Responsabilidades do cliente para executar os Aplicativos Spring do Azure em uma rede virtual
Observação
Os planos Básico, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de aposentadoria de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira o anúncio de desativação dos Aplicativos Spring do Azure.
O plano Consumo Standard e dedicado será preterido a partir de 30 de setembro de 2024, com desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira Migrar o plano dedicado e consumo Standard dos Aplicativos Spring do Azure para os Aplicativos de Contêiner do Azure.
Este artigo se aplica ao: ✔️ nível Básico/Standard ✔️ nível Enterprise
Este artigo inclui especificações para o uso do Azure Spring Apps em uma rede virtual.
Quando o Azure Spring Apps é implantado em sua rede virtual, ele tem dependências de saída em serviços fora da rede virtual. Para fins operacionais e de gerenciamento, o Azure Spring Apps precisa acessar portas e nomes de domínio totalmente qualificados (FQDNs) específicos. Esses pontos de extremidade são exigidos pelo Azure Spring Apps para comunicação com o plano de gerenciamento e para baixar e instalar os principais componentes do cluster Kubernetes e atualizações de segurança.
Por padrão, o Azure Spring Apps tem acesso irrestrito à Internet (saída). Esse nível de acesso à rede permite que os aplicativos que você executa acessem recursos externos, conforme necessário. Se quiser restringir o tráfego de saída, um número limitado de portas e endereços precisar estar acessível para tarefas de manutenção. A solução mais simples para proteger os endereços de saída está em usar um dispositivo de firewall que possa controlar o tráfego de saída com base em nomes de domínio. O Firewall do Azure, por exemplo, pode restringir o tráfego de HTTP e HTTPS de saída com base no FQDN do destino. Você também pode configurar o firewall e as regras de segurança de sua preferência para permitir as portas e os endereços necessários.
Requisitos de recursos do Azure Spring Apps
A lista a seguir mostra os requisitos de recursos para os serviços do Azure Spring Apps. Como um requisito geral, você não deve modificar os grupos de recursos criados pelo Azure Spring Apps e os recursos de rede subjacentes.
- Não modifique grupos de recursos criados e pertencentes ao Azure Spring Apps.
- Por padrão, esses grupos de recursos são nomeados como
ap-svc-rt_<service-instance-name>_<region>*eap_<service-instance-name>_<region>*. - Não bloqueie a atualização de recursos do Azure Spring Apps nesses grupos de recursos.
- Por padrão, esses grupos de recursos são nomeados como
- Não modifique as sub-redes usadas pelo Azure Spring Apps.
- Não crie mais de uma instância de serviço do Azure Spring Apps na mesma sub-rede.
- Ao usar um firewall para controlar o tráfego, não bloqueie o tráfego de saída a seguir para os componentes do Azure Spring Apps que operam, mantêm e dão suporte à instância de serviço.
Regras de rede exigidas globais do Azure
| Ponto de extremidade de destino | Porta | Use | Observação |
|---|---|---|---|
| *:443 ou ServiceTag - AzureCloud:443 | TCP:443 | Gerenciamento de Serviços do Azure Spring Apps. | Para obter informações sobre a instância de serviço requiredTraffics, consulte o conteúdo do recurso, na seção networkProfile. |
| *.azurecr.io:443 ou ServiceTag - AzureContainerRegistry:443 | TCP:443 | Registro de Contêiner do Azure. | Pode ser substituído habilitando o ponto de extremidade de serviço do Registro de Contêiner do Azure na rede virtual. |
| *.core.windows.net:443 e *.core.windows.net:445 ou ServiceTag - Storage:443 e Storage:445 | TCP:443, TCP:445 | Arquivos do Azure | Pode ser substituído habilitando o ponto de extremidade de serviço do Armazenamento do Microsoft Azure na rede virtual. |
| *.servicebus.windows.net:443 ou ServiceTag - EventHub:443 | TCP:443 | Hubs de Eventos do Azure. | Pode ser substituído habilitando o ponto de extremidade de serviço do Hubs de Eventos do Azure na rede virtual. |
