Wdrażanie usługi Azure Spring Apps w sieci wirtualnej

Uwaga

Azure Spring Apps to nowa nazwa usługi Azure Spring Cloud. Mimo że usługa ma nową nazwę, stara nazwa będzie widoczna w niektórych miejscach przez pewien czas, ponieważ pracujemy nad aktualizowaniem zasobów, takich jak zrzuty ekranu, filmy wideo i diagramy.

Ten artykuł dotyczy: ✔️ Java ✔️ C#

Ten artykuł dotyczy:❌ Basic ✔️ Standard ✔️ Enterprise

W tym samouczku wyjaśniono, jak wdrożyć wystąpienie usługi Azure Spring Apps w sieci wirtualnej. To wdrożenie jest czasami nazywane iniekcją sieci wirtualnej.

Wdrożenie umożliwia:

• Izolacja aplikacji i środowiska uruchomieniowego usługi Azure Spring Apps z Internetu w sieci firmowej.
• Interakcja usługi Azure Spring Apps z systemami w lokalnych centrach danych lub usługach platformy Azure w innych sieciach wirtualnych.
• Umożliwienie klientom kontrolowania przychodzącej i wychodzącej komunikacji sieciowej dla usługi Azure Spring Apps.

W poniższym wideo opisano sposób zabezpieczania aplikacji Spring Boot przy użyciu zarządzanych sieci wirtualnych.

Uwaga

Sieć wirtualną platformy Azure można wybrać tylko podczas tworzenia nowego wystąpienia usługi Azure Spring Apps. Nie można zmienić sposobu używania innej sieci wirtualnej po utworzeniu usługi Azure Spring Apps.

Wymagania wstępne

Zarejestruj dostawcę Microsoft.AppPlatform zasobów usługi Azure Spring Apps i Microsoft.ContainerService zgodnie z instrukcjami w temacie Rejestrowanie dostawcy zasobów w witrynie Azure Portal lub uruchamiając następujące polecenie interfejsu wiersza polecenia platformy Azure:

az provider register --namespace Microsoft.AppPlatform
az provider register --namespace Microsoft.ContainerService

Wymagania dotyczące sieci wirtualnej

Sieć wirtualna, do której wdrażasz wystąpienie usługi Azure Spring Apps, musi spełniać następujące wymagania:

• Lokalizacja: sieć wirtualna musi znajdować się w tej samej lokalizacji co wystąpienie usługi Azure Spring Apps.
• Subskrypcja: sieć wirtualna musi znajdować się w tej samej subskrypcji co wystąpienie usługi Azure Spring Apps.
• Podsieci: Sieć wirtualna musi zawierać dwie podsieci dedykowane dla wystąpienia usługi Azure Spring Apps:
  • Jeden dla środowiska uruchomieniowego usługi.
  • Jeden dla aplikacji Spring.
  • Istnieje relacja jeden do jednego między tymi podsieciami a wystąpieniem usługi Azure Spring Apps. Użyj nowej podsieci dla każdego wdrożonego wystąpienia usługi. Każda podsieć może zawierać tylko jedno wystąpienie usługi.
• Przestrzeń adresowa: bloki CIDR do /28 dla podsieci środowiska uruchomieniowego usługi i podsieci aplikacji Spring.
• Tabela tras: domyślnie podsieci nie potrzebują skojarzonych istniejących tabel tras. Możesz przenieść własną tabelę tras.

Wykonaj poniższe kroki, aby skonfigurować sieć wirtualną tak, aby zawierała wystąpienie usługi Azure Spring Apps.

Tworzenie sieci wirtualnej

Witryna Azure Portal

Jeśli masz już sieć wirtualną do hostowania wystąpienia usługi Azure Spring Apps, pomiń kroki 1, 2 i 3. Możesz rozpocząć od kroku 4, aby przygotować podsieci dla sieci wirtualnej.

