Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Kommentar
Planerna Basic, Standardoch Enterprise gick in i en pensionsperiod den 17 mars 2025. Mer information finns i meddelandet om azure Spring Apps-pensionering.
Planen Standard consumption och den dedikerade gick in i en pensionsperiod den 30 september 2024, med en fullständig avstängning i slutet av mars 2025. För mer information, se Migrera Azure Spring Apps Standard-förbrukning och dedikerad plan till Azure Container Apps.
Den här artikeln gäller för:✅ Basic/Standard ✅ Enterprise
Den här artikeln innehåller specifikationer för användning av Azure Spring Apps i ett virtuellt nätverk.
När Azure Spring Apps distribueras i ditt virtuella nätverk har det utgående beroenden på tjänster utanför det virtuella nätverket. För hantering och drift måste Azure Spring Apps komma åt vissa portar och fullständigt kvalificerade domännamn (FQDN). Azure Spring Apps kräver att dessa slutpunkter kommunicerar med hanteringsplanet och laddar ned och installerar kubernetes-kärnklusterkomponenter och säkerhetsuppdateringar.
Som standard har Azure Spring Apps obegränsad utgående (utgående) internetåtkomst. Med den här nivån av nätverksåtkomst kan program som du kör komma åt externa resurser efter behov. Om du vill begränsa utgående trafik måste ett begränsat antal portar och adresser vara tillgängliga för underhållsaktiviteter. Den enklaste lösningen för att skydda utgående adresser är att använda en brandväggsenhet som kan styra utgående trafik baserat på domännamn. Azure Firewall kan till exempel begränsa utgående HTTP- och HTTPS-trafik baserat på målets fullständiga domännamn. Du kan också konfigurera de brandväggs- och säkerhetsregler som krävs för att tillåta dessa portar och adresser.
Resurskrav för Azure Spring Apps
I följande lista visas resurskraven för Azure Spring Apps-tjänster. Som ett allmänt krav bör du inte ändra resursgrupper som skapats av Azure Spring Apps och de underliggande nätverksresurserna.
- Ändra inte resursgrupper som skapats och ägs av Azure Spring Apps.
- Dessa resursgrupper namnges som standard
ap-svc-rt_<service-instance-name>_<region>*ochap_<service-instance-name>_<region>*. - Blockera inte Azure Spring Apps från att uppdatera resurser i dessa resursgrupper.
- Dessa resursgrupper namnges som standard
- Ändra inte undernät som används av Azure Spring Apps.
- Skapa inte fler än en Azure Spring Apps-tjänstinstans i samma undernät.
- När du använder en brandvägg för att styra trafik ska du inte blockera följande utgående trafik till Azure Spring Apps-komponenter som använder, underhåller och stöder tjänstinstansen.
Nätverksregler som krävs för Azure Global
| Målslutpunkt | Port | Använd | Kommentar |
|---|---|---|---|
| *:443 eller ServiceTag – AzureCloud:443 | TCP:443 | Azure Spring Apps Service Management. | Information om tjänstinstansen requiredTrafficsfinns i resursnyttolasten under networkProfile avsnittet . |
| *.azurecr.io:443 eller ServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Kan ersättas genom att aktivera Tjänstslutpunkten för Azure Container Registryi det virtuella nätverket. |
| *.core.windows.net:443 och *.core.windows.net:445 eller ServiceTag – Storage:443 och Storage:445 | TCP:443, TCP:445 | Azure Files | Kan ersättas genom att aktivera Azure Storage-tjänstslutpunkteni det virtuella nätverket. |
| *.servicebus.windows.net:443 eller ServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Kan ersättas genom att aktivera Azure Event Hubs-tjänstslutpunkteni det virtuella nätverket. |
| *.prod.microsoftmetrics.com:443 eller ServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor. | Tillåter utgående anrop till Azure Monitor. |
Azure Global obligatoriskt FQDN/programregler
Azure Firewall tillhandahåller FQDN-taggen AzureKubernetesService för att förenkla följande konfigurationer:
| Mål-FQDN | Port | Använd |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Grundläggande Kubernetes-klusterhantering. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | MCR-lagring som backas upp av Azure CDN. |
| management.azure.com | HTTPS:443 | Underliggande Kubernetes-klusterhantering. |
| login.microsoftonline.com | HTTPS:443 | Microsoft Entra-autentisering. |
| packages.microsoft.com | HTTPS:443 | Microsoft-paketlagringsplats. |
