Tanggung jawab pelanggan untuk menjalankan Azure Spring Apps di jaringan virtual
Catatan
Azure Spring Apps adalah nama baru untuk layanan Azure Spring Cloud. Meskipun layanan memiliki nama baru, Anda akan melihat nama lama di beberapa tempat untuk sementara saat kami berupaya memperbarui aset seperti cuplikan layar, video, dan diagram.
Artikel ini berlaku untuk: ✔️ Basic/Standard ✔️ Enterprise
Artikel ini berisi spesifikasi untuk penggunaan Azure Spring Apps di jaringan virtual.
Saat Azure Spring Apps disebarkan di jaringan virtual Anda, Azure Spring Apps memiliki dependensi keluar pada layanan di luar jaringan virtual. Untuk tujuan manajemen dan operasional, Azure Spring Apps harus mengakses port tertentu dan nama domain (FQDN) yang sepenuhnya memenuhi syarat (FQDN). Azure Spring Apps memerlukan titik akhir ini untuk berkomunikasi dengan bidang manajemen dan untuk mengunduh, serta menginstal komponen inti kluster Kubernetes dan pembaruan keamanan.
Secara default, Azure Spring Apps memiliki akses internet keluar (egress) yang tidak terbatas. Tingkat akses jaringan ini memungkinkan aplikasi yang Anda jalankan untuk mengakses sumber daya eksternal sesuai kebutuhan. Jika Anda ingin membatasi lalu lintas keluar, alamat dan sejumlah port terbatas harus dapat diakses untuk tugas pemeliharaan. Solusi paling sederhana untuk mengamankan alamat keluar adalah penggunaan perangkat firewall yang dapat mengontrol lalu lintas keluar berdasarkan nama domain. Azure Firewall, misalnya, dapat membatasi traffic HTTP dan HTTPS keluar berdasarkan FQDN tujuan. Anda juga dapat mengonfigurasi firewall dan aturan keamanan pilihan Anda untuk mengizinkan port dan alamat yang diperlukan ini.
Persyaratan sumber daya Azure Spring Apps
Daftar berikut menunjukkan persyaratan sumber daya untuk layanan Azure Spring Apps. Sebagai persyaratan umum, Anda tidak boleh mengubah grup sumber daya yang dibuat oleh Azure Spring Apps dan sumber daya jaringan yang mendasarinya.
- Jangan ubah grup sumber daya yang dibuat dan dimiliki oleh Azure Spring Apps.
- Secara default, grup sumber daya ini diberi nama
ap-svc-rt_<service-instance-name>_<region>*danap_<service-instance-name>_<region>*. - Jangan blokir Azure Spring Apps agar dapat memperbarui sumber daya di grup sumber daya ini.
- Secara default, grup sumber daya ini diberi nama
- Jangan ubah subnet yang digunakan oleh Azure Spring Apps.
- Jangan buat lebih dari satu instans layanan Azure Spring Apps di subnet yang sama.
- Saat menggunakan firewall untuk mengontrol lalu lintas, jangan blokir lalu lintas keluar berikut ke komponen Azure Spring Apps yang mengoperasikan, memelihara, dan mendukung instans layanan.