1. W menu witryny Azure Portal wybierz pozycję Utwórz zasób. W witrynie Azure Marketplace wybierz pozycję Sieć wirtualna>.

2. W oknie dialogowym Tworzenie sieci wirtualnej wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz grupę zasobów lub utwórz nową.
   Nazwisko	Wprowadź ciąg azure-spring-apps-vnet.
   Lokalizacja	Wybierz pozycję Wschodnie stany USA.

3. Wybierz pozycję Dalej: adresy IP.

4. W obszarze adresowym IPv4 wprowadź wartość 10.1.0.0/16.

5. Wybierz pozycję Dodaj podsieć. Następnie wprowadź wartość service-runtime-subnet w polu Nazwa podsieci i wprowadź wartość 10.1.0.0/24 w polu Zakres adresów podsieci. Następnie wybierz pozycję Dodaj.

6. Ponownie wybierz pozycję Dodaj podsieć , a następnie wprowadź nazwę podsieci i zakres adresów podsieci. Na przykład wprowadź ciąg apps-subnet i 10.1.1.0/24. Następnie wybierz pozycję Dodaj.

7. Wybierz pozycję Przejrzyj i utwórz. Pozostaw pozostałe wartości domyślne i wybierz pozycję Utwórz.

Interfejs wiersza polecenia platformy Azure

Jeśli masz już sieć wirtualną do hostowania wystąpienia usługi Azure Spring Apps, pomiń kroki 1, 2, 3 i 4. Możesz rozpocząć od kroku 5, aby przygotować podsieci dla sieci wirtualnej.

1. Użyj następującego polecenia, aby zdefiniować zmienne dla subskrypcji, grupy zasobów i wystąpienia usługi Azure Spring Apps. Dostosuj wartości na podstawie rzeczywistego środowiska.

   export SUBSCRIPTION='<subscription-id>'
   export RESOURCE_GROUP='<resource-group-name>'
   export LOCATION='eastus'
   export AZURE_SPRING_APPS_INSTANCE_NAME='<Azure-Spring-Apps-Instance-name>'
   export VIRTUAL_NETWORK_NAME='azure-spring-apps-vnet'
   

2. Użyj następującego polecenia, aby zalogować się do interfejsu wiersza polecenia platformy Azure i wybrać aktywną subskrypcję.

   az login
   az account set --subscription ${SUBSCRIPTION}
   

3. Użyj następującego polecenia, aby utworzyć grupę zasobów dla zasobów:

   az group create --name $RESOURCE_GROUP --location $LOCATION
   

4. Użyj następującego polecenia, aby utworzyć sieć wirtualną:

   az network vnet create \
       --resource-group $RESOURCE_GROUP \
       --name $VIRTUAL_NETWORK_NAME \
       --location $LOCATION \
       --address-prefix 10.1.0.0/16
   

5. Użyj następującego polecenia, aby utworzyć dwie podsieci w tej sieci wirtualnej:

   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.0.0/24 \
       --name service-runtime-subnet 
   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.1.0/24 \
       --name apps-subnet 
   

Udzielanie uprawnień usługi do sieci wirtualnej

W tej sekcji pokazano, jak przyznać usłudze Azure Spring Apps uprawnienie Właściciel w sieci wirtualnej. To uprawnienie umożliwia przyznanie dedykowanej i dynamicznej jednostki usługi w sieci wirtualnej w celu dalszego wdrażania i konserwacji.

Uwaga

Minimalne wymagane uprawnienia to dostęp użytkowników Administracja istrator i współautor sieci. Możesz udzielić przypisań ról do obu tych przypisań, jeśli nie możesz udzielić Owner uprawnień.

Jeśli używasz własnej tabeli tras lub funkcji trasy zdefiniowanej przez użytkownika, musisz również przyznać usłudze Azure Spring Apps te same przypisania ról do tabel tras. Aby uzyskać więcej informacji, zobacz sekcję Bring your own route table (Używanie własnej tabeli tras) i Control egress traffic for an Azure Spring Apps instance (Kontrolowanie ruchu wychodzącego dla wystąpienia usługi Azure Spring Apps).

