Обязанности клиента по запуску Azure Spring Apps в виртуальной сети
Примечание.
Планы "Базовый", "Стандартный" и "Корпоративный" будут устарели начиная с середины марта 2025 г. с 3-летнего периода выхода на пенсию. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в объявлении о выходе на пенсию в Azure Spring Apps.
Стандартный план потребления и выделенного плана будет устарел с 30 сентября 2024 г. с полным завершением работы после шести месяцев. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в статье "Миграция потребления Azure Spring Apps Standard" и выделенного плана в приложения контейнеров Azure.
Эта статья относится к: ✔️ Basic/Standard ✔️ Enterprise
В этой статье содержатся спецификации для использования Azure Spring Apps в виртуальной сети.
Развернутая в вашей виртуальной сети служба Azure Spring Apps имеет исходящие зависимости от служб за пределами этой сети. Для управления и эксплуатации Azure Spring Apps нужен доступ к определенным портам и полным доменным именам (FQDN). Azure Spring Apps необходимо, чтобы эти конечные точки установили связь с плоскостью управления, а также загрузили и установили основные компоненты кластера Kubernetes и обновления для системы безопасности.
По умолчанию Azure Spring Apps имеет неограниченный исходящий доступ к Интернету (исходящий трафик). Такой уровень сетевого доступа позволяет запущенным приложениям обращаться к внешним ресурсам по мере необходимости. Если вы хотите ограничить исходящий трафик, нужно сохранить доступ для ограниченного числа портов и адресов, чтобы обеспечить работоспособность для задач обслуживания. Самое простое решение для защиты исходящих адресов заключается в использовании брандмауэра, который может контролировать исходящий трафик на основе доменных имен. Например, брандмауэр Azure может ограничить исходящий трафик HTTP и HTTPS на основе FQDN назначения. Вы также можете настроить разрешения для этих портов и адресов в выбранном брандмауэре и в правилах безопасности.
Требования к ресурсам для Azure Spring Apps
В указанном ниже списке показаны требования к ресурсам для служб Azure Spring Apps. Общее требование заключается в том, что не следует изменять группы ресурсов, созданные Azure Spring Apps, а также базовые сетевые ресурсы.
- Не изменяйте группы ресурсов, созданные и принадлежащие Azure Spring Apps.
- По умолчанию эти группы ресурсов называются
ap-svc-rt_<service-instance-name>_<region>*иap_<service-instance-name>_<region>*. - Не запрещайте Azure Spring Apps обновлять ресурсы в этих группах ресурсов.
- По умолчанию эти группы ресурсов называются
- Не изменяйте подсети, используемые в Azure Spring Apps.
- Не создавайте более одного экземпляра облачной службы Azure Spring Apps в одной подсети.
- При использовании брандмауэра для управления трафиком не блокируйте исходящий трафик к компонентам Azure Spring Apps, которые эксплуатируют, обслуживают и поддерживают экземпляр службы.
Глобальные обязательные правила сети Azure
| Конечная точка назначения | Порт | Использование | Примечание. |
|---|---|---|---|
| *:443 или ServiceTag — AzureCloud:443 | TCP:443 | Управление службами Azure Spring Apps. | Сведения об экземпляре requiredTrafficsслужбы см. в разделе networkProfile "Полезные данные ресурса". |
| *.azurecr.io:443 или ServiceTag — AzureContainerRegistry:443 | TCP:443 | Реестр контейнеров Azure. | Можно заменить, включив конечную точку службы Реестр контейнеров Azure в виртуальной сети. |
| *.core.windows.net:443 и *.core.windows.net:445 или ServiceTag — хранилище:443 и хранилище:445 | TCP:443, TCP:445 | Файлы Azure | Можно заменить, включив конечную точку службы служба хранилища Azure в виртуальной сети. |
| *.servicebus.windows.net:443 или ServiceTag — EventHub:443 | TCP:443 | . | Можно заменить, включив конечную точку службы Центры событий Azure в виртуальной сети. |
| *.prod.microsoftmetrics.com:443 или ServiceTag — AzureMonitor:443 | TCP:443 | Azure Monitor. | Разрешает исходящие вызовы к Azure Monitor. |
Глобальное требуемое полное доменное имя или правила приложения Azure
Брандмауэр Azure предоставляет тег FQDN AzureKubernetesService, чтобы упростить применение перечисленных ниже конфигураций.
