Azure Spring Apps'i sanal ağda dağıtma

Not

Azure Spring Apps, Azure Spring Cloud hizmetinin yeni adıdır. Hizmetin yeni bir adı olsa da, ekran görüntüleri, videolar ve diyagramlar gibi varlıkları güncelleştirmek için çalışırken bazı yerlerde eski adı bir süre görürsünüz.

Bu makale şunlar için geçerlidir: ✔️ Java ✔️ C#

Bu makale şunlar için geçerlidir:❌ Temel ✔️ Standart ✔️ Kurumsal

Bu öğreticide, sanal ağınızda bir Azure Spring Apps örneğinin nasıl dağıtılacağı açıklanmaktadır. Bu dağıtım bazen sanal ağ ekleme olarak adlandırılır.

Dağıtım şunları etkinleştirir:

• Azure Spring Apps uygulamalarının ve hizmet çalışma zamanının kurumsal ağınızda İnternet'ten yalıtılarak.
• Şirket içi veri merkezlerindeki sistemlerle veya diğer sanal ağlardaki Azure hizmetleriyle Azure Spring Apps etkileşimi.
• Müşterilerin Azure Spring Apps için gelen ve giden ağ iletişimlerini denetlemesini sağlama.

Aşağıdaki videoda, yönetilen sanal ağları kullanarak Spring Boot uygulamalarının güvenliğinin nasıl sağlandığı açıklanır.

Not

Azure sanal ağınızı yalnızca yeni bir Azure Spring Apps hizmet örneği oluşturduğunuzda seçebilirsiniz. Azure Spring Apps oluşturulduktan sonra başka bir sanal ağ kullanacak şekilde değiştiremezsiniz.

Önkoşullar

Azure Spring Apps kaynak sağlayıcısını Microsoft.AppPlatform kaydedin ve Microsoft.ContainerService Azure portalda kaynak sağlayıcısını kaydetme başlığı altında verilen yönergelere göre veya aşağıdaki Azure CLI komutunu çalıştırarak:

az provider register --namespace Microsoft.AppPlatform
az provider register --namespace Microsoft.ContainerService

Sanal ağ gereksinimleri

Azure Spring Apps örneğinizi dağıttığınız sanal ağ aşağıdaki gereksinimleri karşılamalıdır:

• Konum: Sanal ağ, Azure Spring Apps örneğiyle aynı konumda bulunmalıdır.
• Abonelik: Sanal ağ, Azure Spring Apps örneğiyle aynı abonelikte olmalıdır.
• Alt ağlar: Sanal ağ bir Azure Spring Apps örneğine ayrılmış iki alt ağ içermelidir:
  • Hizmet çalışma zamanı için bir tane.
  • Spring uygulamalarınız için bir tane.
  • Bu alt ağlarla Azure Spring Apps örneği arasında bire bir ilişki vardır. Dağıttığınız her hizmet örneği için yeni bir alt ağ kullanın. Her alt ağ yalnızca tek bir hizmet örneği içerebilir.
• Adres alanı: CIDR, hem hizmet çalışma zamanı alt ağı hem de Spring uygulamaları alt ağı için /28'e kadar bloklar.
• Yol tablosu: Varsayılan olarak alt ağların ilişkili mevcut yol tablolarına ihtiyacı yoktur. Kendi rota tablonuzu getirebilirsiniz.

Sanal ağı Azure Spring Apps örneğini içerecek şekilde ayarlamak için aşağıdaki adımları kullanın.

Sanal ağ oluşturma

Azure portalı

Azure Spring Apps örneğini barındırmak için zaten bir sanal ağınız varsa 1, 2 ve 3. adımları atlayın. Alt ağları sanal ağa hazırlamak için 4. adımdan başlayabilirsiniz.

1. Azure portalı menüsünde Kaynak oluştur'u seçin. Azure Market Ağ Sanal ağı'yı> seçin.

2. Sanal ağ oluştur iletişim kutusunda aşağıdaki bilgileri girin veya seçin:

   Ayar	Value
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	Kaynak grubunuzu seçin veya yeni bir grup oluşturun.
   Veri Akışı Adı	azure-spring-apps-vnet girin.
   Konum	Doğu ABD’yi seçin.

3. İleri: IP Adresleri'ne tıklayın.

4. IPv4 adres alanı için 10.1.0.0/16 girin.

5. Alt ağ ekle'yi seçin. Ardından Alt ağ adı için service-runtime-subnet girin ve Alt ağ adres aralığı için 10.1.0.0/24 girin. Ardından Ekle'yi seçin.