Witryna Azure Portal

Aby udzielić uprawnień, wykonaj następujące czynności:

1. Wybierz wcześniej utworzoną sieć azure-spring-apps-vnet wirtualną.

2. Wybierz pozycję Kontrola dostępu (zarządzanie dostępem i tożsamościami), a następnie wybierz pozycję Dodaj>przypisanie roli.

   

3. Owner Przypisz rolę do dostawcy zasobów usługi Azure Spring Apps. Aby uzyskać więcej informacji, zobacz przypisywanie ról Azure za pomocą portalu Azure.

   Uwaga

   Jeśli nie znajdziesz dostawcy zasobów usługi Azure Spring Apps, wyszukaj dostawcę zasobów usługi Azure Spring Cloud.

   

Interfejs wiersza polecenia platformy Azure

Aby udzielić uprawnień, użyj następujących poleceń:

export VIRTUAL_NETWORK_RESOURCE_ID=$(az network vnet show \
    --resource-group $RESOURCE_GROUP \
    --name $VIRTUAL_NETWORK_NAME \
    --query "id" \
    --output tsv)

az role assignment create \
    --role "Owner" \
    --scope ${VIRTUAL_NETWORK_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

Argument --assignee reprezentuje jednostkę usługi Azure Spring Apps używa do interakcji z siecią wirtualną klienta.

Wdrażanie wystąpienia usługi Azure Spring Apps

Witryna Azure Portal

Wykonaj następujące kroki, aby wdrożyć wystąpienie usługi Azure Spring Apps w sieci wirtualnej:

1. Otwórz portal Azure Portal.

2. W górnym polu wyszukiwania wyszukaj pozycję Azure Spring Apps. Wybierz pozycję Azure Spring Apps z wyniku.

3. Na stronie Azure Spring Apps wybierz pozycję Dodaj.

4. Wypełnij formularz na stronie Tworzenie usługi Azure Spring Apps.

5. Wybierz tę samą grupę zasobów i region co sieć wirtualna.

6. W polu Nazwa w obszarze Szczegóły usługi wybierz pozycję azure-spring-apps-vnet.

7. Wybierz kartę Sieć i wybierz następujące wartości:

   Ustawienie	Wartość
   Wdrażanie we własnej sieci wirtualnej	Wybierz opcję Tak.
   Sieć wirtualna	Wybierz pozycję azure-spring-apps-vnet.
   Podsieć środowiska uruchomieniowego usługi	Wybierz pozycję service-runtime-subnet.
   Podsieć aplikacji mikrousług Spring Boot	Wybierz pozycję aplikacje-podsieć.

   

8. Wybierz opcję Przejrzyj i utwórz.

9. Zweryfikuj specyfikacje i wybierz pozycję Utwórz.

   

Interfejs wiersza polecenia platformy Azure

Aby wdrożyć wystąpienie usługi Azure Spring Apps w sieci wirtualnej:

Użyj następującego polecenia, aby utworzyć wystąpienie usługi Azure Spring Apps, określając wcześniej utworzoną sieć wirtualną i podsieci:

az spring create  \
    --resource-group "$RESOURCE_GROUP" \
    --name "$AZURE_SPRING_APPS_INSTANCE_NAME" \
    --vnet $VIRTUAL_NETWORK_NAME \
    --service-runtime-subnet service-runtime-subnet \
    --app-subnet apps-subnet \
    --enable-java-agent \
    --sku standard \
    --location $LOCATION

Po wdrożeniu w ramach subskrypcji zostaną utworzone dwie kolejne grupy zasobów w celu hostowania zasobów sieciowych dla wystąpienia usługi Azure Spring Apps. Przejdź do strony głównej, a następnie wybierz pozycję Grupy zasobów w górnej części menu, aby znaleźć następujące nowe grupy zasobów.

