Compartilhar via


Responsabilidades do cliente para executar os Aplicativos Spring do Azure em uma rede virtual

Observação

Os planos Básico, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de aposentadoria de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira o anúncio de desativação dos Aplicativos Spring do Azure.

O plano Consumo Standard e dedicado será preterido a partir de 30 de setembro de 2024, com desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira Migrar o plano dedicado e consumo Standard dos Aplicativos Spring do Azure para os Aplicativos de Contêiner do Azure.

Este artigo se aplica ao: ✔️ nível Básico/Standard ✔️ nível Enterprise

Este artigo inclui especificações para o uso do Azure Spring Apps em uma rede virtual.

Quando o Azure Spring Apps é implantado em sua rede virtual, ele tem dependências de saída em serviços fora da rede virtual. Para fins operacionais e de gerenciamento, o Azure Spring Apps precisa acessar portas e nomes de domínio totalmente qualificados (FQDNs) específicos. Esses pontos de extremidade são exigidos pelo Azure Spring Apps para comunicação com o plano de gerenciamento e para baixar e instalar os principais componentes do cluster Kubernetes e atualizações de segurança.

Por padrão, o Azure Spring Apps tem acesso irrestrito à Internet (saída). Esse nível de acesso à rede permite que os aplicativos que você executa acessem recursos externos, conforme necessário. Se quiser restringir o tráfego de saída, um número limitado de portas e endereços precisar estar acessível para tarefas de manutenção. A solução mais simples para proteger os endereços de saída está em usar um dispositivo de firewall que possa controlar o tráfego de saída com base em nomes de domínio. O Firewall do Azure, por exemplo, pode restringir o tráfego de HTTP e HTTPS de saída com base no FQDN do destino. Você também pode configurar o firewall e as regras de segurança de sua preferência para permitir as portas e os endereços necessários.

Requisitos de recursos do Azure Spring Apps

A lista a seguir mostra os requisitos de recursos para os serviços do Azure Spring Apps. Como um requisito geral, você não deve modificar os grupos de recursos criados pelo Azure Spring Apps e os recursos de rede subjacentes.

  • Não modifique grupos de recursos criados e pertencentes ao Azure Spring Apps.
    • Por padrão, esses grupos de recursos são nomeados comoap-svc-rt_<service-instance-name>_<region>* e ap_<service-instance-name>_<region>*.
    • Não bloqueie a atualização de recursos do Azure Spring Apps nesses grupos de recursos.
  • Não modifique as sub-redes usadas pelo Azure Spring Apps.
  • Não crie mais de uma instância de serviço do Azure Spring Apps na mesma sub-rede.
  • Ao usar um firewall para controlar o tráfego, não bloqueie o tráfego de saída a seguir para os componentes do Azure Spring Apps que operam, mantêm e dão suporte à instância de serviço.

Regras de rede exigidas globais do Azure

Ponto de extremidade de destino Porta Use Observação
*:443 ou ServiceTag - AzureCloud:443 TCP:443 Gerenciamento de Serviços do Azure Spring Apps. Para obter informações sobre a instância de serviço requiredTraffics, consulte o conteúdo do recurso, na seção networkProfile.
*.azurecr.io:443 ou ServiceTag - AzureContainerRegistry:443 TCP:443 Registro de Contêiner do Azure. Pode ser substituído habilitando o ponto de extremidade de serviço do Registro de Contêiner do Azure na rede virtual.
*.core.windows.net:443 e *.core.windows.net:445 ou ServiceTag - Storage:443 e Storage:445 TCP:443, TCP:445 Arquivos do Azure Pode ser substituído habilitando o ponto de extremidade de serviço do Armazenamento do Microsoft Azure na rede virtual.
*.servicebus.windows.net:443 ou ServiceTag - EventHub:443 TCP:443 Hubs de Eventos do Azure. Pode ser substituído habilitando o ponto de extremidade de serviço do Hubs de Eventos do Azure na rede virtual.
*.prod.microsoftmetrics.com:443 ou ServiceTag - AzureMonitor:443 TCP:443 Azure Monitor. Permite chamadas de saída ao Azure Monitor.

