Responsabilità dei clienti per l'utilizzo standard di Azure Spring Apps e il piano dedicato in una rete virtuale
Nota
Azure Spring Apps è il nuovo nome del servizio Azure Spring Cloud. Anche se il servizio ha un nuovo nome, il nome precedente verrà visualizzato in alcune posizioni per un po' mentre si lavora per aggiornare gli asset, ad esempio screenshot, video e diagrammi.
Questo articolo si applica a: ✔️ Utilizzo standard e dedicato (anteprima) ❌ Basic/Standard ❌ Enterprise
Questo articolo descrive le responsabilità dei clienti per l'esecuzione di un'istanza di servizio del piano standard e del consumo di Azure Spring Apps Standard in una rete virtuale.
Usare i gruppi di sicurezza di rete (NSG) per configurare le reti virtuali in modo che siano conformi alle impostazioni richieste da Kubernetes.
Per controllare tutto il traffico in ingresso e in uscita per l'ambiente App Contenitore di Azure, è possibile usare i gruppi di sicurezza di rete per bloccare una rete con regole più restrittive rispetto alle regole predefinite del gruppo di sicurezza di rete.
Regole di autorizzazione del gruppo di sicurezza di rete
Le tabelle seguenti descrivono come configurare una raccolta di regole di autorizzazione dei gruppi di sicurezza di rete.
Nota
La subnet associata a un ambiente app Azure Container richiede un prefisso CIDR maggiore /23
o superiore.
In uscita con ServiceTags
Protocollo | Port | ServiceTag | Descrizione |
---|---|---|---|
UDP | 1194 |
AzureCloud.<region> |
Obbligatorio per la connessione sicura servizio Azure Kubernetes interna (servizio Azure Kubernetes) tra i nodi sottostanti e il piano di controllo. Sostituire <region> con l'area in cui viene distribuita l'app contenitore. |
TCP | 9000 |
AzureCloud.<region> |
Obbligatorio per la connessione sicura del servizio Azure Kubernetes interno tra i nodi sottostanti e il piano di controllo. Sostituire <region> con l'area in cui viene distribuita l'app contenitore. |
TCP | 443 |
AzureMonitor |
Consente chiamate in uscita a Monitoraggio di Azure. |
TCP | 443 |
Azure Container Registry |
Abilita il Registro Azure Container come descritto in Endpoint servizio di rete virtuale. |
TCP | 443 |
MicrosoftContainerRegistry |
Tag del servizio per il registro contenitori per i contenitori Microsoft. |
TCP | 443 |
AzureFrontDoor.FirstParty |
Dipendenza del tag del MicrosoftContainerRegistry servizio. |
TCP | 443 , 445 |
Azure Files |
Abilita Archiviazione di Azure come descritto in Endpoint servizio di rete virtuale. |
In uscita con regole IP con caratteri jolly
Protocollo | Port | IP | Descrizione |
---|---|---|---|
TCP | 443 |
* | Impostare tutto il traffico in uscita sulla porta 443 per consentire tutte le dipendenze in uscita basate su nome di dominio completo (FQDN) che non dispongono di un indirizzo IP statico. |
UDP | 123 |
* | Server NTP. |
TCP | 5671 |
* | Piano di controllo app contenitore. |
TCP | 5672 |
* | Piano di controllo app contenitore. |
Any | * | Spazio indirizzi subnet dell'infrastruttura | Consentire la comunicazione tra indirizzi IP nella subnet dell'infrastruttura. Questo indirizzo viene passato come parametro quando si crea un ambiente, 10.0.0.0/21 ad esempio . |
In uscita con requisiti FQDN/regole dell'applicazione
Protocollo | Port | FQDN | Descrizione |
---|---|---|---|
TCP | 443 |
mcr.microsoft.com |
Registro Contenitori Microsoft (MCR). |
TCP | 443 |
*.cdn.mscr.io |
Archiviazione MCR supportata dal rete per la distribuzione di contenuti di Azure (rete CDN). |
TCP | 443 |
*.data.mcr.microsoft.com |
Archiviazione MCR supportata dal Rete CDN di Azure. |
In uscita con FQDN per la gestione delle prestazioni delle applicazioni di terze parti (facoltativo)
Protocollo | Port | FQDN | Descrizione |
---|---|---|---|
TCP | 443/80 |
collector*.newrelic.com |
Le reti necessarie degli agenti di monitoraggio delle prestazioni e dell'applicazione New Relic dall'area degli Stati Uniti. Vedere Reti agenti APM. |
TCP | 443/80 |
collector*.eu01.nr-data.net |
Le reti necessarie degli agenti di New Relic APM provenienti dall'area dell'UE. Vedere Reti agenti APM. |
TCP | 443 |
*.live.dynatrace.com |
Rete necessaria degli agenti Dynatrace APM. |
TCP | 443 |
*.live.ruxit.com |
Rete necessaria degli agenti Dynatrace APM. |
TCP | 443/80 |
*.saas.appdynamics.com |
Rete necessaria degli agenti APM di AppDynamics. Vedere Domini SaaS e intervalli IP. |
Considerazioni
- Se si eseguono server HTTP, potrebbe essere necessario aggiungere porte
80
e443
. - Aggiunta di regole di negazione per alcune porte e protocolli con priorità inferiore a quella che
65000
può causare interruzioni del servizio e comportamento imprevisto.