Responsabilidades do cliente para o consumo padrão e plano dedicado do Azure Spring Apps em uma rede virtual
Nota
Azure Spring Apps é o novo nome para o serviço Azure Spring Cloud. Embora o serviço tenha um novo nome, você verá o nome antigo em alguns lugares por um tempo enquanto trabalhamos para atualizar ativos, como capturas de tela, vídeos e diagramas.
Este artigo aplica-se a: ✔️ Consumo padrão e dedicado (Pré-visualização) ❌ Básico/Standard ❌ Enterprise
Este artigo descreve as responsabilidades do cliente para executar um consumo do Azure Spring Apps Standard e uma instância de serviço de plano dedicada em uma rede virtual.
Use NSGs (Network Security Groups) para configurar redes virtuais em conformidade com as configurações exigidas pelo Kubernetes.
Para controlar todo o tráfego de entrada e saída para o ambiente de Aplicativos de Contêiner do Azure, você pode usar NSGs para bloquear uma rede com regras mais restritivas do que as regras NSG padrão.
NSG permitir regras
As tabelas a seguir descrevem como configurar uma coleção de regras de permissão do NSG.
Nota
A sub-rede associada a um ambiente de Aplicativos de Contêiner do Azure requer um prefixo CIDR igual /23 ou maior.
Saída com ServiceTags
| Protocolo | Porta | ServiceTag | Description |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
Necessário para a conexão segura interna do Serviço Kubernetes do Azure (AKS) entre os nós subjacentes e o plano de controle. Substitua <region> pela região onde seu aplicativo de contêiner está implantado. |
| TCP | 9000 |
AzureCloud.<region> |
Necessário para conexão segura interna do AKS entre os nós subjacentes e o plano de controle. Substitua <region> pela região onde seu aplicativo de contêiner está implantado. |
| TCP | 443 |
AzureMonitor |
Permite chamadas de saída para o Azure Monitor. |
| TCP | 443 |
Azure Container Registry |
Habilita o Registro de Contêiner do Azure conforme descrito em Pontos de extremidade do serviço de rede virtual. |
| TCP | 443 |
MicrosoftContainerRegistry |
A marca de serviço para registro de contêiner para contêineres da Microsoft. |
| TCP | 443 |
AzureFrontDoor.FirstParty |
Uma dependência da MicrosoftContainerRegistry etiqueta de serviço. |
| TCP | 443, 445 |
Azure Files |
Habilita o Armazenamento do Azure conforme descrito em Pontos de extremidade de serviço de rede virtual. |
Saída com regras de IP curinga
| Protocolo | Porta | IP | Description |
|---|---|---|---|
| TCP | 443 |
* | Defina todo o tráfego de saída na porta 443 para permitir todas as dependências de saída baseadas em FQDN (nome de domínio totalmente qualificado) que não tenham um IP estático. |
| UDP | 123 |
* | Servidor NTP. |
| TCP | 5671 |
* | Plano de controle de aplicativos de contêiner. |
| TCP | 5672 |
* | Plano de controle de aplicativos de contêiner. |
| Qualquer | * | Espaço de endereçamento da sub-rede de infraestrutura | Permitir a comunicação entre IPs na sub-rede de infraestrutura. Esse endereço é passado como um parâmetro quando você cria um ambiente - por exemplo, 10.0.0.0/21. |
Saída com requisitos FQDN/regras de aplicação
| Protocolo | Porta | FQDN | Description |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Registro de contêiner da Microsoft (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
Armazenamento MCR apoiado pela CDN (Rede de Entrega de Conteúdo) do Azure. |
| TCP | 443 |
*.data.mcr.microsoft.com |
Armazenamento MCR apoiado pela CDN do Azure. |
Saída com FQDN para gerenciamento de desempenho de aplicativos de terceiros (opcional)
| Protocolo | Porta | FQDN | Description |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
As redes necessárias de aplicação New Relic e agentes de monitoramento de desempenho (APM) da região dos EUA. Consulte Redes de agentes APM. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
As redes necessárias de agentes APM da New Relic da região da UE. Consulte Redes de agentes APM. |
| TCP | 443 |
*.live.dynatrace.com |
A rede necessária de agentes Dynatrace APM. |
| TCP | 443 |
*.live.ruxit.com |
A rede necessária de agentes Dynatrace APM. |
| TCP | 443/80 |
*.saas.appdynamics.com |
A rede necessária de agentes AppDynamics APM. Consulte Domínios SaaS e intervalos de IP. |
Considerações
- Se você estiver executando servidores HTTP, talvez seja necessário adicionar portas
80e443. - Adicionar regras de negação para algumas portas e protocolos com prioridade menor do que pode causar interrupção do
65000serviço e comportamento inesperado.