Kundansvar för att köra Azure Spring Apps i ett virtuellt nätverk
Kommentar
Basic-, Standard- och Enterprise-planerna kommer att vara inaktuella från och med mitten av mars 2025, med en 3-årig pensionsperiod. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i meddelandet om azure Spring Apps-pensionering.
Standardförbrukningen och den dedikerade planen kommer att vara inaktuell från och med den 30 september 2024, med en fullständig avstängning efter sex månader. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i Migrera Azure Spring Apps Standard-förbrukning och dedikerad plan till Azure Container Apps.
Den här artikeln gäller för: ✔️ Basic/Standard ✔️ Enterprise
Den här artikeln innehåller specifikationer för användning av Azure Spring Apps i ett virtuellt nätverk.
När Azure Spring Apps distribueras i ditt virtuella nätverk har det utgående beroenden på tjänster utanför det virtuella nätverket. För hantering och drift måste Azure Spring Apps komma åt vissa portar och fullständigt kvalificerade domännamn (FQDN). Azure Spring Apps kräver att dessa slutpunkter kommunicerar med hanteringsplanet och laddar ned och installerar kubernetes-kärnklusterkomponenter och säkerhetsuppdateringar.
Som standard har Azure Spring Apps obegränsad utgående (utgående) internetåtkomst. Med den här nivån av nätverksåtkomst kan program som du kör komma åt externa resurser efter behov. Om du vill begränsa utgående trafik måste ett begränsat antal portar och adresser vara tillgängliga för underhållsaktiviteter. Den enklaste lösningen för att skydda utgående adresser är att använda en brandväggsenhet som kan styra utgående trafik baserat på domännamn. Azure Firewall kan till exempel begränsa utgående HTTP- och HTTPS-trafik baserat på målets fullständiga domännamn. Du kan också konfigurera de brandväggs- och säkerhetsregler som krävs för att tillåta dessa portar och adresser.
Resurskrav för Azure Spring Apps
I följande lista visas resurskraven för Azure Spring Apps-tjänster. Som ett allmänt krav bör du inte ändra resursgrupper som skapats av Azure Spring Apps och de underliggande nätverksresurserna.
- Ändra inte resursgrupper som skapats och ägs av Azure Spring Apps.
- Som standard namnges
ap-svc-rt_<service-instance-name>_<region>*dessa resursgrupper ochap_<service-instance-name>_<region>*. - Blockera inte Azure Spring Apps från att uppdatera resurser i dessa resursgrupper.
- Som standard namnges
- Ändra inte undernät som används av Azure Spring Apps.
- Skapa inte fler än en Azure Spring Apps-tjänstinstans i samma undernät.
- När du använder en brandvägg för att styra trafik ska du inte blockera följande utgående trafik till Azure Spring Apps-komponenter som använder, underhåller och stöder tjänstinstansen.
