Obowiązki klienta dotyczące uruchamiania usługi Azure Spring Apps w sieci wirtualnej
Uwaga
Azure Spring Apps to nowa nazwa usługi Azure Spring Cloud. Mimo że usługa ma nową nazwę, stara nazwa będzie widoczna w niektórych miejscach przez pewien czas, ponieważ pracujemy nad aktualizowaniem zasobów, takich jak zrzuty ekranu, filmy wideo i diagramy.
Ten artykuł dotyczy: ✔️ Podstawowa/Standardowa ✔️ Enterprise
Ten artykuł zawiera specyfikacje dotyczące korzystania z usługi Azure Spring Apps w sieci wirtualnej.
Gdy usługa Azure Spring Apps jest wdrażana w sieci wirtualnej, ma zależności wychodzące od usług spoza sieci wirtualnej. Do celów zarządzania i działania usługa Azure Spring Apps musi uzyskiwać dostęp do niektórych portów i w pełni kwalifikowanych nazw domen (FQDN). Usługa Azure Spring Apps wymaga, aby te punkty końcowe komunikowały się z płaszczyzną zarządzania oraz pobierały i instalowali podstawowe składniki klastra Kubernetes i aktualizacje zabezpieczeń.
Domyślnie usługa Azure Spring Apps ma nieograniczony dostęp do Internetu dla ruchu wychodzącego (wychodzącego). Ten poziom dostępu do sieci umożliwia uruchamianie aplikacji w celu uzyskania dostępu do zasobów zewnętrznych zgodnie z potrzebami. Jeśli chcesz ograniczyć ruch wychodzący, ograniczona liczba portów i adresów musi być dostępna dla zadań konserwacji. Najprostszym rozwiązaniem do zabezpieczenia adresów wychodzących jest użycie urządzenia zapory, które może kontrolować ruch wychodzący na podstawie nazw domen. Usługa Azure Firewall może na przykład ograniczyć wychodzący ruch HTTP i HTTPS na podstawie nazwy FQDN miejsca docelowego. Możesz również skonfigurować preferowaną zaporę i reguły zabezpieczeń, aby zezwolić na te wymagane porty i adresy.
Wymagania dotyczące zasobów usługi Azure Spring Apps
Na poniższej liście przedstawiono wymagania dotyczące zasobów dla usług Azure Spring Apps. Ogólnie rzecz biorąc, nie należy modyfikować grup zasobów utworzonych przez usługę Azure Spring Apps i podstawowych zasobów sieciowych.
- Nie modyfikuj grup zasobów utworzonych i należących do usługi Azure Spring Apps.
- Domyślnie te grupy zasobów mają nazwy
ap-svc-rt_<service-instance-name>_<region>*iap_<service-instance-name>_<region>*. - Nie blokuj aktualizowania zasobów w tych grupach zasobów przez usługę Azure Spring Apps.
- Domyślnie te grupy zasobów mają nazwy
- Nie modyfikuj podsieci używanych przez usługę Azure Spring Apps.
- Nie twórz więcej niż jednego wystąpienia usługi Azure Spring Apps w tej samej podsieci.
- W przypadku używania zapory do kontrolowania ruchu nie blokuj następującego ruchu wychodzącego do składników usługi Azure Spring Apps, które obsługują, konserwują i obsługują wystąpienie usługi.
