仮想ネットワークでの Azure Spring Apps の実行に関するお客様の責任
Note
Azure Spring Apps は、Azure Spring Cloud サービスの新しい名前です。 サービスの名前は新しくなりましたが、スクリーンショット、ビデオ、図などの資産の更新に取り組んでいる間、場所によってはしばらく古い名前が表示されます。
この記事の適用対象: ✔️ Basic または Standard ✔️ Enterprise
この記事には、仮想ネットワークで Azure Spring Apps を使用するための仕様が含まれています。
仮想ネットワークにデプロイする場合、Azure Spring Apps には、仮想ネットワークの外部にあるサービスへの送信依存関係があります。 管理と運用上の目的から、Azure Spring Apps は特定のポートと完全修飾ドメイン名 (FQDN) にアクセスする必要があります。 Azure Spring Apps では、管理プレーンとの通信、およびコア Kubernetes クラスター コンポーネントとセキュリティ更新プログラムのダウンロードとインストールに、これらのエンドポイントが必要です。
既定で、Azure Spring Apps は、送信 (エグレス) インターネット アクセスが無制限です。 このレベルのネットワーク アクセスでは、実行しているアプリケーションから必要に応じて外部リソースにアクセスできます。 エグレス トラフィックを制限する場合は、メンテナンス タスクに対して、アクセスできるポートとアドレスの数を制限する必要があります。 送信アドレスをセキュリティで保護する最も簡単なソリューションは、ドメイン名に基づいて送信トラフィックを制御できるファイアウォール デバイスを使用することです。 たとえば、Azure Firewall では、送信先の FQDN に基づいて HTTP と HTTPS の送信トラフィックを制限できます。 また、適切なファイアウォール規則とセキュリティ規則を構成し、これらの必要なポートとアドレスを許可することができます。
Azure Spring Apps のリソース要件
以下の一覧は、Azure Spring Apps サービスのリソース要件をまとめたものです。 一般的な要件として、Azure Spring Apps によって作成されたリソース グループおよび基になるネットワーク リソースを変更することはできません。
- Azure Spring Apps によって作成および所有されているリソース グループは変更しないでください。
- 既定では、これらのリソース グループには
ap-svc-rt_<service-instance-name>_<region>*とap_<service-instance-name>_<region>*という名前が付けられています。 - Azure Spring Apps で、これらのリソース グループ内のリソースの更新をブロックしないでください。
- 既定では、これらのリソース グループには
- Azure Spring Apps で使用されるサブネットは変更しないでください。
- 同じサブネット内に複数の Azure Spring Apps サービス インスタンスを作成しないでください。
- ファイアウォールを使用してトラフィックを制御する場合は、サービス インスタンスを運用、保守、およびサポートする Azure Spring Apps コンポーネントへの次のエグレス トラフィックをブロックしないでください。
Azure Global に必要なネットワーク規則
| 送信先エンドポイント | Port | 用途 | Note |
|---|---|---|---|
| *:443 またはServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps サービスの管理。 | サービス インスタンス requiredTraffics の詳細については、「networkProfile」セクションのリソース ペイロードを参照してください。 |
| *.azurecr.io:443 またはServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry。 | Azure Container Registry仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。 |
| *.core.windows.net:443 および *.core.windows.net:445 またはServiceTag - Storage:443 および Storage:445 | TCP:443、TCP:445 | Azure Files | Azure Storage仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。 |
| *.servicebus.windows.net:443 またはServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs。 | Azure Event Hubs仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。 |
| *.prod.microsoftmetrics.com:443 "または" ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor。 | Azure Monitor へのアウトバウンド呼び出しを許可します。 |
Azure Global に必要な FQDN とアプリケーションの規則
Azure Firewall には、次の構成を簡略化するために FQDN タグ AzureKubernetesService が用意されています。
| 送信先 FQDN | Port | 用途 |
|---|---|---|
| *.azmk8s.io | HTTPS: 443 | 基になる Kubernetes クラスターの管理。 |
| mcr.microsoft.com | HTTPS: 443 | Microsoft Container Registry (MCR)。 |
| *.data.mcr.microsoft.com | HTTPS: 443 | Azure CDN によってサポートされる MCR ストレージ。 |
