Verantwoordelijkheden van de klant voor het uitvoeren van Azure Spring Apps in een virtueel netwerk
Notitie
De Basic-, Standard- en Enterprise-abonnementen worden afgeschaft vanaf medio maart 2025, met een pensioenperiode van 3 jaar. We raden u aan om over te stappen naar Azure Container Apps. Zie de aankondiging over buitengebruikstelling van Azure Spring Apps voor meer informatie.
Het standaardverbruik en het speciale abonnement worden vanaf 30 september 2024 afgeschaft, met een volledige afsluiting na zes maanden. We raden u aan om over te stappen naar Azure Container Apps. Zie Azure Spring Apps Standard-verbruik en toegewezen abonnement migreren naar Azure Container Apps voor meer informatie.
Dit artikel is van toepassing op: ✔️ Basic/Standard ✔️ Enterprise
Dit artikel bevat specificaties voor het gebruik van Azure Spring Apps in een virtueel netwerk.
Wanneer Azure Spring Apps wordt geïmplementeerd in uw virtuele netwerk, heeft het uitgaande afhankelijkheden van services buiten het virtuele netwerk. Voor beheer- en operationele doeleinden moet Azure Spring Apps toegang hebben tot bepaalde poorten en FQDN's (Fully Qualified Domain Names). Voor Azure Spring Apps moeten deze eindpunten communiceren met het beheervlak en kernonderdelen van Kubernetes-clusters en beveiligingsupdates downloaden en installeren.
Standaard heeft Azure Spring Apps onbeperkte uitgaande internettoegang (uitgaand verkeer). Met dit netwerktoegangsniveau kunnen toepassingen die u uitvoert, toegang krijgen tot externe resources, indien nodig. Als u uitgaand verkeer wilt beperken, moet een beperkt aantal poorten en adressen toegankelijk zijn voor onderhoudstaken. De eenvoudigste oplossing voor het beveiligen van uitgaande adressen is het gebruik van een firewallapparaat dat uitgaand verkeer kan beheren op basis van domeinnamen. Azure Firewall kan bijvoorbeeld uitgaand HTTP- en HTTPS-verkeer beperken op basis van de FQDN van de bestemming. U kunt ook uw voorkeursfirewall en beveiligingsregels configureren om deze vereiste poorten en adressen toe te staan.
Resourcevereisten voor Azure Spring Apps
De volgende lijst bevat de resourcevereisten voor Azure Spring Apps-services. Als algemene vereiste moet u geen resourcegroepen wijzigen die zijn gemaakt door Azure Spring Apps en de onderliggende netwerkresources.
- Wijzig geen resourcegroepen die zijn gemaakt en eigendom zijn van Azure Spring Apps.
- Deze resourcegroepen hebben standaard de naam
ap-svc-rt_<service-instance-name>_<region>*enap_<service-instance-name>_<region>*. - Voorkom dat Azure Spring Apps resources in deze resourcegroepen bijwerkt.
- Deze resourcegroepen hebben standaard de naam
- Wijzig geen subnetten die worden gebruikt door Azure Spring Apps.
- Maak niet meer dan één Azure Spring Apps-service-exemplaar in hetzelfde subnet.
- Wanneer u een firewall gebruikt om verkeer te beheren, blokkeert u het volgende uitgaand verkeer niet naar Azure Spring Apps-onderdelen die het service-exemplaar gebruiken, onderhouden en ondersteunen.
