan pilih Buat.

Azure CLI

Jika Anda sudah memiliki jaringan virtual untuk menghosting instans Azure Spring Apps, lewati langkah 1, 2, 3, dan 4. Anda dapat memulai dari langkah 5 untuk menyiapkan subnet untuk jaringan virtual.

1. Gunakan perintah berikut untuk menentukan variabel untuk langganan, grup sumber daya, dan instans Azure Spring Apps Anda. Sesuaikan nilai berdasarkan lingkungan Anda yang sebenarnya.

   export SUBSCRIPTION='<subscription-id>'
   export RESOURCE_GROUP='<resource-group-name>'
   export LOCATION='eastus'
   export AZURE_SPRING_APPS_INSTANCE_NAME='<Azure-Spring-Apps-Instance-name>'
   export VIRTUAL_NETWORK_NAME='azure-spring-apps-vnet'
   

2. Gunakan perintah berikut untuk masuk ke Azure CLI dan pilih langganan aktif Anda.

   az login
   az account set --subscription ${SUBSCRIPTION}
   

3. Gunakan perintah berikut untuk membuat grup sumber daya untuk sumber daya Anda:

   az group create --name $RESOURCE_GROUP --location $LOCATION
   

4. Gunakan perintah berikut untuk membuat jaringan virtual:

   az network vnet create \
       --resource-group $RESOURCE_GROUP \
       --name $VIRTUAL_NETWORK_NAME \
       --location $LOCATION \
       --address-prefix 10.1.0.0/16
   

5. Gunakan perintah berikut untuk membuat dua subnet di jaringan virtual ini:

   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.0.0/24 \
       --name service-runtime-subnet
   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.1.0/24 \
       --name apps-subnet
   

Memberikan izin layanan ke jaringan virtual

Bagian ini memperlihatkan kepada Anda cara memberi Azure Spring Apps izin Administrator Akses Pengguna dan Kontributor Jaringan di jaringan virtual Anda. Izin ini memungkinkan Anda memberikan perwakilan layanan khusus dan dinamis di jaringan virtual untuk penyebaran dan pemeliharaan lebih lanjut.

Note

Jika Anda menggunakan tabel rute Anda sendiri atau fitur rute yang ditentukan pengguna, Anda juga perlu memberi Azure Spring Apps penetapan peran yang sama ke tabel rute Anda. Untuk informasi selengkapnya, lihat bagian Bawa tabel rute Anda sendiri dan Mengontrol lalu lintas keluar untuk instans Azure Spring Apps.

Portal Microsoft Azure

Gunakan langkah-langkah berikut untuk memberikan izin:

1. Pilih jaringan azure-spring-apps-vnet virtual yang sebelumnya Anda buat.

2. Pilih Kontrol akses (IAM), lalu pilih Tambahkan>Tambahkan penetapan peran.

   

3. Tetapkan peran Kontributor Jaringan dan Administrator Akses Pengguna ke Penyedia Sumber Daya Azure Spring Cloud. Untuk informasi selengkapnya, lihat Menetapkan peran Azure menggunakan portal Microsoft Azure.

   Note

   Peran Administrator Akses Pengguna berada dalam peran Administrator istimewa dan Kontributor Jaringan berada dalam peran fungsi Pekerjaan.

Azure CLI

Gunakan perintah berikut untuk memberikan izin:

export VIRTUAL_NETWORK_RESOURCE_ID=$(az network vnet show \
    --resource-group $RESOURCE_GROUP \
    --name $VIRTUAL_NETWORK_NAME \
    --query "id" \
    --output tsv)

az role assignment create \
    --role "User Access Administrator" \
    --scope ${VIRTUAL_NETWORK_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

az role assignment create \
    --role "Network Contributor" \
    --scope ${VIRTUAL_NETWORK_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

Argumen --assignee mewakili perwakilan layanan yang digunakan Azure Spring Apps untuk berinteraksi dengan jaringan virtual pelanggan.

Menyebarkan instans Azure Spring Apps

Portal Microsoft Azure

Gunakan langkah-langkah berikut untuk menyebarkan instans Azure Spring Apps di jaringan virtual:

1. Buka portal Azure.

2. Dari kotak pencarian teratas, cari Azure Spring Apps. Pilih Azure Spring Apps dari hasil.

3. Pada halaman Azure Spring Apps , pilih Tambahkan.

4. Isi formulir di halaman Buat Azure Spring Apps.

5. Pilih grup dan wilayah sumber daya yang sama dengan jaringan virtual.

6. Untuk Nama di bawah Detail Layanan, pilih azure-spring-apps-vnet.

7. Pilih tab Jaringan , dan pilih nilai berikut:

   Setting	Value
   Menyebarkan di jaringan virtual Anda sendiri	Pilih Ya.
   Jaringan virtual	Pilih azure-spring-apps-vnet.
   Subnet runtime layanan	Pilih service-runtime-subnet.
   Subnet aplikasi layanan mikro Spring Boot	Pilih apps-subnet.