| acs-mirror.azureedge.net | HTTPS:443 | Lagringsplats som krävs för att installera nödvändiga binärfiler som kubenet och Azure CNI. |
Microsoft Azure drivs av 21Vianet-obligatoriska nätverksregler
| Målslutpunkt | Port | Använd | Kommentar |
|---|---|---|---|
| *:443 eller ServiceTag – AzureCloud:443 | TCP:443 | Azure Spring Apps Service Management. | Information om tjänstinstansen requiredTrafficsfinns i resursnyttolasten under networkProfile avsnittet . |
| *.azurecr.cn:443 eller ServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Kan ersättas genom att aktivera Tjänstslutpunkten för Azure Container Registryi det virtuella nätverket. |
| *.core.chinacloudapi.cn:443 och *.core.chinacloudapi.cn:445 eller ServiceTag – Storage:443 och Storage:445 | TCP:443, TCP:445 | Azure Files | Kan ersättas genom att aktivera Azure Storage-tjänstslutpunkteni det virtuella nätverket. |
| *.servicebus.chinacloudapi.cn:443 eller ServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Kan ersättas genom att aktivera Azure Event Hubs-tjänstslutpunkteni det virtuella nätverket. |
| *.prod.microsoftmetrics.com:443 eller ServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor. | Tillåter utgående anrop till Azure Monitor. |
Microsoft Azure som drivs av 21Vianet kräver FQDN-/programregler
Azure Firewall tillhandahåller FQDN-taggen AzureKubernetesService för att förenkla följande konfigurationer:
| Mål-FQDN | Port | Använd |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Underliggande Kubernetes-klusterhantering. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | MCR-lagring som backas upp av Azure CDN. |
| management.chinacloudapi.cn | HTTPS:443 | Underliggande Kubernetes-klusterhantering. |
| login.chinacloudapi.cn | HTTPS:443 | Microsoft Entra-autentisering. |
| packages.microsoft.com | HTTPS:443 | Microsoft-paketlagringsplats. |
| *.azk8s.cn | HTTPS:443 | Lagringsplats som krävs för att installera nödvändiga binärfiler som kubenet och Azure CNI. |
Azure Spring Apps valfritt FQDN för programprestandahantering från tredje part
| Mål-FQDN | Port | Använd |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | Nödvändiga nätverk för New Relic APM-agenter från USA-regionen, se även APM-agentnätverk. |
| collector*.eu01.nr-data.net | TCP:443/80 | Krävda nätverk för New Relic APM-agenter från EU-regionen, se även APM-agentnätverk. |
| *.live.dynatrace.com | TCP:443 | Obligatoriskt nätverk av Dynatrace APM-agenter. |
| *.live.ruxit.com | TCP:443 | Obligatoriskt nätverk av Dynatrace APM-agenter. |
| *.saas.appdynamics.com | TCP:443/80 | Obligatoriskt nätverk av AppDynamics APM-agenter, se även SaaS-domäner och IP-intervall. |
Valfri FQDN för Application Insights i Azure Spring Apps
Du måste öppna några utgående portar i serverns brandvägg så att Application Insights SDK eller Application Insights-agenten kan skicka data till portalen. Mer information finns i avsnittet Utgående portar för IP-adresser som används av Azure Monitor.
VirtualNetwork-tjänsttagg
Azure-nätverkssäkerhetsgrupper kan filtrera nätverkstrafik i ett virtuellt Azure-nätverk. När du aktiverar inkommande nätverkstrafik med hjälp av VirtualNetwork tjänsttaggen innehåller den automatiskt alla IP-adressintervall för det virtuella arbetsbelastningsnätverket och alla peer-kopplade virtuella överföringsnätverk.
För Azure Spring Apps som körs på Azure Kubernetes Service (AKS) hanterar AKS-infrastrukturen IP-adressprefixen för arbetsbelastningar i alla AKS-nodpooler. Dessa prefix ingår implicit i VirtualNetwork tjänsttaggen. Den här designen säkerställer att program förblir tillgängliga i det virtuella nätverket, även om deras IP-adresser ligger utanför det virtuella nätverkets definierade IP-intervall.
Om du bestämmer dig för att inte tillåta trafik med hjälp av VirtualNetwork tjänsttaggen måste du konfigurera specifika regler för att tillåta kommunikation mellan Azure Spring Apps-tjänstens runtime-undernät och appundernätet. Dessutom måste du uttryckligen tillåta trafik från azure Spring Apps reserverade CIDR-intervall (Classless Inter-Domain Routing), som används av den underliggande AKS-infrastrukturen. Du kan inte bara lägga till en del av CIDR-intervallet i listan över tillåtna eftersom adressprefixet för arbetsbelastningar är dynamiskt.