Vereiste netwerkregels voor Azure Global
| Doeleindpunt | Poort | Gebruik | Notitie |
|---|---|---|---|
| *:443 of ServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps Service Management. | Zie de nettolading van de resource onder de networkProfile sectie voor meer informatie over het service-exemplaarrequiredTraffics. |
| *.azurecr.io:443 of ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Kan worden vervangen door het Azure Container Registry-service-eindpunt in het virtuele netwerk in te schakelen. |
| *.core.windows.net:443 en *.core.windows.net:445 of ServiceTag - Storage:443 en Storage:445 | TCP:443, TCP:445 | Azure Files | Kan worden vervangen door het Azure Storage-service-eindpunt in het virtuele netwerk in te schakelen. |
| *.servicebus.windows.net:443 of ServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs. | Kan worden vervangen door het Azure Event Hubs-service-eindpunt in het virtuele netwerk in te schakelen. |
| *.prod.microsoftmetrics.com:443 of ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Hiermee staat u uitgaande aanroepen naar Azure Monitor toe. |
Vereiste FQDN/toepassingsregels voor Azure Global
Azure Firewall biedt de FQDN-tag AzureKubernetesService om de volgende configuraties te vereenvoudigen:
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Onderliggend Kubernetes-clusterbeheer. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | MCR-opslag die wordt ondersteund door azure CDN. |
| management.azure.com | HTTPS:443 | Onderliggend Kubernetes-clusterbeheer. |
| login.microsoftonline.com | HTTPS:443 | Microsoft Entra-verificatie. |
| packages.microsoft.com | HTTPS:443 | Opslagplaats voor Microsoft-pakketten. |
| acs-mirror.azureedge.net | HTTPS:443 | Opslagplaats vereist voor het installeren van vereiste binaire bestanden, zoals kubenet en Azure CNI. |
Microsoft Azure beheerd door 21Vianet vereiste netwerkregels
| Doeleindpunt | Poort | Gebruik | Notitie |
|---|---|---|---|
| *:443 of ServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps Service Management. | Zie de nettolading van de resource onder de networkProfile sectie voor meer informatie over het service-exemplaarrequiredTraffics. |
| *.azurecr.cn:443 of ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Kan worden vervangen door het Azure Container Registry-service-eindpunt in het virtuele netwerk in te schakelen. |
| *.core.chinacloudapi.cn:443 en *.core.chinacloudapi.cn:445 of ServiceTag - Storage:443 en Storage:445 | TCP:443, TCP:445 | Azure Files | Kan worden vervangen door het Azure Storage-service-eindpunt in het virtuele netwerk in te schakelen. |
| *.servicebus.chinacloudapi.cn:443 of ServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs. | Kan worden vervangen door het Azure Event Hubs-service-eindpunt in het virtuele netwerk in te schakelen. |
| *.prod.microsoftmetrics.com:443 of ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Hiermee staat u uitgaande aanroepen naar Azure Monitor toe. |
Microsoft Azure beheerd door 21Vianet vereiste FQDN/toepassingsregels
Azure Firewall biedt de FQDN-tag AzureKubernetesService om de volgende configuraties te vereenvoudigen:
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Onderliggend Kubernetes-clusterbeheer. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | MCR-opslag die wordt ondersteund door azure CDN. |
| management.chinacloudapi.cn | HTTPS:443 | Onderliggend Kubernetes-clusterbeheer. |
| login.chinacloudapi.cn | HTTPS:443 | Microsoft Entra-verificatie. |
| packages.microsoft.com | HTTPS:443 | Opslagplaats voor Microsoft-pakketten. |
| *.azk8s.cn | HTTPS:443 | Opslagplaats vereist voor het installeren van vereiste binaire bestanden, zoals kubenet en Azure CNI. |
Optionele FQDN van Azure Spring Apps voor prestatiebeheer van toepassingen van derden
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | Vereiste netwerken van New Relic APM-agents uit de Amerikaanse regio, zie ook APM Agents Networks. |
| collector*.eu01.nr-data.net | TCP:443/80 | Vereiste netwerken van New Relic APM-agents uit de EU-regio, zie ook APM Agents Networks. |
| *.live.dynatrace.com | TCP:443 | Vereist netwerk van Dynatrace APM-agents. |
| *.live.ruxit.com | TCP:443 | Vereist netwerk van Dynatrace APM-agents. |
| *.saas.appdynamics.com | TCP:443/80 | Vereist netwerk van AppDynamics APM-agents, zie ook SaaS-domeinen en IP-bereiken. |
Optionele FQDN van Azure Spring Apps voor Application Insights
U moet enkele uitgaande poorten in de firewall van uw server openen om de Application Insights SDK of de Application Insights-agent toe te staan gegevens naar de portal te verzenden. Zie de sectie Uitgaande poorten van IP-adressen die worden gebruikt door Azure Monitor voor meer informatie.