6. Alt ağ ekle'yi yeniden seçin ve ardından alt ağ adını ve alt ağ adres aralığını girin. Örneğin, apps-subnet ve 10.1.1.0/24 girin. Ardından Ekle'yi seçin.

7. Gözden geçir ve oluştur’u seçin. Gerisini varsayılan olarak bırakın ve Oluştur'u seçin.

Azure CLI

Azure Spring Apps örneğini barındırmak için zaten bir sanal ağınız varsa 1, 2, 3 ve 4. adımları atlayın. Alt ağları sanal ağa hazırlamak için 5. adımdan başlayabilirsiniz.

1. Aboneliğiniz, kaynak grubunuz ve Azure Spring Apps örneğine yönelik değişkenleri tanımlamak için aşağıdaki komutu kullanın. Değerleri gerçek ortamınıza göre özelleştirin.

   export SUBSCRIPTION='<subscription-id>'
   export RESOURCE_GROUP='<resource-group-name>'
   export LOCATION='eastus'
   export AZURE_SPRING_APPS_INSTANCE_NAME='<Azure-Spring-Apps-Instance-name>'
   export VIRTUAL_NETWORK_NAME='azure-spring-apps-vnet'
   

2. Azure CLI'da oturum açmak ve etkin aboneliğinizi seçmek için aşağıdaki komutu kullanın.

   az login
   az account set --subscription ${SUBSCRIPTION}
   

3. Kaynaklarınız için bir kaynak grubu oluşturmak için aşağıdaki komutu kullanın:

   az group create --name $RESOURCE_GROUP --location $LOCATION
   

4. Sanal ağı oluşturmak için aşağıdaki komutu kullanın:

   az network vnet create \
       --resource-group $RESOURCE_GROUP \
       --name $VIRTUAL_NETWORK_NAME \
       --location $LOCATION \
       --address-prefix 10.1.0.0/16
   

5. Bu sanal ağda iki alt ağ oluşturmak için aşağıdaki komutu kullanın:

   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.0.0/24 \
       --name service-runtime-subnet 
   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.1.0/24 \
       --name apps-subnet 
   

Sanal ağa hizmet izni verme

Bu bölümde, sanal ağınızda Azure Spring Apps'e Sahip izni verme işleminiz gösterilir. Bu izin, daha fazla dağıtım ve bakım için sanal ağda ayrılmış ve dinamik bir hizmet sorumlusu vermenizi sağlar.

Not

Gerekli en düşük izinler Kullanıcı Erişimi Yönetici istrator ve Ağ Katkıda Bulunanı'dır. İzin veremiyorsanız her ikisine de rol atamaları vekleyebilirsiniz Owner .

Kendi yol tablonuzu veya kullanıcı tanımlı yol özelliğini kullanıyorsanız, Azure Spring Apps'e yol tablolarınıza aynı rol atamalarını da vermeniz gerekir. Daha fazla bilgi için Kendi yol tablonuzu getirin bölümüne ve Azure Spring Apps örneği için çıkış trafiğini denetleme bölümüne bakın.

Azure portalı

İzin vermek için aşağıdaki adımları kullanın:

1. Daha önce oluşturduğunuz sanal ağı azure-spring-apps-vnet seçin.

2. Erişim denetimi (IAM) öğesini ve ardından Rol ataması ekle'yi>seçin.

   

3. Owner Rolü Azure Spring Apps Kaynak Sağlayıcısı'na atayın. Daha fazla bilgi edinmek için bkz. Azure portal kullanarak Azure rolleri atama.

   Not

   Azure Spring Apps Kaynak Sağlayıcısı'nı bulamazsanız Azure Spring Cloud Kaynak Sağlayıcısı'nı arayın.

   

Azure CLI

İzin vermek için aşağıdaki komutları kullanın:

export VIRTUAL_NETWORK_RESOURCE_ID=$(az network vnet show \
    --resource-group $RESOURCE_GROUP \
    --name $VIRTUAL_NETWORK_NAME \
    --query "id" \
    --output tsv)

az role assignment create \
    --role "Owner" \
    --scope ${VIRTUAL_NETWORK_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

bağımsız değişkeni, --assignee Azure Spring Apps'in müşterinin sanal ağıyla etkileşimde bulunurken kullandığı hizmet sorumlusunu temsil eder.