| *.prod.microsoftmetrics.com:443 ou ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Permite chamadas de saída ao Azure Monitor. |
Regras de FQDN/aplicativo globais do Azure necessárias
O Firewall do Azure fornece uma marca FQDN AzureKubernetesService para simplificar as configurações a seguir:
| FQDN de destino | Porta | Use |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Gerenciamento de cluster do Kubernetes subjacente. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Armazenamento MCR com o suporte da CDN do Azure. |
| management.azure.com | HTTPS:443 | Gerenciamento de cluster do Kubernetes subjacente. |
| login.microsoftonline.com | HTTPS:443 | Autenticação do Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositório de pacotes da Microsoft. |
| acs-mirror.azureedge.net | HTTPS:443 | Repositório necessário para instalar os binários necessários, como kubenet e CNI do Azure. |
Regras de rede necessárias para o Microsoft Azure operado pela 21Vianet
| Ponto de extremidade de destino | Porta | Use | Observação |
|---|---|---|---|
| *:443 ou ServiceTag - AzureCloud:443 | TCP:443 | Gerenciamento de Serviços do Azure Spring Apps. | Para obter informações sobre a instância de serviço requiredTraffics, consulte o conteúdo do recurso, na seção networkProfile. |
| *.azurecr.cn:443 ou ServiceTag - AzureContainerRegistry:443 | TCP:443 | Registro de Contêiner do Azure. | Pode ser substituído habilitando o ponto de extremidade de serviço do Registro de Contêiner do Azure na rede virtual. |
| *.core.chinacloudapi.cn:443 e *.core.chinacloudapi.cn:445 ou ServiceTag - Storage:443 e Storage:445 | TCP:443, TCP:445 | Arquivos do Azure | Pode ser substituído habilitando o ponto de extremidade de serviço do Armazenamento do Microsoft Azure na rede virtual. |
| *.servicebus.chinacloudapi.cn:443 ou ServiceTag - EventHub:443 | TCP:443 | Hubs de Eventos do Azure. | Pode ser substituído habilitando o ponto de extremidade de serviço do Hubs de Eventos do Azure na rede virtual. |
| *.prod.microsoftmetrics.com:443 ou ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Permite chamadas de saída ao Azure Monitor. |
Regras de FQDN/aplicativo necessárias para o Microsoft Azure operado pela 21Vianet
O Firewall do Azure fornece uma marca FQDN AzureKubernetesService para simplificar as seguintes configurações:
| FQDN de destino | Porta | Use |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Gerenciamento de cluster do Kubernetes subjacente. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Armazenamento MCR com o suporte da CDN do Azure. |
| management.chinacloudapi.cn | HTTPS:443 | Gerenciamento de cluster do Kubernetes subjacente. |
| login.chinacloudapi.cn | HTTPS:443 | Autenticação do Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositório de pacotes da Microsoft. |
| *.azk8s.cn | HTTPS:443 | Repositório necessário para instalar os binários necessários, como kubenet e CNI do Azure. |
FQDN opcional do Azure Spring Apps para gerenciamento de desempenho de aplicativos de terceiros
| FQDN de destino | Porta | Use |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | Redes necessárias de agentes New Relic APM da região dos EUA, confira também Redes de agentes do APM. |
| collector*.eu01.nr-data.net | TCP:443/80 | Redes necessárias de agentes APM do New Relic da região da Europa, confira também Redes de agentes do APM. |
| *.live.dynatrace.com | TCP:443 | Rede necessária de agentes APM do Dynatrace. |
| *.live.ruxit.com | TCP:443 | Rede necessária de agentes APM do Dynatrace. |
| *.saas.appdynamics.com | TCP:443/80 | Rede necessária de agentes do AppDynamics APM, consulte também Domínios SaaS e intervalos de IP. |
FQDN opcional dos Aplicativos Spring do Azure para Application Insights
Para permitir que o SDK do Application Insights ou do Application Insights Agent enviem dados para o portal, você precisa abrir algumas portas de saída no firewall do servidor. Para obter mais informações, consulte a seção Portas de saída de Endereços IP usados pelo Azure Monitor.