Устранение неполадок с Azure Spring Apps в виртуальных сетях
Примечание.
Планы "Базовый", "Стандартный" и "Корпоративный" будут устарели начиная с середины марта 2025 г. с 3-летнего периода выхода на пенсию. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в объявлении о выходе на пенсию в Azure Spring Apps.
Стандартный план потребления и выделенного плана будет устарел с 30 сентября 2024 г. с полным завершением работы после шести месяцев. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в статье "Миграция потребления Azure Spring Apps Standard" и выделенного плана в приложения контейнеров Azure.
Эта статья относится к: ✔️ Basic/Standard ✔️ Enterprise
Эта статья поможет решить различные проблемы, которые могут возникнуть при использовании Azure Spring Apps в виртуальных сетях.
Возникла проблема при создании экземпляра службы Azure Spring Apps
Чтобы создать экземпляр Azure Spring Apps, необходимо иметь достаточные разрешения для развертывания экземпляра в виртуальной сети. Экземпляр Azure Spring Apps должен самостоятельно предоставить службе Azure Spring Apps разрешение на доступ к виртуальной сети. Дополнительные сведения см. в разделе Разрешение службы, предоставленное виртуальной сети статьи Развертывание Azure Spring Apps в виртуальной сети.
Если вы используете портал Azure для настройки экземпляра службы Azure Spring Apps, портал Azure проверяет разрешения.
Чтобы настроить экземпляр службы Azure Spring Apps с помощью Azure CLI, проверьте следующие требования:
- подписка активна;
- Расположение поддерживает Azure Spring Apps.
- группа ресурсов для экземпляра уже создана;
- имя ресурса соответствует правилу именования. Должно содержать только строчные буквы, цифры и дефисы. Имя должно начинаться с буквы и заканчиваться буквой или цифрой. Его длина должна составлять от 2 до 32 символов.
Чтобы узнать, как настроить экземпляр службы Azure Spring Apps с помощью шаблона ARM, ознакомьтесь со статьей Описание структуры и синтаксиса шаблонов ARM.
Распространенные проблемы при создании
| Сообщение об ошибке | Как исправить |
|---|---|
Resources created by Azure Spring Apps were disallowed by policy. |
Сетевые ресурсы создаются при развертывании Azure Spring Apps в собственной виртуальной сети. Убедитесь, что у вас есть Политика Azure, чтобы заблокировать это создание. В сообщении об ошибке перечислены ресурсы, которые не были созданы. |
Required traffic is not allowlisted. |
Обязательно проверьте обязанности клиента за запуск Azure Spring Apps в виртуальной сети , чтобы убедиться, что необходимый трафик разрешен. |
Не удается зарегистрировать приложение или не удается получить параметры с сервера конфигурации.
Приложения, работающие в пользовательском кластере Azure Spring Apps, должны получить доступ к серверу Eureka и серверу конфигурации в кластере среды выполнения системы через <service-instance-name>.svc.private.azuremicroservices.io домен.
Эта проблема возникает, если для виртуальной сети использованы настраиваемые параметры DNS. В этом случае частная зона DNS, используемая Azure Spring Apps, неэффективна. На настраиваемом DNS-сервере в качестве вышестоящего DNS-сервера добавьте IP-адрес Azure DNS 168.63.129.16.
Если пользовательский DNS-сервер не может добавить IP-адрес 168.63.129.16 Azure DNS в качестве вышестоящего DNS-сервера, добавьте запись DNS в IP-адрес *.svc.private.azuremicroservices.io приложения. Дополнительные сведения см. в разделе "Поиск IP-адреса для приложения" приложения Access в Azure Spring Apps в виртуальной сети.
Не удается получить доступ к конечной точке приложения или тестовой конечной точке в виртуальной сети
Если виртуальная сеть настроена с настраиваемыми параметрами DNS, обязательно добавьте IP-адрес Azure DNS в качестве вышестоящего DNS-сервера 168.63.129.16 в пользовательский DNS-сервер, если вы еще не сделали этого. Затем выполните следующие инструкции.
Если виртуальная сеть не настроена с настраиваемыми параметрами DNS или если виртуальная сеть настроена с настраиваемыми параметрами DNS, и вы уже добавили IP-адрес Azure DNS в качестве вышестоящего DNS-сервера 168.63.129.16 на пользовательском DNS-сервере, выполните следующие действия:
Создайте частную зону
private.azuremicroservices.ioDNS.Создайте связь между частной зоной DNS и виртуальной сетью.
Добавьте следующие две записи DNS:
*.private.azuremicroservices.io—> IP-адрес приложения.*.test.private.azuremicroservices.io—> IP-адрес приложения.
Дополнительные сведения см. в статье "Доступ к приложению в частной сети"
Не удается получить доступ к общедоступной конечной точке приложения из общедоступной сети
Azure Spring Apps поддерживает предоставление приложений в Интернете с помощью общедоступных конечных точек. Дополнительные сведения см. в статье "Предоставление приложений в Azure Spring Apps" в Интернете из общедоступной сети.
Если вы используете определяемую пользователем функцию маршрута, некоторые функции не поддерживаются из-за асимметричной маршрутизации. Сведения о неподдерживаемых функциях см. в следующем списке:
- Используйте общедоступную сеть для доступа к приложению через общедоступную конечную точку.
- Используйте общедоступную сеть для доступа к потоку журналов.
- Используйте общедоступную сеть для доступа к консоли приложения.
Дополнительные сведения см. в разделе "Управление исходящим трафиком" для экземпляра Azure Spring Apps.
Аналогичные ограничения также применяются к Azure Spring Apps, когда исходящие трафикы направляются в брандмауэр. Проблема возникает, так как обе ситуации вводят асимметричную маршрутизацию в кластер. Пакеты приходят на общедоступный IP-адрес конечной точки, но возвращаются к брандмауэру через частный IP-адрес. Таким образом, брандмауэр должен блокировать такой трафик. Дополнительные сведения см. в разделе Использование собственной таблицы маршрутизации статьи Развертывание службы Azure Spring Apps в виртуальной сети.
Если вы выполняете маршрутизацию исходящего трафика в брандмауэр, но также должны предоставлять приложение в Интернет, используйте возможности предоставления доступа к Интернету с функцией завершения TLS. Дополнительные сведения см. в разделе "Предоставление приложений в Интернет с завершением TLS" на Шлюз приложений.