   

8. Pilih Tinjau dan buat.

9. Verifikasi spesifikasi Anda, dan pilih Buat.

   

Azure CLI

Untuk menyebarkan instans Azure Spring Apps di jaringan virtual:

Gunakan perintah berikut untuk membuat instans Azure Spring Apps Anda, menentukan jaringan virtual dan subnet yang Anda buat sebelumnya:

az spring create  \
    --resource-group "$RESOURCE_GROUP" \
    --name "$AZURE_SPRING_APPS_INSTANCE_NAME" \
    --vnet $VIRTUAL_NETWORK_NAME \
    --service-runtime-subnet service-runtime-subnet \
    --app-subnet apps-subnet \
    --enable-java-agent \
    --sku standard \
    --location $LOCATION

Setelah penyebaran, dua grup sumber daya lagi dibuat di langganan Anda untuk menghosting sumber daya jaringan untuk instans Azure Spring Apps. Buka Beranda, lalu pilih Grup sumber daya dari item menu atas untuk menemukan grup sumber daya baru berikut ini.

Grup sumber daya bernama ap-svc-rt_{nama instans layanan}_{wilayah instans layanan} berisi sumber daya jaringan untuk runtime layanan instans layanan.

Grup sumber daya bernama ap-app_{nama instans layanan}_{wilayah instans layanan} berisi sumber daya jaringan untuk aplikasi Spring instans layanan Anda.

Sumber daya jaringan tersebut terhubung ke jaringan virtual Anda yang dibuat pada gambar sebelumnya.

Important

Grup sumber daya dikelola sepenuhnya oleh layanan Azure Spring Apps. Jangan hapus atau ubah sumber daya apa pun di dalamnya secara manual.

Jika organisasi Anda menggunakan penetapan Azure Policy yang memberlakukan aturan pada grup sumber daya, Anda mungkin perlu membuat pengecualian kebijakan untuk grup sumber daya terkelola Azure Spring Apps - ap-svc-rt_* dan ap-app_*. Layanan Azure Spring Apps mengontrol grup ini, dan pembatasan kebijakan dapat mencegah layanan berfungsi dengan baik.

Selain itu, periksa apakah ada kunci sumber daya yang diterapkan ke grup ini. Kunci dapat menghentikan layanan membuat atau memperbarui sumber daya.

Anda dapat meninjau Log Aktivitas untuk grup sumber daya ini untuk menemukan operasi yang gagal atau mengakses peristiwa yang ditolak. Masalah ini mungkin disebabkan oleh pengaturan kebijakan atau kunci sumber daya.

Sebelum penyebaran, hubungi administrator Azure Anda untuk memastikan pengecualian kebijakan yang benar sudah diberlakukan dan tidak ada kunci sumber daya yang memblokir operasi normal.

Menggunakan rentang subnet yang lebih kecil

Tabel ini menunjukkan jumlah maksimum instans aplikasi yang didukung Azure Spring Apps menggunakan rentang subnet yang lebih kecil.

CIDR subnet aplikasi	TOTAL IP	IP yang Tersedia	Instans aplikasi maksimum
/28	16	8	Aplikasi dengan 0,5 core: 192 Aplikasi dengan satu inti: 96 Aplikasi dengan dua inti: 48 Aplikasi dengan tiga inti: 32 Aplikasi dengan empat inti: 24
/27	32	24	Aplikasi dengan 0,5 core: 456 Aplikasi dengan satu inti: 228 Aplikasi dengan dua inti: 144 Aplikasi dengan tiga inti: 96 Aplikasi dengan empat inti: 72
/26	64	56	Aplikasi dengan 0,5 core: 500 Aplikasi dengan satu inti: 500 Aplikasi dengan dua inti: 336 Aplikasi dengan tiga inti: 224 Aplikasi dengan empat inti: 168
/25	128	120	Aplikasi dengan 0,5 core: 500 Aplikasi dengan satu inti: 500 Aplikasi dengan dua inti: 500 Aplikasi dengan tiga inti: 480 Aplikasi dengan empat core: 360
/24	256	248	Aplikasi dengan 0,5 core: 500 Aplikasi dengan satu inti: 500 Aplikasi dengan dua inti: 500 Aplikasi dengan tiga inti: 500 Aplikasi dengan empat inti: 500

Untuk subnet, Azure mencadangkan lima alamat IP, dan Azure Spring Apps memerlukan setidaknya tiga alamat IP. Setidaknya diperlukan delapan alamat IP, jadi /29 dan /30 bersifat nonoperational.