Regras de FQDN/aplicativo globais do Azure necessárias

O Firewall do Azure fornece uma marca FQDN AzureKubernetesService para simplificar as configurações a seguir:

FQDN de destino Porta Use
*.azmk8s.io HTTPS:443 Gerenciamento de cluster do Kubernetes subjacente.
mcr.microsoft.com HTTPS:443 Microsoft Container Registry (MCR).
*.data.mcr.microsoft.com HTTPS:443 Armazenamento MCR com o suporte da CDN do Azure.
management.azure.com HTTPS:443 Gerenciamento de cluster do Kubernetes subjacente.
login.microsoftonline.com HTTPS:443 Autenticação do Microsoft Entra.
packages.microsoft.com HTTPS:443 Repositório de pacotes da Microsoft.
acs-mirror.azureedge.net HTTPS:443 Repositório necessário para instalar os binários necessários, como kubenet e CNI do Azure.

Regras de rede necessárias para o Microsoft Azure operado pela 21Vianet

Ponto de extremidade de destino Porta Use Observação
*:443 ou ServiceTag - AzureCloud:443 TCP:443 Gerenciamento de Serviços do Azure Spring Apps. Para obter informações sobre a instância de serviço requiredTraffics, consulte o conteúdo do recurso, na seção networkProfile.
*.azurecr.cn:443 ou ServiceTag - AzureContainerRegistry:443 TCP:443 Registro de Contêiner do Azure. Pode ser substituído habilitando o ponto de extremidade de serviço do Registro de Contêiner do Azure na rede virtual.
*.core.chinacloudapi.cn:443 e *.core.chinacloudapi.cn:445 ou ServiceTag - Storage:443 e Storage:445 TCP:443, TCP:445 Arquivos do Azure Pode ser substituído habilitando o ponto de extremidade de serviço do Armazenamento do Microsoft Azure na rede virtual.
*.servicebus.chinacloudapi.cn:443 ou ServiceTag - EventHub:443 TCP:443 Hubs de Eventos do Azure. Pode ser substituído habilitando o ponto de extremidade de serviço do Hubs de Eventos do Azure na rede virtual.
*.prod.microsoftmetrics.com:443 ou ServiceTag - AzureMonitor:443 TCP:443 Azure Monitor. Permite chamadas de saída ao Azure Monitor.

Regras de FQDN/aplicativo necessárias para o Microsoft Azure operado pela 21Vianet

O Firewall do Azure fornece uma marca FQDN AzureKubernetesService para simplificar as seguintes configurações:

FQDN de destino Porta Use
*.cx.prod.service.azk8s.cn HTTPS:443 Gerenciamento de cluster do Kubernetes subjacente.
mcr.microsoft.com HTTPS:443 Microsoft Container Registry (MCR).
*.data.mcr.microsoft.com HTTPS:443 Armazenamento MCR com o suporte da CDN do Azure.
management.chinacloudapi.cn HTTPS:443 Gerenciamento de cluster do Kubernetes subjacente.
login.chinacloudapi.cn HTTPS:443 Autenticação do Microsoft Entra.
packages.microsoft.com HTTPS:443 Repositório de pacotes da Microsoft.
*.azk8s.cn HTTPS:443 Repositório necessário para instalar os binários necessários, como kubenet e CNI do Azure.

FQDN opcional do Azure Spring Apps para gerenciamento de desempenho de aplicativos de terceiros

FQDN de destino Porta Use
collector*.newrelic.com TCP:443/80 Redes necessárias de agentes New Relic APM da região dos EUA, confira também Redes de agentes do APM.
collector*.eu01.nr-data.net TCP:443/80 Redes necessárias de agentes APM do New Relic da região da Europa, confira também Redes de agentes do APM.
*.live.dynatrace.com TCP:443 Rede necessária de agentes APM do Dynatrace.
*.live.ruxit.com TCP:443 Rede necessária de agentes APM do Dynatrace.
*.saas.appdynamics.com TCP:443/80 Rede necessária de agentes do AppDynamics APM, consulte também Domínios SaaS e intervalos de IP.

FQDN opcional dos Aplicativos Spring do Azure para Application Insights

Para permitir que o SDK do Application Insights ou do Application Insights Agent enviem dados para o portal, você precisa abrir algumas portas de saída no firewall do servidor. Para obter mais informações, consulte a seção Portas de saída de Endereços IP usados pelo Azure Monitor.

Próximas etapas