Tanggung jawab pelanggan untuk konsumsi Azure Spring Apps Standard dan paket khusus dalam jaringan virtual
Catatan
Azure Spring Apps adalah nama baru untuk layanan Azure Spring Cloud. Meskipun layanan memiliki nama baru, Anda akan melihat nama lama di beberapa tempat untuk sementara saat kami berupaya memperbarui aset seperti cuplikan layar, video, dan diagram.
Artikel ini berlaku untuk: ✔️ Konsumsi standar dan khusus (Pratinjau) ❌ Basic/Standard ❌ Enterprise
Artikel ini menjelaskan tanggung jawab pelanggan untuk menjalankan konsumsi Azure Spring Apps Standard dan instans layanan paket khusus dalam jaringan virtual.
Gunakan Kelompok Keamanan Jaringan (NSG) untuk mengonfigurasi jaringan virtual agar sesuai dengan pengaturan yang diperlukan oleh Kubernetes.
Untuk mengontrol semua lalu lintas masuk dan keluar untuk lingkungan Azure Container Apps, Anda dapat menggunakan NSG untuk mengunci jaringan dengan aturan yang lebih ketat daripada aturan NSG default.
Aturan izinkan NSG
Tabel berikut ini menjelaskan cara mengonfigurasi set aturan izinkan NSG.
Catatan
Subnet yang terkait dengan lingkungan Azure Container Apps memerlukan awalan CIDR atau lebih /23 besar.
Keluar dengan ServiceTags
| Protokol | Port | ServiceTag | Deskripsi |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
Diperlukan untuk koneksi aman Azure Kubernetes Service (AKS) internal antara simpul yang mendasar dan sarana kontrol. Ganti <region> dengan wilayah tempat aplikasi penampung Anda disebarkan. |
| TCP | 9000 |
AzureCloud.<region> |
Diperlukan untuk koneksi aman AKS internal antara simpul yang mendasar dan sarana kontrol. Ganti <region> dengan wilayah tempat aplikasi penampung Anda disebarkan. |
| TCP | 443 |
AzureMonitor |
Memungkinkan panggilan keluar ke Azure Monitor. |
| TCP | 443 |
Azure Container Registry |
Mengaktifkan Azure Container Registry seperti yang dijelaskan dalam Titik akhir layanan jaringan virtual. |
| TCP | 443 |
MicrosoftContainerRegistry |
Tag layanan untuk registri kontainer untuk kontainer Microsoft. |
| TCP | 443 |
AzureFrontDoor.FirstParty |
Dependensi MicrosoftContainerRegistry tag layanan. |
| TCP | 443, 445 |
Azure Files |
Mengaktifkan Azure Storage seperti yang dijelaskan dalam Titik akhir layanan jaringan virtual. |
Keluar dengan aturan IP wild card
| Protokol | Port | IP | Deskripsi |
|---|---|---|---|
| TCP | 443 |
* | Atur semua lalu lintas keluar pada port 443 untuk memungkinkan semua dependensi keluar berbasis nama domain yang sepenuhnya memenuhi syarat (FQDN) yang tidak memiliki IP statis. |
| UDP | 123 |
* | Server NTP. |
| TCP | 5671 |
* | Sarana kontrol Container Apps. |
| TCP | 5672 |
* | Sarana kontrol Container Apps. |
| Mana pun | * | Ruang alamat subnet infrastruktur | Izinkan komunikasi antara IP di subnet infrastruktur. Alamat ini diteruskan sebagai parameter saat Anda membuat lingkungan - misalnya, 10.0.0.0/21. |
Keluar dengan persyaratan FQDN/aturan aplikasi
| Protokol | Port | FQDN | Deskripsi |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
Penyimpanan MCR yang didukung oleh Azure Content Delivery Network (CDN). |
| TCP | 443 |
*.data.mcr.microsoft.com |
Penyimpanan MCR yang didukung oleh Azure CDN. |
Keluar dengan FQDN untuk manajemen performa aplikasi pihak ketiga (opsional)
| Protokol | Port | FQDN | Deskripsi |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
Jaringan yang diperlukan dari agen aplikasi New Relic dan pemantauan performa (APM) dari wilayah AS. Lihat Jaringan Agen APM. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
Jaringan agen New Relic APM yang diperlukan dari wilayah UE. Lihat Jaringan Agen APM. |
| TCP | 443 |
*.live.dynatrace.com |
Jaringan agen APM Dynatrace yang diperlukan. |
| TCP | 443 |
*.live.ruxit.com |
Jaringan agen APM Dynatrace yang diperlukan. |
| TCP | 443/80 |
*.saas.appdynamics.com |
Jaringan agen AppDynamics APM yang diperlukan. Lihat Domain SaaS dan Rentang IP. |
Pertimbangan
- Jika Anda menjalankan server HTTP, Anda mungkin perlu menambahkan port
80dan443. - Menambahkan aturan tolak untuk beberapa port dan protokol dengan prioritas yang lebih rendah daripada
65000dapat menyebabkan gangguan layanan dan perilaku yang tidak terduga.