Grupa zasobów o nazwie as ap-svc-rt_{service instance name}_{service instance region} zawiera zasoby sieciowe dla środowiska uruchomieniowego usługi wystąpienia usługi.

Grupa zasobów o nazwie as ap-app_{service instance name}_{service instance region} zawiera zasoby sieciowe dla aplikacji Spring wystąpienia usługi.

Te zasoby sieciowe są połączone z siecią wirtualną utworzoną na powyższym obrazie.

Ważne

Grupy zasobów są w pełni zarządzane przez usługę Azure Spring Apps. Nie należy ręcznie usuwać ani modyfikować żadnego zasobu wewnątrz.

Używanie mniejszych zakresów podsieci

W tej tabeli przedstawiono maksymalną liczbę wystąpień aplikacji obsługiwaną przez usługę Azure Spring Apps przy użyciu mniejszych zakresów podsieci.

CiDR podsieci aplikacji	Łączna liczba adresów IP	Dostępne adresy IP	Maksymalna liczba wystąpień aplikacji
/28	16	8	Aplikacja z 0,5 rdzeniem: 192 Aplikacja z jednym rdzeniem: 96 Aplikacja z dwoma rdzeniami: 48 Aplikacja z trzema rdzeniami: 32 Aplikacja z czterema rdzeniami: 24
/27	32	24	Aplikacja z rdzeniem 0,5: 456 Aplikacja z jednym rdzeniem: 228 Aplikacja z dwoma rdzeniami: 144 Aplikacja z trzema rdzeniami: 96 Aplikacja z czterema rdzeniami: 72
/26	64	56	Aplikacja z 0,5 rdzeniem: 500 Aplikacja z jednym rdzeniem: 500 Aplikacja z dwoma rdzeniami: 336 Aplikacja z trzema rdzeniami: 224 Aplikacja z czterema rdzeniami: 168
/25	128	120	Aplikacja z 0,5 rdzeniem: 500 Aplikacja z jednym rdzeniem: 500 Aplikacja z dwoma rdzeniami: 500 Aplikacja z trzema rdzeniami: 480 Aplikacja z czterema rdzeniami: 360
/24	256	248	Aplikacja z 0,5 rdzeniem: 500 Aplikacja z jednym rdzeniem: 500 Aplikacja z dwoma rdzeniami: 500 Aplikacja z trzema rdzeniami: 500 Aplikacja z czterema rdzeniami: 500

W przypadku podsieci platforma Azure rezerwuje pięć adresów IP, a usługa Azure Spring Apps wymaga co najmniej trzech adresów IP. Wymagane jest co najmniej osiem adresów IP, więc /29 i /30 są nieoperacyjne.

W przypadku podsieci środowiska uruchomieniowego usługi minimalny rozmiar to /28.

Uwaga

Mały zakres podsieci ma wpływ na bazowy zasób, którego można użyć w przypadku składników systemowych, takich jak kontroler ruchu przychodzącego. Usługa Azure Spring Apps używa podstawowego kontrolera ruchu przychodzącego do obsługi zarządzania ruchem aplikacji. Liczba wystąpień kontrolera ruchu przychodzącego zwiększa się automatycznie w miarę wzrostu ruchu aplikacji. Zarezerwuj większy zakres adresów IP podsieci sieci wirtualnej, jeśli ruch aplikacji może wzrosnąć w przyszłości. Zazwyczaj można zarezerwować jeden adres IP dla ruchu 10000 żądań na sekundę.

Korzystanie z własnej tabeli tras

Usługa Azure Spring Apps obsługuje używanie istniejących podsieci i tabel tras.

Jeśli podsieci niestandardowe nie zawierają tabel tras, usługa Azure Spring Apps tworzy je dla każdej z podsieci i dodaje do nich reguły w całym cyklu życia wystąpienia. Jeśli niestandardowe podsieci zawierają tabele tras, usługa Azure Spring Apps potwierdza istniejące tabele tras podczas operacji wystąpienia i dodaje/aktualizuje i/lub reguły odpowiednio dla operacji.

