Verantwoordelijkheden van klanten voor Azure Spring Apps Standard-verbruik en toegewezen abonnement in een virtueel netwerk
Notitie
De Basic-, Standard- en Enterprise-abonnementen worden afgeschaft vanaf medio maart 2025, met een pensioenperiode van 3 jaar. We raden u aan om over te stappen naar Azure Container Apps. Zie de aankondiging over buitengebruikstelling van Azure Spring Apps voor meer informatie.
Het standaardverbruik en het speciale abonnement worden vanaf 30 september 2024 afgeschaft, met een volledige afsluiting na zes maanden. We raden u aan om over te stappen naar Azure Container Apps. Zie Azure Spring Apps Standard-verbruik en toegewezen abonnement migreren naar Azure Container Apps voor meer informatie.
Dit artikel is van toepassing op: ✔️ Standaardverbruik en toegewezen (preview) ❌ Basic/Standard ❌ Enterprise
In dit artikel worden de verantwoordelijkheden van de klant beschreven voor het uitvoeren van een Azure Spring Apps Standard-verbruiks- en toegewezen planservice-exemplaar in een virtueel netwerk.
Gebruik netwerkbeveiligingsgroepen (NSG's) om virtuele netwerken te configureren om te voldoen aan de instellingen die door Kubernetes zijn vereist.
Als u al het inkomende en uitgaande verkeer voor de Azure Container Apps-omgeving wilt beheren, kunt u NSG's gebruiken om een netwerk te vergrendelen met meer beperkende regels dan de standaard NSG-regels.
NSG-regels toestaan
In de volgende tabellen wordt beschreven hoe u een verzameling NSG-regels voor toestaan configureert.
Notitie
Voor het subnet dat is gekoppeld aan een Azure Container Apps-omgeving is een CIDR-voorvoegsel van /23 of groter vereist.
Uitgaand met ServiceTags
| Protocol | Port | ServiceTag | Beschrijving |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
Vereist voor een interne AKS-beveiligde verbinding (Azure Kubernetes Service) tussen onderliggende knooppunten en het besturingsvlak. Vervang door <region> de regio waar uw container-app is geïmplementeerd. |
| TCP | 9000 |
AzureCloud.<region> |
Vereist voor een interne beveiligde AKS-verbinding tussen onderliggende knooppunten en het besturingsvlak. Vervang door <region> de regio waar uw container-app is geïmplementeerd. |
| TCP | 443 |
AzureMonitor |
Hiermee staat u uitgaande aanroepen naar Azure Monitor toe. |
| TCP | 443 |
Azure Container Registry |
Hiermee schakelt u Azure Container Registry in zoals beschreven in service-eindpunten voor virtuele netwerken. |
| TCP | 443 |
MicrosoftContainerRegistry |
De servicetag voor containerregister voor Microsoft-containers. |
| TCP | 443 |
AzureFrontDoor.FirstParty |
Een afhankelijkheid van de MicrosoftContainerRegistry servicetag. |
| TCP | 443, 445 |
Azure Files |
Hiermee schakelt u Azure Storage in zoals beschreven in service-eindpunten voor virtuele netwerken. |
Uitgaand met IP-regels voor jokertekens
| Protocol | Port | IP | Beschrijving |
|---|---|---|---|
| TCP | 443 |
* | Stel al het uitgaande verkeer op de poort 443 in om alle FQDN's (Fully Qualified Domain Name) op basis van uitgaande afhankelijkheden toe te staan die geen statisch IP-adres hebben. |
| UDP | 123 |
* | NTP-server. |
| TCP | 5671 |
* | Container Apps-besturingsvlak. |
| TCP | 5672 |
* | Container Apps-besturingsvlak. |
| Alle | * | Adresruimte van infrastructuursubnet | Communicatie tussen IP-adressen in het infrastructuursubnet toestaan. Dit adres wordt doorgegeven als parameter wanneer u bijvoorbeeld een omgeving 10.0.0.0/21maakt. |
Uitgaand met FQDN-vereisten/toepassingsregels
| Protocol | Port | FQDN | Beschrijving |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
MCR-opslag ondersteund door het Azure Content Delivery Network (CDN). |
| TCP | 443 |
*.data.mcr.microsoft.com |
MCR-opslag die wordt ondersteund door azure CDN. |
Uitgaand met FQDN voor prestatiebeheer van toepassingen van derden (optioneel)
| Protocol | Port | FQDN | Beschrijving |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
De vereiste netwerken van APM-agents (New Relic Application and Performance Monitoring) uit de Regio VS. Zie APM Agents Networks. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
De vereiste netwerken van New Relic APM-agenten uit de EU-regio. Zie APM Agents Networks. |
| TCP | 443 |
*.live.dynatrace.com |
Het vereiste netwerk van Dynatrace APM-agents. |
| TCP | 443 |
*.live.ruxit.com |
Het vereiste netwerk van Dynatrace APM-agents. |
| TCP | 443/80 |
*.saas.appdynamics.com |
Het vereiste netwerk van AppDynamics APM-agents. Zie SaaS-domeinen en IP-bereiken. |
Overwegingen
- Als u HTTP-servers gebruikt, moet u mogelijk poorten
80toevoegen en443. - Het toevoegen van regels voor weigeren voor sommige poorten en protocollen met een lagere prioriteit dan
65000kan leiden tot serviceonderbreking en onverwacht gedrag.