Responsabilidades do cliente para o plano de consumo Standard e dedicado dos Aplicativos Spring do Azure em uma rede virtual
Observação
Azure Spring Apps é o novo nome do serviço Azure Spring Cloud. Embora o serviço tenha um novo nome, você verá o nome antigo em alguns locais por um tempo enquanto trabalhamos para atualizar ativos como capturas de tela, vídeos e diagramas.
Este artigo se aplica a(o): ✔️ Consumo padrão e dedicado(a) (versão prévia) ❌ Básico/Standard ❌ Enterprise
Este artigo descreve as responsabilidades do cliente para executar um consumo do Azure Spring Apps Standard e uma instância de serviço de plano dedicado em uma rede virtual.
Use NSGs (Grupos de Segurança de Rede) para configurar redes virtuais de acordo com as configurações exigidas pelo Kubernetes.
Para controlar todo o tráfego de entrada e saída para o ambiente de Aplicativos de Contêiner do Azure, você pode usar NSGs para bloquear uma rede com regras mais restritivas do que as regras NSG padrão.
Regras de permissão do NSG
As tabelas a seguir descrevem como configurar uma coleção de regras de permissão do NSG.
Observação
A sub-rede associada a um ambiente de Aplicativos de Contêiner do Azure requer um prefixo CIDR maior /23 ou maior.
Saída com ServiceTags
| Protocolo | Porta | Marca de serviço | Descrição |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
Necessário para conexão segura interna do Serviço de Kubernetes do Azure (AKS) entre nós subjacentes e o plano de controle. Substitua <region> pela região em que o aplicativo de contêiner está implantado. |
| TCP | 9000 |
AzureCloud.<region> |
Necessário para conexão segura interna do AKS entre nós subjacentes e o plano de controle. Substitua <region> pela região em que o aplicativo de contêiner está implantado. |
| TCP | 443 |
AzureMonitor |
Permite chamadas de saída ao Azure Monitor. |
| TCP | 443 |
Azure Container Registry |
Habilita o Registro de Contêiner do Azure, conforme descrito em Pontos de extremidade de serviço de rede virtual. |
| TCP | 443 |
MicrosoftContainerRegistry |
A marca de serviço para o registro de contêiner para contêineres da Microsoft. |
| TCP | 443 |
AzureFrontDoor.FirstParty |
Uma dependência da MicrosoftContainerRegistry marca de serviço. |
| TCP | 443, 445 |
Azure Files |
Habilita o Armazenamento do Azure conforme descrito em Pontos de extremidade de serviço de rede virtual. |
Saída com regras de IP de curinga
| Protocolo | Porta | IP | Descrição |
|---|---|---|---|
| TCP | 443 |
* | Defina todo o tráfego de saída na porta 443 para permitir todas as dependências de saída baseadas em FQDN (nome de domínio totalmente qualificado) que não tenham um IP estático. |
| UDP | 123 |
* | Servidor NTP. |
| TCP | 5671 |
* | Painel de controle Aplicativos de Contêiner. |
| TCP | 5672 |
* | Painel de controle Aplicativos de Contêiner. |
| Qualquer | * | Espaço de endereço da sub-rede da infraestrutura | Permitir a comunicação entre IPs na sub-rede da infraestrutura. Esse endereço é passado como um parâmetro quando você cria um ambiente - por exemplo, 10.0.0.0/21. |
Saída com requisitos de FQDN/regras de aplicativo
| Protocolo | Porta | FQDN | Descrição |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
Armazenamento MCR com suporte da CDN (Rede de Entrega de Conteúdo) do Azure. |
| TCP | 443 |
*.data.mcr.microsoft.com |
Armazenamento MCR com o suporte da CDN do Azure. |
Saída com FQDN para gerenciamento de desempenho de aplicativos de terceiros (opcional)
| Protocolo | Porta | FQDN | Descrição |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
As redes necessárias de agentes de monitoramento de desempenho e aplicativos New Relic (APM) da região dos EUA. Consulte APM Agents Networks. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
As redes necessárias de agentes da New Relic APM da região da UE. Consulte APM Agents Networks. |
| TCP | 443 |
*.live.dynatrace.com |
A rede necessária de agentes Dynatrace APM. |
| TCP | 443 |
*.live.ruxit.com |
A rede necessária de agentes Dynatrace APM. |
| TCP | 443/80 |
*.saas.appdynamics.com |
A rede necessária de agentes do AppDynamics APM. Consulte Domínios SaaS e intervalos de IP. |
Considerações
- Se você estiver executando servidores HTTP, talvez seja necessário adicionar portas
80e443. - Adicionar regras de negação para algumas portas e protocolos com prioridade menor do que
65000pode causar interrupção de serviço e comportamento inesperado.