Globalne reguły sieci wymagane na platformie Azure
| Docelowy punkt końcowy | Port | Używanie | Uwaga |
|---|---|---|---|
| *:443 lubServiceTag — AzureCloud:443 | TCP:443 | Zarządzanie usługą Azure Spring Apps. | Aby uzyskać informacje o wystąpieniu requiredTrafficsusługi , zobacz ładunek zasobu w networkProfile sekcji . |
| *.azurecr.io:443 lubServiceTag — AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Można zamienić, włączając punkt końcowy usługi Azure Container Registryw sieci wirtualnej. |
| *.core.windows.net:443 i *.core.windows.net:445 lubServiceTag — Storage:443 i Storage:445 | TCP:443, TCP:445 | Azure Files | Można zamienić, włączając punkt końcowy usługi Azure Storagew sieci wirtualnej. |
| *.servicebus.windows.net:443 lubServiceTag — EventHub:443 | TCP:443 | Azure Event Hubs. | Można zamienić, włączając punkt końcowy usługi Azure Event Hubsw sieci wirtualnej. |
| *.prod.microsoftmetrics.com:443 lubServiceTag — AzureMonitor:443 | TCP:443 | Azure Monitor. | Zezwala na wywołania wychodzące do usługi Azure Monitor. |
Globalna wymagana nazwa FQDN platformy Azure /reguły aplikacji
Usługa Azure Firewall udostępnia tag FQDN AzureKubernetesService , aby uprościć następujące konfiguracje:
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Podstawowe zarządzanie klastrem Kubernetes. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Magazyn MCR wspierany przez usługę Azure CDN. |
| management.azure.com | HTTPS:443 | Podstawowe zarządzanie klastrem Kubernetes. |
| login.microsoftonline.com | HTTPS:443 | Uwierzytelnianie firmy Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repozytorium pakietów firmy Microsoft. |
| acs-mirror.azureedge.net | HTTPS:443 | Repozytorium wymagane do zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI. |
Platforma Microsoft Azure obsługiwana przez usługę 21Vianet — wymagane reguły sieci
| Docelowy punkt końcowy | Port | Używanie | Uwaga |
|---|---|---|---|
| *:443 lubServiceTag — AzureCloud:443 | TCP:443 | Zarządzanie usługą Azure Spring Apps. | Aby uzyskać informacje o wystąpieniu requiredTrafficsusługi , zobacz ładunek zasobu w networkProfile sekcji . |
| *.azurecr.cn:443 lubServiceTag — AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Można zamienić, włączając punkt końcowy usługi Azure Container Registryw sieci wirtualnej. |
| *.core.chinacloudapi.cn:443 i *.core.chinacloudapi.cn:445 lubServiceTag — Storage:443 i Storage:445 | TCP:443, TCP:445 | Azure Files | Można zamienić, włączając punkt końcowy usługi Azure Storagew sieci wirtualnej. |
| *.servicebus.chinacloudapi.cn:443 lubServiceTag — EventHub:443 | TCP:443 | Azure Event Hubs. | Można zamienić, włączając punkt końcowy usługi Azure Event Hubsw sieci wirtualnej. |
| *.prod.microsoftmetrics.com:443 lubServiceTag — AzureMonitor:443 | TCP:443 | Azure Monitor. | Zezwala na wywołania wychodzące do usługi Azure Monitor. |
Platforma Microsoft Azure obsługiwana przez wymaganą nazwę FQDN /reguły aplikacji 21Vianet
Usługa Azure Firewall udostępnia tag AzureKubernetesService FQDN, aby uprościć następujące konfiguracje:
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Podstawowe zarządzanie klastrem Kubernetes. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Magazyn MCR wspierany przez usługę Azure CDN. |
| management.chinacloudapi.cn | HTTPS:443 | Podstawowe zarządzanie klastrem Kubernetes. |
| login.chinacloudapi.cn | HTTPS:443 | Uwierzytelnianie firmy Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repozytorium pakietów firmy Microsoft. |
| *.azk8s.cn | HTTPS:443 | Repozytorium wymagane do zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI. |
Opcjonalna nazwa FQDN usługi Azure Spring Apps na potrzeby zarządzania wydajnością aplikacji innych firm
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
| moduł zbierający*.newrelic.com | TCP:443/80 | Wymagane sieci nowych agentów relic APM z regionu USA, zobacz również APM Agents Networks( Sieci agentów APM). |
| collector*.eu01.nr-data.net | TCP:443/80 | Wymagane sieci nowych agentów relic APM z regionu UE, zobacz również APM Agents Networks( Sieci agentów APM). |
| *.live.dynatrace.com | TCP:443 | Wymagana sieć agentów Dynatrace APM. |
| *.live.ruxit.com | TCP:443 | Wymagana sieć agentów Dynatrace APM. |
| *.saas.appdynamics.com | TCP:443/80 | Wymagana sieć agentów APM AppDynamics, zobacz również Domeny SaaS i zakresy adresów IP. |
Opcjonalna nazwa FQDN usługi Azure Spring Apps dla aplikacji Szczegółowe informacje
Musisz otworzyć niektóre porty wychodzące w zaporze serwera, aby zezwolić na wysyłanie danych do portalu za pomocą zestawu SDK usługi Application Szczegółowe informacje lub agenta usługi Application Szczegółowe informacje. Aby uzyskać więcej informacji, zobacz sekcję Porty wychodzące adresów IP używanych przez usługę Azure Monitor.