Доступ к приложению в Azure Spring Apps в виртуальной сети

Примечание.

Планы "Базовый", "Стандартный" и "Корпоративный" будут устарели начиная с середины марта 2025 г. с 3-летнего периода выхода на пенсию. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в объявлении о выходе на пенсию в Azure Spring Apps.

Стандартный план потребления и выделенного плана будет устарел с 30 сентября 2024 г. с полным завершением работы после шести месяцев. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в статье "Миграция потребления Azure Spring Apps Standard" и выделенного плана в приложения контейнеров Azure.

Эта статья относится к: ✔️ Basic/Standard ✔️ Enterprise

В этой статье описано, как получить доступ к конечной точке приложения в частной сети.

При назначении конечной точки в приложении в экземпляре службы Azure Spring Apps, развернутом в виртуальной сети, конечная точка использует частное полное доменное имя (FQDN). Домен доступен только в частной сети. Приложения и службы используют конечную точку приложения. Они включают тестовую конечную точку , описанную в разделе "Просмотр приложений и развертываний " в разделе "Настройка промежуточной среды в Azure Spring Apps". Потоковая передача журналов, описанная в статье Потоковая передача журналов приложения в Azure Spring Apps в реальном времени, также работает только в частной сети.

Для доступа к назначенной конечной точке доступны следующие два варианта:

• Создайте собственную частную зону доменных имен (DNS) и свяжите ее с Azure Spring Apps. Этот метод настоятельно рекомендуется, так как Azure Spring Apps автоматически связывает зону DNS с виртуальной сетью и управляет записью DNS для конечной точки приложения.

• Создайте частную зону DNS и вручную управляйте ссылкой виртуальной сети и записями DNS, следуя инструкциям по поиску IP-адреса подсистемы балансировки нагрузки (LB) экземпляра службы Azure Spring Apps.

Необходимые компоненты

• Подписка Azure. Если у вас еще нет подписки, создайте бесплатную учетную запись Azure, прежде чем начинать работу.
• (Необязательно) Azure CLI версии 2.45.0 или более поздней.
• Существующее приложение в экземпляре службы Azure Spring Apps, развернутое в виртуальной сети. Дополнительные сведения см. в статье "Развертывание Azure Spring Apps в виртуальной сети".

Создание частной зоны DNS

Портал Azure

Чтобы создать частную зону DNS для приложения в частной сети, выполните следующие действия.

1. Откройте портал Azure. Используя поле поиска, найдите зоны Частная зона DNS. Выберите Частная зона DNS зоны из результатов поиска.

2. На странице Частные зоны DNS нажмите кнопку + Добавить.

3. Заполните форму на странице Создание частной зоны DNS. В поле "Имя" введите private.azuremicroservices.io.

4. Выберите Review + Create (Просмотреть и создать).

5. Нажмите кнопку создания.

Azure CLI

Чтобы создать частную зону DNS, используйте следующую команду:

az network private-dns zone create \
    --resource-group $RESOURCE_GROUP \
    --name private.azuremicroservices.io

Создание зоны может занять несколько минут.

Настройка частной зоны DNS для автоматического управления конечными точками

После создания частной зоны DNS можно использовать Azure Spring Apps для управления частными зонами DNS. Этот подход упрощает обработку каналов виртуальной сети и записей DNS. Этот подход особенно полезен в средах с несколькими экземплярами в одной виртуальной сети или в средах, использующих пиринги виртуальных сетей. Azure Spring Apps автоматизирует управление ссылками виртуальной сети и динамическое добавление или удаление записей DNS "A" как конечные точки назначены или не назначены.

Примечание.

Azure Spring Apps не управляет конечными точками, назначенными до добавления частной зоны DNS. Чтобы включить управление записями DNS для этих конечных точек, отмените назначение и переназначите конечные точки.

Предоставление разрешения частной зоне DNS

Портал Azure

Чтобы предоставить разрешение, выполните следующие действия.

1. Выберите созданный ресурс частной зоны DNS, например private.azuremicroservices.io.

2. Выберите Управление доступом (IAM), а затем Добавить>Добавить назначение ролей.

   

3. Private DNS Zone Contributor Назначьте роль поставщику ресурсов Azure Spring Apps. Дополнительные сведения см. в разделе Назначение ролей Azure с помощью портала Azure.

   Примечание.

   Если вы не найдете поставщик ресурсов Azure Spring Apps, найдите поставщика ресурсов Azure Spring Cloud.