Azure Global aturan jaringan yang diperlukan
| Titik akhir tujuan | Port | Menggunakan | Catatan |
|---|---|---|---|
| *:443 atau ServiceTag - AzureCloud:443 | TCP:443 | Manajemen Layanan Azure Spring Apps. | Untuk informasi tentang instans requiredTrafficslayanan , lihat payload sumber daya, di bawah bagian networkProfile . |
| *.azurecr.io:443 atau ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Dapat diganti dengan mengaktifkan titik akhir layanan Azure Container Registry di jaringan virtual. |
| *.core.windows.net:443 dan *.core.windows.net:445 atau ServiceTag - Storage:443 dan Storage:445 | TCP:443, TCP:445 | Azure Files | Dapat diganti dengan mengaktifkan titik akhir layanan Azure Storage di jaringan virtual. |
| *.servicebus.windows.net:443 atau ServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs. | Dapat diganti dengan mengaktifkan titik akhir layanan Azure Event Hubs di jaringan virtual. |
| *.prod.microsoftmetrics.com:443 atau ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Memungkinkan panggilan keluar ke Azure Monitor. |
Azure Global memerlukan aturan FQDN / aplikasi
Azure Firewall memberikan tag FQDN AzureKubernetesService untuk menyederhanakan konfigurasi berikut:
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Manajemen Kluster Kubernetes yang mendasarinya. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Penyimpanan MCR yang didukung oleh Azure CDN. |
| management.azure.com | HTTPS:443 | Manajemen Kluster Kubernetes yang mendasarinya. |
| login.microsoftonline.com | HTTPS:443 | Autentikasi Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositori paket Microsoft. |
| acs-mirror.azureedge.net | HTTPS:443 | Repositori diperlukan untuk menginstal biner yang diperlukan seperti kubenet dan Azure CNI. |
Microsoft Azure dioperasikan oleh 21Vianet aturan jaringan yang diperlukan
| Titik akhir tujuan | Port | Menggunakan | Catatan |
|---|---|---|---|
| *:443 atau ServiceTag - AzureCloud:443 | TCP:443 | Manajemen Layanan Azure Spring Apps. | Untuk informasi tentang instans requiredTrafficslayanan , lihat payload sumber daya, di bawah bagian networkProfile . |
| *.azurecr.cn:443 atau ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Dapat diganti dengan mengaktifkan titik akhir layanan Azure Container Registry di jaringan virtual. |
| *.core.chinacloudapi.cn:443 dan *.core.chinacloudapi.cn:445 atau ServiceTag - Storage:443 dan Storage:445 | TCP:443, TCP:445 | Azure Files | Dapat diganti dengan mengaktifkan titik akhir layanan Azure Storage di jaringan virtual. |
| *.servicebus.chinacloudapi.cn:443 atau ServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs. | Dapat diganti dengan mengaktifkan titik akhir layanan Azure Event Hubs di jaringan virtual. |
| *.prod.microsoftmetrics.com:443 atau ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Memungkinkan panggilan keluar ke Azure Monitor. |
Microsoft Azure yang dioperasikan oleh 21Vianet memerlukan aturan FQDN / aplikasi
Azure Firewall menyediakan tag AzureKubernetesService FQDN untuk menyederhanakan konfigurasi berikut:
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Manajemen Kluster Kubernetes yang mendasarinya. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Penyimpanan MCR yang didukung oleh Azure CDN. |
| management.chinacloudapi.cn | HTTPS:443 | Manajemen Kluster Kubernetes yang mendasarinya. |
| login.chinacloudapi.cn | HTTPS:443 | Autentikasi Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositori paket Microsoft. |
| *.azk8s.cn | HTTPS:443 | Repositori diperlukan untuk menginstal biner yang diperlukan seperti kubenet dan Azure CNI. |
FQDN opsional Azure Spring Apps untuk manajemen performa aplikasi pihak ketiga
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | Jaringan agen APM New Relic yang diperlukan dari wilayah AS, lihat juga Jaringan Agen APM. |
| collector*.eu01.nr-data.net | TCP:443/80 | Jaringan agen New Relic APM yang diperlukan dari wilayah Eropa, lihat juga Jaringan Agen APM. |
| *.live.dynatrace.com | TCP:443 | Jaringan agen APM Dynatrace yang diperlukan. |
| *.live.ruxit.com | TCP:443 | Jaringan agen APM Dynatrace yang diperlukan. |
| *.saas.appdynamics.com | TCP:443/80 | Jaringan agen APM AppDynamics yang diperlukan, lihat juga Domain SaaS dan Rentang IP. |
FQDN opsional Azure Spring Apps untuk Application Insights
Anda perlu membuka beberapa port keluar di firewall server Anda untuk memungkinkan Application Insights SDK atau Agen Application Insights mengirim data ke portal. Untuk informasi selengkapnya, lihat bagian Port keluar dari alamat IP yang digunakan oleh Azure Monitor.