Nätverksregler som krävs för Azure Global
| Målslutpunkt | Port | Använd | Kommentar |
|---|---|---|---|
| *:443 eller ServiceTag – AzureCloud:443 | TCP:443 | Azure Spring Apps Service Management. | Information om tjänstinstansen requiredTrafficsfinns i resursnyttolasten under networkProfile avsnittet . |
| *.azurecr.io:443 eller ServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Kan ersättas genom att aktivera Tjänstslutpunkten för Azure Container Registry i det virtuella nätverket. |
| *.core.windows.net:443 och *.core.windows.net:445 eller ServiceTag – Storage:443 och Storage:445 | TCP:443, TCP:445 | Azure Files | Kan ersättas genom att aktivera Azure Storage-tjänstslutpunkten i det virtuella nätverket. |
| *.servicebus.windows.net:443 eller ServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Kan ersättas genom att aktivera Azure Event Hubs-tjänstslutpunkten i det virtuella nätverket. |
| *.prod.microsoftmetrics.com:443 eller ServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor. | Tillåter utgående anrop till Azure Monitor. |
Azure Global obligatoriskt FQDN/programregler
Azure Firewall tillhandahåller FQDN-taggen AzureKubernetesService för att förenkla följande konfigurationer:
| Mål-FQDN | Port | Använd |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Underliggande Kubernetes-klusterhantering. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | MCR-lagring som backas upp av Azure CDN. |
| management.azure.com | HTTPS:443 | Underliggande Kubernetes-klusterhantering. |
| login.microsoftonline.com | HTTPS:443 | Microsoft Entra-autentisering. |
| packages.microsoft.com | HTTPS:443 | Microsoft-paketlagringsplats. |
| acs-mirror.azureedge.net | HTTPS:443 | Lagringsplats som krävs för att installera nödvändiga binärfiler som kubenet och Azure CNI. |
Microsoft Azure drivs av 21Vianet-obligatoriska nätverksregler
| Målslutpunkt | Port | Använd | Kommentar |
|---|---|---|---|
| *:443 eller ServiceTag – AzureCloud:443 | TCP:443 | Azure Spring Apps Service Management. | Information om tjänstinstansen requiredTrafficsfinns i resursnyttolasten under networkProfile avsnittet . |
| *.azurecr.cn:443 eller ServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Kan ersättas genom att aktivera Tjänstslutpunkten för Azure Container Registry i det virtuella nätverket. |
| *.core.chinacloudapi.cn:443 och *.core.chinacloudapi.cn:445 eller ServiceTag – Storage:443 och Storage:445 | TCP:443, TCP:445 | Azure Files | Kan ersättas genom att aktivera Azure Storage-tjänstslutpunkten i det virtuella nätverket. |
| *.servicebus.chinacloudapi.cn:443 eller ServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Kan ersättas genom att aktivera Azure Event Hubs-tjänstslutpunkten i det virtuella nätverket. |
| *.prod.microsoftmetrics.com:443 eller ServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor. | Tillåter utgående anrop till Azure Monitor. |
Microsoft Azure drivs av 21Vianet-krav på FQDN/programregler
Azure Firewall tillhandahåller FQDN-taggen AzureKubernetesService för att förenkla följande konfigurationer:
| Mål-FQDN | Port | Använd |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Underliggande Kubernetes-klusterhantering. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | MCR-lagring som backas upp av Azure CDN. |
| management.chinacloudapi.cn | HTTPS:443 | Underliggande Kubernetes-klusterhantering. |
| login.chinacloudapi.cn | HTTPS:443 | Microsoft Entra-autentisering. |
| packages.microsoft.com | HTTPS:443 | Microsoft-paketlagringsplats. |
| *.azk8s.cn | HTTPS:443 | Lagringsplats som krävs för att installera nödvändiga binärfiler som kubenet och Azure CNI. |
Azure Spring Apps valfritt FQDN för programprestandahantering från tredje part
| Mål-FQDN | Port | Använd |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | Nödvändiga nätverk av New Relic APM-agenter från usa-regionen finns även i APM-agentnätverk. |
| collector*.eu01.nr-data.net | TCP:443/80 | Nödvändiga nätverk av APM-agenter för new relic från EU-regionen finns också i APM-agentnätverk. |
| *.live.dynatrace.com | TCP:443 | Obligatoriskt nätverk av Dynatrace APM-agenter. |
| *.live.ruxit.com | TCP:443 | Obligatoriskt nätverk av Dynatrace APM-agenter. |
| *.saas.appdynamics.com | TCP:443/80 | Obligatoriskt nätverk av AppDynamics APM-agenter, se även SaaS-domäner och IP-intervall. |
Valfritt FQDN för Azure Spring Apps för Application Insights
Du måste öppna några utgående portar i serverns brandvägg så att Application Insights SDK eller Application Insights-agenten kan skicka data till portalen. Mer information finns i avsnittet Utgående portar för IP-adresser som används av Azure Monitor.