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Управление базовым кластером Kubernetes. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Хранилище MCR на базе Azure CDN. |
| management.azure.com | HTTPS:443 | Управление базовым кластером Kubernetes. |
| login.microsoftonline.com | HTTPS:443 | Проверка подлинности Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Репозиторий пакетов Майкрософт. |
| acs-mirror.azureedge.net | HTTPS:443 | Для установки обязательных двоичных файлов, например kubenet и Azure CNI, необходим репозиторий. |
Microsoft Azure, управляемый правилами сети 21Vianet
| Конечная точка назначения | Порт | Использование | Примечание. |
|---|---|---|---|
| *:443 или ServiceTag — AzureCloud:443 | TCP:443 | Управление службами Azure Spring Apps. | Сведения об экземпляре requiredTrafficsслужбы см. в разделе networkProfile "Полезные данные ресурса". |
| *.azurecr.cn:443 или ServiceTag — AzureContainerRegistry:443 | TCP:443 | Реестр контейнеров Azure. | Можно заменить, включив конечную точку службы Реестр контейнеров Azure в виртуальной сети. |
| *.core.chinacloudapi.cn:443 и *.core.chinacloudapi.cn:445 или ServiceTag — хранилище:443 и хранилище:445 | TCP:443, TCP:445 | Файлы Azure | Можно заменить, включив конечную точку службы служба хранилища Azure в виртуальной сети. |
| *.servicebus.chinacloudapi.cn:443 или ServiceTag — EventHub:443 | TCP:443 | . | Можно заменить, включив конечную точку службы Центры событий Azure в виртуальной сети. |
| *.prod.microsoftmetrics.com:443 или ServiceTag — AzureMonitor:443 | TCP:443 | Azure Monitor. | Разрешает исходящие вызовы к Azure Monitor. |
Microsoft Azure, управляемый 21Vianet, требуется полное доменное имя или правила приложения
Брандмауэр Azure предоставляет тег AzureKubernetesService полного доменного имени для упрощения следующих конфигураций:
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Управление базовым кластером Kubernetes. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Хранилище MCR на базе Azure CDN. |
| management.chinacloudapi.cn | HTTPS:443 | Управление базовым кластером Kubernetes. |
| login.chinacloudapi.cn | HTTPS:443 | Проверка подлинности Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Репозиторий пакетов Майкрософт. |
| *.azk8s.cn | HTTPS:443 | Для установки обязательных двоичных файлов, например kubenet и Azure CNI, необходим репозиторий. |
Дополнительное полное доменное имя Azure Spring Apps для управления производительностью сторонних приложений
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
| сборщик*.newrelic.com | TCP:443/80 | Сети, требующиеся для агентов APM New Relic из США, также указаны в разделе Сети агентов APM. |
| collector*.eu01.nr-data.net | TCP:443/80 | Сети, требующиеся для агентов APM New Relic из Европы, также указаны в разделе Сети агентов APM. |
| *.live.dynatrace.com | TCP:443 | Обязательная сеть агентов наблюдения за производительностью приложений Dynatrace. |
| *.live.ruxit.com | TCP:443 | Обязательная сеть агентов наблюдения за производительностью приложений Dynatrace. |
| *.saas.appdynamics.com | TCP:443/80 | Требуется сеть агентов APM AppDynamics; также см. страницу Домены SaaS и диапазоны IP-адресов. |
Необязательное полное доменное имя Azure Spring Apps для Application Insights
Необходимо открыть некоторые исходящие порты в брандмауэре сервера, чтобы разрешить пакету SDK Application Insights или агенту Application Insights отправлять данные на портал. Дополнительные сведения см. в разделе "Исходящие порты" IP-адресов , используемых Azure Monitor.