   

Azure CLI

Используйте следующие команды, чтобы предоставить разрешение:

export PRIVATE_DNS_ZONE_RESOURCE_ID=$(az network private-dns zone show \
    --resource-group $RESOURCE_GROUP \
    --name $PRIVATE_DNS_ZONE_NAME \
    --query "id" \
    --output tsv)

az role assignment create \
    --role "Private DNS Zone Contributor" \
    --scope ${PRIVATE_DNS_ZONE_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

Аргумент --assignee представляет субъект-службу Azure Spring Apps, который использует для взаимодействия с частной зоной DNS клиента.

Связывание частной зоны DNS с Azure Spring Apps

Чтобы связать частную зону DNS с экземпляром службы Azure Spring Apps, используйте Azure CLI. Этот шаг включает указание группы ресурсов, имени экземпляра Azure Spring Apps и идентификатора ресурса частной зоны DNS.

Используйте следующую команду, чтобы настроить частную зону DNS с помощью Azure Spring Apps. Эта конфигурация позволяет Azure Spring Apps автоматически создавать канал виртуальной сети в частной зоне DNS и управлять добавлением или удалением записей DNS "A" в качестве конечных точек назначены или не назначены.

az spring private-dns-zone add \
    --resource-group $RESOURCE_GROUP \
    --service $AZURE_SPRING_APPS_INSTANCE_NAME \
    --zone-id $PRIVATE_DNS_ZONE_RESOURCE_ID

Если вы хотите отменить связь экземпляра Azure Spring Apps с частной зоны DNS и остановить автоматическое управление записями DNS "A", можно очистить конфигурацию. Чтобы очистить частную зону DNS, настроенную с помощью Azure Spring Apps, используйте следующую команду:

az spring private-dns-zone clean \
    --resource-group $RESOURCE_GROUP \
    --service $AZURE_SPRING_APPS_INSTANCE_NAME

Настройка частной зоны DNS вручную

Если вы предпочитаете иметь полный контроль над частной зоной DNS, в следующих разделах показано, как вручную настроить его.

Поиск IP-адреса приложения

Портал Azure

Чтобы найти IP-адрес приложения, выполните следующие действия.

1. Перейдите на страницу "Сеть службы Azure Spring Apps".

2. Перейдите на вкладку внедрения виртуальной сети.

3. В разделе "Общие сведения" найдите конечную точку и скопируйте значение IP-адреса. В примере на следующем снимке экрана используется IP-адрес 10.0.1.6:

   

Azure CLI

Выполните следующие действия, чтобы инициализировать локальную среду и найти IP-адрес приложения.

1. Используйте следующие команды для определения различных переменных среды. Обязательно замените заполнители фактическими значениями.

   export SUBSCRIPTION='<subscription-ID>'
   export RESOURCE_GROUP='<resource-group-name>'
   export AZURE_SPRING_APPS_INSTANCE_NAME='<Azure-Spring-Apps-instance-name>'
   export VIRTUAL_NETWORK_NAME='<Azure-Spring-Apps-virtual-network-name>'
   export APP_NAME='<application-name>'
   

2. Используйте следующие команды, чтобы войти в Azure CLI и выбрать активную подписку:

   az login
   az account set --subscription ${SUBSCRIPTION}
   

3. Используйте следующие команды, чтобы найти IP-адрес приложения.

   export SERVICE_RUNTIME_RG=$(az spring show \
       --resource-group $RESOURCE_GROUP \
       --name $AZURE_SPRING_APPS_INSTANCE_NAME \
       --query "properties.networkProfile.serviceRuntimeNetworkResourceGroup" \
       --output tsv)
   export IP_ADDRESS=$(az network lb frontend-ip list \
       --lb-name kubernetes-internal \
       --resource-group $SERVICE_RUNTIME_RG \
       --query "[0].privateIPAddress" \
       --output tsv)
   echo $IP_ADDRESS
   

Добавление DNS-адреса для IP-адреса

Если у вас есть собственное решение DNS для виртуальной сети, например контроллер домена Active Directory, Infoblox или другой, необходимо указать домен *.private.azuremicroservices.io на IP-адрес. В противном случае используйте приведенные ниже инструкции, чтобы создать зону Azure Частная зона DNS в подписке, чтобы перевести и разрешить частное полное доменное имя в ip-адрес.

Примечание.