Ostrzeżenie

Niestandardowe reguły można dodawać do niestandardowych tabel tras i aktualizować. Reguły są jednak dodawane przez usługę Azure Spring Apps i nie można ich aktualizować ani usuwać. Reguły, takie jak 0.0.0.0/0, muszą zawsze istnieć w danej tabeli tras i mapować je na cel bramy internetowej, takie jak urządzenie WUS lub inna brama ruchu wychodzącego. Podczas aktualizowania reguł należy zachować ostrożność podczas modyfikowania tylko reguł niestandardowych.

Wymagania dotyczące tabeli tras

Tabele tras, z którymi jest skojarzona niestandardowa sieć wirtualna, muszą spełniać następujące wymagania:

• Tabele tras platformy Azure można skojarzyć z siecią wirtualną tylko podczas tworzenia nowego wystąpienia usługi Azure Spring Apps. Nie można zmienić, aby użyć innej tabeli tras po utworzeniu usługi Azure Spring Apps.
• Zarówno podsieć aplikacji Spring, jak i podsieć środowiska uruchomieniowego usługi muszą kojarzyć się z różnymi tabelami tras lub żadną z nich.
• Przed utworzeniem wystąpienia należy przypisać uprawnienia. Pamiętaj, aby przyznać dostawcy Owner zasobów usługi Azure Spring Apps uprawnienie (lub User Access AdministratorNetwork Contributor uprawnienia) w tabelach tras.
• Po utworzeniu klastra nie można zaktualizować skojarzonego zasobu tabeli tras. Chociaż nie można zaktualizować zasobu tabeli tras, możesz zmodyfikować reguły niestandardowe w tabeli tras.
• Nie można ponownie użyć tabeli tras z wieloma wystąpieniami ze względu na potencjalne konflikty reguł routingu.

Używanie niestandardowych serwerów DNS

Usługa Azure Spring Apps obsługuje używanie niestandardowych serwerów DNS w sieci wirtualnej.

Jeśli nie określisz niestandardowych serwerów DNS w ustawieniu sieci wirtualnej serwera DNS, usługa Azure Spring Apps będzie domyślnie używać usługi Azure DNS do rozpoznawania adresów IP. Jeśli sieć wirtualna jest skonfigurowana przy użyciu niestandardowych ustawień DNS, dodaj adres IP 168.63.129.16 usługi Azure DNS jako nadrzędny serwer DNS na niestandardowym serwerze DNS. Usługa Azure DNS może rozpoznawać adresy IP dla wszystkich publicznych nazw FQDN wymienionych w temacie Obowiązki klienta uruchamiającego usługę Azure Spring Apps w sieci wirtualnej. Może również rozpoznać adres IP dla *.svc.private.azuremicroservices.io sieci wirtualnej.

Jeśli niestandardowy serwer DNS nie może dodać adresu IP 168.63.129.16 usługi Azure DNS jako nadrzędnego serwera DNS, wykonaj następujące kroki:

• Upewnij się, że niestandardowy serwer DNS może rozpoznać adresy IP dla wszystkich publicznych nazw FQDN. Aby uzyskać więcej informacji, zobacz Obowiązki klienta dotyczące uruchamiania usługi Azure Spring Apps w sieci wirtualnej.
• Dodaj rekord DNS do adresu *.svc.private.azuremicroservices.io IP aplikacji. Aby uzyskać więcej informacji, zobacz sekcję Znajdowanie adresu IP dla aplikacji w sekcji Uzyskiwanie dostępu do aplikacji w usłudze Azure Spring Apps w sieci wirtualnej.

Następne kroki

• Rozwiązywanie problemów z usługą Azure Spring Apps w sieci wirtualnej
• Obowiązki klienta dotyczące uruchamiania usługi Azure Spring Apps w sieci wirtualnej