Поделиться через


Обязанности клиента по запуску Azure Spring Apps в виртуальной сети

Примечание.

Azure Spring Apps — это новое название службы Azure Spring Cloud. Старое название будет еще некоторое время встречаться в наших материалах, пока мы не обновим ресурсы, такие как снимки экрана, видео и схемы.

Эта статья относится к: ✔️ Basic/Standard ✔️ Enterprise

В этой статье содержатся спецификации для использования Azure Spring Apps в виртуальной сети.

Развернутая в вашей виртуальной сети служба Azure Spring Apps имеет исходящие зависимости от служб за пределами этой сети. Для управления и эксплуатации Azure Spring Apps нужен доступ к определенным портам и полным доменным именам (FQDN). Azure Spring Apps необходимо, чтобы эти конечные точки установили связь с плоскостью управления, а также загрузили и установили основные компоненты кластера Kubernetes и обновления для системы безопасности.

По умолчанию Azure Spring Apps имеет неограниченный исходящий доступ к Интернету (исходящий трафик). Такой уровень сетевого доступа позволяет запущенным приложениям обращаться к внешним ресурсам по мере необходимости. Если вы хотите ограничить исходящий трафик, нужно сохранить доступ для ограниченного числа портов и адресов, чтобы обеспечить работоспособность для задач обслуживания. Самое простое решение для защиты исходящих адресов заключается в использовании брандмауэра, который может контролировать исходящий трафик на основе доменных имен. Например, брандмауэр Azure может ограничить исходящий трафик HTTP и HTTPS на основе FQDN назначения. Вы также можете настроить разрешения для этих портов и адресов в выбранном брандмауэре и в правилах безопасности.

Требования к ресурсам для Azure Spring Apps

В указанном ниже списке показаны требования к ресурсам для служб Azure Spring Apps. Общее требование заключается в том, что не следует изменять группы ресурсов, созданные Azure Spring Apps, а также базовые сетевые ресурсы.

  • Не изменяйте группы ресурсов, созданные и принадлежащие Azure Spring Apps.
    • По умолчанию эти группы ресурсов называются ap-svc-rt_<service-instance-name>_<region>* и ap_<service-instance-name>_<region>*.
    • Не запрещайте Azure Spring Apps обновлять ресурсы в этих группах ресурсов.
  • Не изменяйте подсети, используемые в Azure Spring Apps.
  • Не создавайте более одного экземпляра облачной службы Azure Spring Apps в одной подсети.
  • При использовании брандмауэра для управления трафиком не блокируйте исходящий трафик к компонентам Azure Spring Apps, которые эксплуатируют, обслуживают и поддерживают экземпляр службы.

Глобальные обязательные правила сети Azure

Конечная точка назначения Порт Использование Примечание.
*:443 илиServiceTag — AzureCloud:443 TCP:443 Управление службами Azure Spring Apps. Сведения об экземпляре requiredTrafficsслужбы см. в разделе networkProfile "Полезные данные ресурса".
*.azurecr.io:443 илиServiceTag — AzureContainerRegistry:443 TCP:443 Реестр контейнеров Azure. Можно заменить, включив конечную точку службы Реестр контейнеров Azure в виртуальной сети.
*.core.windows.net:443 и *.core.windows.net:445 илиServiceTag — Storage:443 и Storage:445 TCP:443, TCP:445 Файлы Azure Можно заменить, включив конечную точку службы служба хранилища Azure в виртуальной сети.
*.servicebus.windows.net:443 илиServiceTag — EventHub:443 TCP:443 . Можно заменить, включив конечную точку службы Центры событий Azure в виртуальной сети.
*.prod.microsoftmetrics.com:443 илиServiceTag — AzureMonitor:443 TCP:443 Azure Monitor. Разрешает исходящие вызовы к Azure Monitor.

Глобальное требуемое полное доменное имя или правила приложения Azure

Брандмауэр Azure предоставляет тег FQDN AzureKubernetesService, чтобы упростить применение перечисленных ниже конфигураций.

