Verantwoordelijkheden van klanten voor Azure Spring Apps Standard-verbruik en toegewezen abonnement in een virtueel netwerk
Notitie
Azure Spring Apps is de nieuwe naam voor de Azure Spring Cloud-service. Hoewel de service een nieuwe naam heeft, ziet u de oude naam op sommige plaatsen terwijl we werken aan het bijwerken van assets, zoals schermopnamen, video's en diagrammen.
Dit artikel is van toepassing op: ✔️ Standaardverbruik en toegewezen (preview) ❌ Basic/Standard ❌ Enterprise
In dit artikel worden de verantwoordelijkheden van de klant beschreven voor het uitvoeren van een Azure Spring Apps Standard-verbruiks- en toegewezen planservice-exemplaar in een virtueel netwerk.
Gebruik netwerkbeveiligingsgroepen (NSG's) om virtuele netwerken te configureren om te voldoen aan de instellingen die door Kubernetes zijn vereist.
Als u al het inkomende en uitgaande verkeer voor de Azure Container Apps-omgeving wilt beheren, kunt u NSG's gebruiken om een netwerk te vergrendelen met meer beperkende regels dan de standaard NSG-regels.
NSG-regels toestaan
In de volgende tabellen wordt beschreven hoe u een verzameling NSG-regels voor toestaan configureert.
Notitie
Voor het subnet dat is gekoppeld aan een Azure Container Apps-omgeving is een CIDR-voorvoegsel van /23
of groter vereist.
Uitgaand met ServiceTags
Protocol | Port | ServiceTag | Beschrijving |
---|---|---|---|
UDP | 1194 |
AzureCloud.<region> |
Vereist voor een interne AKS-beveiligde verbinding (Azure Kubernetes Service) tussen onderliggende knooppunten en het besturingsvlak. Vervang door <region> de regio waar uw container-app is geïmplementeerd. |
TCP | 9000 |
AzureCloud.<region> |
Vereist voor een interne beveiligde AKS-verbinding tussen onderliggende knooppunten en het besturingsvlak. Vervang door <region> de regio waar uw container-app is geïmplementeerd. |
TCP | 443 |
AzureMonitor |
Hiermee staat u uitgaande aanroepen naar Azure Monitor toe. |
TCP | 443 |
Azure Container Registry |
Hiermee schakelt u Azure Container Registry in zoals beschreven in service-eindpunten voor virtuele netwerken. |
TCP | 443 |
MicrosoftContainerRegistry |
De servicetag voor containerregister voor Microsoft-containers. |
TCP | 443 |
AzureFrontDoor.FirstParty |
Een afhankelijkheid van de MicrosoftContainerRegistry servicetag. |
TCP | 443 , 445 |
Azure Files |
Hiermee schakelt u Azure Storage in zoals beschreven in service-eindpunten voor virtuele netwerken. |
Uitgaand met IP-regels voor jokertekens
Protocol | Port | IP | Beschrijving |
---|---|---|---|
TCP | 443 |
* | Stel al het uitgaande verkeer op de poort 443 in om alle FQDN's (Fully Qualified Domain Name) op basis van uitgaande afhankelijkheden toe te staan die geen statisch IP-adres hebben. |
UDP | 123 |
* | NTP-server. |
TCP | 5671 |
* | Container Apps-besturingsvlak. |
TCP | 5672 |
* | Container Apps-besturingsvlak. |
Alle | * | Adresruimte van infrastructuursubnet | Communicatie tussen IP-adressen in het infrastructuursubnet toestaan. Dit adres wordt doorgegeven als parameter wanneer u bijvoorbeeld een omgeving 10.0.0.0/21 maakt. |
Uitgaand met FQDN-vereisten/toepassingsregels
Protocol | Port | FQDN | Beschrijving |
---|---|---|---|
TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
TCP | 443 |
*.cdn.mscr.io |
MCR-opslag ondersteund door het Azure Content Delivery Network (CDN). |
TCP | 443 |
*.data.mcr.microsoft.com |
MCR-opslag die wordt ondersteund door azure CDN. |
Uitgaand met FQDN voor prestatiebeheer van toepassingen van derden (optioneel)
Protocol | Port | FQDN | Beschrijving |
---|---|---|---|
TCP | 443/80 |
collector*.newrelic.com |
De vereiste netwerken van APM-agents (New Relic Application and Performance Monitoring) uit de Regio VS. Zie APM Agents Networks. |
TCP | 443/80 |
collector*.eu01.nr-data.net |
De vereiste netwerken van New Relic APM-agenten uit de EU-regio. Zie APM Agents Networks. |
TCP | 443 |
*.live.dynatrace.com |
Het vereiste netwerk van Dynatrace APM-agents. |
TCP | 443 |
*.live.ruxit.com |
Het vereiste netwerk van Dynatrace APM-agents. |
TCP | 443/80 |
*.saas.appdynamics.com |
Het vereiste netwerk van AppDynamics APM-agents. Zie SaaS-domeinen en IP-bereiken. |
Overwegingen
- Als u HTTP-servers gebruikt, moet u mogelijk poorten
80
toevoegen en443
. - Het toevoegen van regels voor weigeren voor sommige poorten en protocollen met een lagere prioriteit dan
65000
kan leiden tot serviceonderbreking en onverwacht gedrag.