Untuk subnet runtime layanan, ukuran minimumnya adalah /28.

Note

Rentang subnet kecil berdampak pada sumber daya yang mendasar yang dapat Anda gunakan untuk komponen sistem seperti pengontrol ingress. Azure Spring Apps menggunakan pengontrol ingress yang mendasar untuk menangani manajemen lalu lintas aplikasi. Jumlah instans pengontrol ingress secara otomatis meningkat saat lalu lintas aplikasi meningkat. Pesan rentang IP subnet jaringan virtual yang lebih besar jika lalu lintas aplikasi dapat meningkat di masa mendatang. Anda biasanya memesan satu alamat IP untuk lalu lintas 10000 permintaan per detik.

Bawa tabel rute Anda sendiri

Azure Spring Apps mendukung penggunaan subnet dan tabel rute yang ada.

Jika subnet kustom Anda tidak berisi tabel rute, Azure Spring Apps membuatnya untuk setiap subnet dan menambahkan aturan ke dalamnya sepanjang siklus hidup instans. Jika subnet kustom Anda berisi tabel rute, Azure Spring Apps mengakui tabel rute yang ada selama operasi instans dan menambahkan/memperbarui dan/atau aturan yang sesuai untuk operasi.

Warning

Aturan kustom dapat ditambahkan ke tabel rute kustom dan diperbarui. Namun, aturan ditambahkan oleh Azure Spring Apps dan ini tidak boleh diperbarui atau dihapus. Aturan seperti 0.0.0.0/0 harus selalu ada pada tabel rute tertentu dan memetakan ke target gateway internet Anda, seperti NVA atau gateway keluar lainnya. Berhati-hatilah saat memperbarui aturan saat hanya aturan kustom Anda yang sedang dimodifikasi.

Persyaratan tabel rute

Tabel rute tempat jaringan virtual kustom Anda dikaitkan harus memenuhi persyaratan berikut:

• Anda dapat mengaitkan tabel rute Azure dengan jaringan virtual hanya saat membuat instans layanan Azure Spring Apps baru. Anda tidak dapat mengubah untuk menggunakan tabel rute lain setelah membuat instans Azure Spring Apps.
• Subnet aplikasi Spring dan subnet runtime layanan harus dikaitkan dengan tabel rute yang berbeda atau tidak keduanya.
• Izin harus ditetapkan sebelum pembuatan instans. Pastikan untuk memberikan izin dan User Access Administrator kepada Penyedia Network Contributor Sumber Daya Azure Spring Cloud pada tabel rute Anda.
• Anda tidak dapat memperbarui sumber daya tabel rute terkait setelah pembuatan kluster. Meskipun Anda tidak dapat memperbarui sumber daya tabel rute, Anda dapat mengubah aturan kustom pada tabel rute.
• Anda tidak dapat menggunakan kembali tabel rute dengan beberapa instans karena potensi aturan perutean yang bertentangan.

Menggunakan Server DNS Kustom

Azure Spring Apps mendukung penggunaan server DNS kustom di jaringan virtual Anda.

Jika Anda tidak menentukan server DNS kustom di pengaturan DNS Server Virtual Network Anda, Azure Spring Apps akan, secara default, menggunakan Azure DNS untuk mengatasi alamat IP. Jika jaringan virtual Anda dikonfigurasi dengan pengaturan DNS kustom, tambahkan IP 168.63.129.16 Azure DNS sebagai server DNS upstream di server DNS kustom. Azure DNS dapat mengatasi alamat IP untuk semua FQDN publik yang disebutkan dalam Tanggung jawab pelanggan yang menjalankan Azure Spring Apps di jaringan virtual. Ini juga dapat menyelesaikan alamat IP untuk *.svc.private.azuremicroservices.io di jaringan virtual Anda.

Jika server DNS kustom Anda tidak dapat menambahkan IP 168.63.129.16 Azure DNS sebagai server DNS upstream, gunakan langkah-langkah berikut:

• Pastikan server DNS kustom Anda dapat mengatasi alamat IP untuk semua FQDN publik. Untuk informasi selengkapnya, lihat Tanggung jawab pelanggan yang menjalankan Azure Spring Apps di jaringan virtual.
• Tambahkan catatan *.svc.private.azuremicroservices.io DNS ke IP aplikasi Anda. Untuk informasi selengkapnya, lihat bagian Temukan alamat IP untuk aplikasi Andadi Mengakses aplikasi di Azure Spring Apps di jaringan virtual.

Langkah selanjutnya

• Pemecahan masalah Azure Spring Apps di jaringan virtual
• Tanggung jawab pelanggan untuk Menjalankan Azure Spring Apps dalam jaringan virtual