Полное доменное имя назначения Порт Использование
*.azmk8s.io HTTPS:443 Управление базовым кластером Kubernetes.
mcr.microsoft.com HTTPS:443 Microsoft Container Registry (MCR).
*.data.mcr.microsoft.com HTTPS:443 Хранилище MCR на базе Azure CDN.
management.azure.com HTTPS:443 Управление базовым кластером Kubernetes.
login.microsoftonline.com HTTPS:443 Проверка подлинности Microsoft Entra.
packages.microsoft.com HTTPS:443 Репозиторий пакетов Майкрософт.
acs-зеркало.azureedge.net HTTPS:443 Для установки обязательных двоичных файлов, например kubenet и Azure CNI, необходим репозиторий.

Microsoft Azure, управляемый правилами сети 21Vianet

Конечная точка назначения Порт Использование Примечание.
*:443 илиServiceTag — AzureCloud:443 TCP:443 Управление службами Azure Spring Apps. Сведения об экземпляре requiredTrafficsслужбы см. в разделе networkProfile "Полезные данные ресурса".
*.azurecr.cn:443 илиServiceTag — AzureContainerRegistry:443 TCP:443 Реестр контейнеров Azure. Можно заменить, включив конечную точку службы Реестр контейнеров Azure в виртуальной сети.
*.core.chinacloudapi.cn:443 и *.core.chinacloudapi.cn:445 илиServiceTag — служба хранилища:443 и служба хранилища:445 TCP:443, TCP:445 Файлы Azure Можно заменить, включив конечную точку службы служба хранилища Azure в виртуальной сети.
*.servicebus.chinacloudapi.cn:443 илиServiceTag — EventHub:443 TCP:443 . Можно заменить, включив конечную точку службы Центры событий Azure в виртуальной сети.
*.prod.microsoftmetrics.com:443 илиServiceTag — AzureMonitor:443 TCP:443 Azure Monitor. Разрешает исходящие вызовы к Azure Monitor.

Microsoft Azure, управляемый 21Vianet, требуется полное доменное имя или правила приложения

Брандмауэр Azure предоставляет тег AzureKubernetesService полного доменного имени для упрощения следующих конфигураций:

Полное доменное имя назначения Порт Использование
*.cx.prod.service.azk8s.cn HTTPS:443 Управление базовым кластером Kubernetes.
mcr.microsoft.com HTTPS:443 Microsoft Container Registry (MCR).
*.data.mcr.microsoft.com HTTPS:443 Хранилище MCR на базе Azure CDN.
management.chinacloudapi.cn HTTPS:443 Управление базовым кластером Kubernetes.
login.chinacloudapi.cn HTTPS:443 Проверка подлинности Microsoft Entra.
packages.microsoft.com HTTPS:443 Репозиторий пакетов Майкрософт.
*.azk8s.cn HTTPS:443 Для установки обязательных двоичных файлов, например kubenet и Azure CNI, необходим репозиторий.

Дополнительное полное доменное имя Azure Spring Apps для управления производительностью сторонних приложений

Полное доменное имя назначения Порт Использование
сборщик*.newrelic.com TCP:443/80 Сети, требующиеся для агентов APM New Relic из США, также указаны в разделе Сети агентов APM.
collector*.eu01.nr-data.net TCP:443/80 Сети, требующиеся для агентов APM New Relic из Европы, также указаны в разделе Сети агентов APM.
*.live.dynatrace.com TCP:443 Обязательная сеть агентов наблюдения за производительностью приложений Dynatrace.
*.live.ruxit.com TCP:443 Обязательная сеть агентов наблюдения за производительностью приложений Dynatrace.
*.saas.appdynamics.com TCP:443/80 Требуется сеть агентов APM AppDynamics; также см. страницу Домены SaaS и диапазоны IP-адресов.

Необязательное полное доменное имя Azure Spring Apps для Аналитика приложений

Необходимо открыть некоторые исходящие порты в брандмауэре сервера, чтобы разрешить пакету SDK для приложения Аналитика или агенту приложения Аналитика отправлять данные на портал. Дополнительные сведения см. в разделе "Исходящие порты" IP-адресов , используемых Azure Monitor.

Следующие шаги