Если вы используете Microsoft Azure под управлением 21Vianet, обязательно замените private.azuremicroservices.io его private.microservices.azure.cn в этой статье. Дополнительные сведения см . в разделе "Проверка конечных точек" в руководстве разработчика Azure для Китая.

Создание записи DNS

Необходимо создать запись типа "A" в частной зоне DNS.

Портал Azure

Выполните следующие действия, чтобы использовать частную зону DNS для преобразования и разрешения DNS:

1. Выберите созданный ресурс частной зоны DNS, например private.azuremicroservices.io.

2. Выберите Набор записей.

3. В разделе Добавление набора записей введите или выберите следующие сведения:

   Параметр	Значение
   Имя	Введите *.
   Тип	Выберите тип A.
   Срок жизни	Введите 1.
   Единица срока жизни	Выберите Часы.
   IP-адрес	Введите IP-адрес. На следующем сниме экрана используется IP-адрес 10.1.0.7.

   

4. Нажмите ОК.

Azure CLI

Используйте следующую команду, чтобы создать запись "A" в зоне DNS:

az network private-dns record-set a add-record \
    --resource-group $RESOURCE_GROUP \
    --zone-name private.azuremicroservices.io \
    --record-set-name '*' \
    --ipv4-address $IP_ADDRESS

Связывание частной зоны DNS с виртуальной сетью

Чтобы связать частную зону DNS с виртуальной сетью, создайте связь виртуальной сети.

Портал Azure

Чтобы связать частную зону DNS, созданную с виртуальной сетью, в службе Azure Spring Apps выполните следующие действия.

1. Выберите созданный ресурс частной зоны DNS, например private.azuremicroservices.io.

2. Выберите ссылки виртуальной сети и нажмите кнопку "Добавить".

3. Для имени ссылки введите azure-spring-apps-dns-link.

4. Для виртуальной сети выберите созданную ранее виртуальную сеть.

   

5. Нажмите ОК.

Azure CLI

Используйте следующую команду, чтобы связать частную зону DNS, созданную с виртуальной сетью, в которой содержится служба Azure Spring Apps:

az network private-dns link vnet create \
    --resource-group $RESOURCE_GROUP \
    --name azure-spring-apps-dns-link \
    --zone-name private.azuremicroservices.io \
    --virtual-network $VIRTUAL_NETWORK_NAME \
    --registration-enabled false

Назначение частного полного доменного имени приложения

После настройки зоны Частная зона DNS и развертывания Azure Spring Apps в виртуальной сети можно назначить частное полное доменное имя для приложения. Дополнительные сведения см. в статье "Развертывание Azure Spring Apps в виртуальной сети".

Портал Azure

Чтобы назначить частное полное доменное имя, выполните следующие действия.

1. Выберите экземпляр службы Azure Spring Apps, развернутый в виртуальной сети, и откройте вкладку "Приложения ".

2. Выберите приложение, чтобы открыть страницу обзора .

3. Выберите Назначить конечную точку, чтобы назначить приложению частное полное доменное имя. Присвоение полного доменного имени может занять несколько минут.

   

4. Теперь можно назначить частное полное доменное имя (URL-адрес с меткой). Вы можете получить доступ только к URL-адресу в частной сети, но не в Интернете.

Azure CLI

Используйте следующую команду, чтобы назначить конечную точку приложению:

az spring app update \
    --resource-group $RESOURCE_GROUP \
    --name $APP_NAME \
    --service $AZURE_SPRING_APPS_INSTANCE_NAME \
    --assign-endpoint true

Доступ к частному полному домену приложения

После назначения можно получить доступ к частному полному доменному имени приложения в частной сети. Например, можно создать компьютер jumpbox в той же виртуальной сети или в одноранговой виртуальной сети. Затем на этой виртуальной машине можно получить доступ к частному полному доменному имени.

Очистка ресурсов

Если вы планируете продолжить работу с последующими статьями, эти ресурсы можно не удалять. Если они больше не нужны, удалите группу ресурсов, которая удаляет ресурсы в группе ресурсов. Чтобы удалить группу ресурсов с помощью Azure CLI, выполните следующую команду:

az group delete --name $RESOURCE_GROUP

Следующие шаги

• Предоставление приложений с помощью сквозного протокола TLS в виртуальной сети
• Устранение неполадок Azure Spring Apps в виртуальных сетях
• Обязанности клиента по запуску Azure Spring Apps в виртуальной сети