Obowiązki klienta dotyczące użycia usługi Azure Spring Apps w warstwie Standardowa i dedykowanego planu w sieci wirtualnej
Uwaga
Azure Spring Apps to nowa nazwa usługi Azure Spring Cloud. Mimo że usługa ma nową nazwę, stara nazwa będzie widoczna w niektórych miejscach przez pewien czas, ponieważ pracujemy nad aktualizowaniem zasobów, takich jak zrzuty ekranu, filmy wideo i diagramy.
Ten artykuł dotyczy: ✔️ Użycie standardowe i dedykowane (wersja zapoznawcza) ❌ w warstwie Podstawowa/Standardowa ❌ Enterprise
W tym artykule opisano obowiązki klienta dotyczące uruchamiania wystąpienia usługi Azure Spring Apps Standard i dedykowanego planu w sieci wirtualnej.
Użyj sieciowych grup zabezpieczeń, aby skonfigurować sieci wirtualne tak, aby były zgodne z ustawieniami wymaganymi przez platformę Kubernetes.
Aby kontrolować cały ruch przychodzący i wychodzący dla środowiska usługi Azure Container Apps, można użyć sieciowych grup zabezpieczeń, aby zablokować sieć z bardziej restrykcyjnymi regułami niż domyślne reguły sieciowej grupy zabezpieczeń.
Reguły zezwalania sieciowej grupy zabezpieczeń
W poniższych tabelach opisano sposób konfigurowania kolekcji reguł zezwalania sieciowej grupy zabezpieczeń.
Uwaga
Podsieć skojarzona ze środowiskiem usługi Azure Container Apps wymaga prefiksu CIDR lub większego /23 .
Ruch wychodzący z tagami usługi
Ruch wychodzący z regułami adresów IP z symbolami wieloznacznymi
| Protokół | Port | Adres IP | opis |
|---|---|---|---|
| TCP | 443 |
* | Ustaw cały ruch wychodzący na porcie 443 , aby zezwolić na wszystkie w pełni kwalifikowane nazwy domeny (FQDN) na podstawie zależności wychodzących, które nie mają statycznego adresu IP. |
| UDP | 123 |
* | Serwer NTP. |
| TCP | 5671 |
* | Płaszczyzna sterowania usługi Container Apps. |
| TCP | 5672 |
* | Płaszczyzna sterowania usługi Container Apps. |
| Dowolne | * | Przestrzeń adresowa podsieci infrastruktury | Zezwalaj na komunikację między adresami IP w podsieci infrastruktury. Ten adres jest przekazywany jako parametr podczas tworzenia środowiska — na przykład 10.0.0.0/21. |
Ruch wychodzący z wymaganiami dotyczącymi nazwy FQDN/regułami aplikacji
| Protokół | Port | Nazwa FQDN | opis |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
Magazyn MCR wspierany przez usługę Azure Content Delivery Network (CDN). |
| TCP | 443 |
*.data.mcr.microsoft.com |
Magazyn MCR wspierany przez usługę Azure CDN. |
Ruch wychodzący z nazwą FQDN na potrzeby zarządzania wydajnością aplikacji innych firm (opcjonalnie)
| Protokół | Port | Nazwa FQDN | opis |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
Wymagane sieci agentów aplikacji New Relic i monitorowania wydajności (APM) z regionu USA. Zobacz Sieci agentów APM. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
Wymagane sieci nowych agentów APM Relic z regionu UE. Zobacz Sieci agentów APM. |
| TCP | 443 |
*.live.dynatrace.com |
Wymagana sieć agentów Dynatrace APM. |
| TCP | 443 |
*.live.ruxit.com |
Wymagana sieć agentów Dynatrace APM. |
| TCP | 443/80 |
*.saas.appdynamics.com |
Wymagana sieć agentów APM AppDynamics. Zobacz Domeny SaaS i zakresy adresów IP. |
Kwestie wymagające rozważenia
- Jeśli używasz serwerów HTTP, może być konieczne dodanie portów
80i443. - Dodanie reguł odmowy dla niektórych portów i protokołów o niższym priorytetycie niż
65000może spowodować przerwy w działaniu usługi i nieoczekiwane zachowanie.