| management.azure.com | HTTPS: 443 | 基になる Kubernetes クラスターの管理。 |
| login.microsoftonline.com | HTTPS: 443 | Microsoft Entra 認証。 |
| packages.microsoft.com | HTTPS: 443 | Microsoft パッケージ リポジトリ。 |
| acs-mirror.azureedge.net | HTTPS: 443 | kubenet や Azure CNI などの必要なバイナリをインストールするために必要なリポジトリ。 |
21Vianet によって運営される Microsoft Azure で必要なネットワーク規則
| 送信先エンドポイント | Port | 用途 | Note |
|---|---|---|---|
| *:443 またはServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps サービスの管理。 | サービス インスタンス requiredTraffics の詳細については、「networkProfile」セクションのリソース ペイロードを参照してください。 |
| *.azurecr.cn:443 "または" ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry。 | Azure Container Registry仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。 |
| *.core.chinacloudapi.cn:443 および *.core.chinacloudapi.cn:445 "または" ServiceTag - Storage:443 および Storage:445 | TCP:443、TCP:445 | Azure Files | Azure Storage仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。 |
| *.servicebus.chinacloudapi.cn:443 "or" ServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs。 | Azure Event Hubs仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。 |
| *.prod.microsoftmetrics.com:443 "または" ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor。 | Azure Monitor へのアウトバウンド呼び出しを許可します。 |
21Vianet によって運営される Microsoft Azure で必要な FQDN とアプリケーションの規則
Azure Firewall には、次の構成を簡略化するために FQDN タグ AzureKubernetesService が用意されています。
| 送信先 FQDN | Port | 用途 |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS: 443 | 基になる Kubernetes クラスターの管理。 |
| mcr.microsoft.com | HTTPS: 443 | Microsoft Container Registry (MCR)。 |
| *.data.mcr.microsoft.com | HTTPS: 443 | Azure CDN によってサポートされる MCR ストレージ。 |
| management.chinacloudapi.cn | HTTPS: 443 | 基になる Kubernetes クラスターの管理。 |
| login.chinacloudapi.cn | HTTPS: 443 | Microsoft Entra 認証。 |
| packages.microsoft.com | HTTPS: 443 | Microsoft パッケージ リポジトリ。 |
| *.azk8s.cn | HTTPS: 443 | kubenet や Azure CNI などの必要なバイナリをインストールするために必要なリポジトリ。 |
サードパーティ製アプリケーションのパフォーマンス管理に使用される Azure Spring Apps の省略可能な FQDN
| 送信先 FQDN | Port | 用途 |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | 米国リージョンの New Relic APM エージェントの必須ネットワーク。APM エージェント ネットワークに関する記事も参照してください。 |
| collector*.eu01.nr-data.net | TCP:443/80 | EU リージョンの New Relic APM エージェントの必須ネットワーク。APM エージェント ネットワークに関する記事も参照してください。 |
| *.live.dynatrace.com | TCP:443 | Dynatrace APM エージェントの必須ネットワーク。 |
| *.live.ruxit.com | TCP:443 | Dynatrace APM エージェントの必須ネットワーク。 |
| *.saas.appdynamics.com | TCP:443/80 | AppDynamics APM エージェントのネットワークが必要です。詳細については、SaaS ドメインおよび IP 範囲に関するページも参照してください。 |
Application Insights 用の Azure Spring Apps 省略可能 FQDN
Application Insights SDK や Application Insights エージェントがポータルにデータを送信できるように、サーバーのファイアウォールでいくつかの送信ポートを開く必要があります。 詳細については、「Azure Monitor で使用される IP アドレス」の「送信ポート」セクションを参照してください。