Azure Spring Apps örneği dağıtma

Azure portalı

Sanal ağda bir Azure Spring Apps örneği dağıtmak için aşağıdaki adımları kullanın:

1. Azure portalını açın.

2. Üstteki arama kutusunda Azure Spring Apps'i arayın. Sonuçtan Azure Spring Apps'i seçin.

3. Azure Spring Apps sayfasında Ekle'yi seçin.

4. Azure Spring Apps Oluştur sayfasında formu doldurun.

5. Sanal ağ ile aynı kaynak grubunu ve bölgeyi seçin.

6. Hizmet Ayrıntıları altında Ad için azure-spring-apps-vnet öğesini seçin.

7. Ağ sekmesini seçin ve aşağıdaki değerleri seçin:

   Ayar	Value
   Kendi sanal ağınızda dağıtma	Evet'i seçin.
   Sanal ağ	azure-spring-apps-vnet'i seçin.
   Hizmet çalışma zamanı alt ağı	service-runtime-subnet öğesini seçin.
   Spring Boot mikro hizmet uygulamaları alt ağı	uygulamalar-alt ağ'ı seçin.

   

8. İncele ve oluştur'u seçin.

9. Belirtimlerinizi doğrulayın ve Oluştur'u seçin.

   

Azure CLI

Sanal ağda bir Azure Spring Apps örneği dağıtmak için:

Daha önce oluşturduğunuz sanal ağı ve alt ağları belirterek Azure Spring Apps örneğinizi oluşturmak için aşağıdaki komutu kullanın:

az spring create  \
    --resource-group "$RESOURCE_GROUP" \
    --name "$AZURE_SPRING_APPS_INSTANCE_NAME" \
    --vnet $VIRTUAL_NETWORK_NAME \
    --service-runtime-subnet service-runtime-subnet \
    --app-subnet apps-subnet \
    --enable-java-agent \
    --sku standard \
    --location $LOCATION

Dağıtımdan sonra, Azure Spring Apps örneğinin ağ kaynaklarını barındırmak için aboneliğinizde iki kaynak grubu daha oluşturulur. Giriş'e gidin ve aşağıdaki yeni kaynak gruplarını bulmak için üst menü öğelerinden Kaynak grupları'nı seçin.

olarak ap-svc-rt_{service instance name}_{service instance region} adlandırılan kaynak grubu, hizmet örneğinin hizmet çalışma zamanı için ağ kaynaklarını içerir.

olarak ap-app_{service instance name}_{service instance region} adlandırılan kaynak grubu, hizmet örneğinin Spring uygulamalarınız için ağ kaynaklarını içerir.

Bu ağ kaynakları, önceki görüntüde oluşturulan sanal ağınıza bağlanır.

Önemli

Kaynak grupları, Azure Spring Apps hizmeti tarafından tamamen yönetilir. İçindeki hiçbir kaynağı el ile silmeyin veya değiştirmeyin.

Daha küçük alt ağ aralıkları kullanma

Bu tabloda, Azure Spring Apps'in daha küçük alt ağ aralıkları kullanarak desteklediği en fazla uygulama örneği sayısı gösterilmektedir.

Uygulama alt ağı CIDR	Toplam IP sayısı	Kullanılabilir IP'ler	En fazla uygulama örneği sayısı
/28	16	8	0,5 çekirdekli uygulama: 192 Tek çekirdekli uygulama: 96 İki çekirdekli uygulama: 48 Üç çekirdekli uygulama: 32 Dört çekirdekli uygulama: 24
/27	32	24	0,5 çekirdekli uygulama: 456 Tek çekirdekli uygulama: 228 İki çekirdekli uygulama: 144 Üç çekirdekli uygulama: 96 Dört çekirdekli uygulama: 72
/26	64	56	0,5 çekirdekli uygulama: 500 Tek çekirdekli uygulama: 500 İki çekirdekli uygulama: 336 Üç çekirdekli uygulama: 224 Dört çekirdekli uygulama: 168
/25	128	120	0,5 çekirdekli uygulama: 500 Tek çekirdekli uygulama: 500 İki çekirdekli uygulama: 500 Üç çekirdekli uygulama: 480 Dört çekirdekli uygulama: 360
/24	Kategori 256	248	0,5 çekirdekli uygulama: 500 Tek çekirdekli uygulama: 500 İki çekirdekli uygulama: 500 Üç çekirdekli uygulama: 500 Dört çekirdekli uygulama: 500

Alt ağlar için Azure beş IP adresi ayırır ve Azure Spring Apps için en az üç IP adresi gerekir. En az sekiz IP adresi gereklidir, bu nedenle /29 ve /30 çalışma dışıdır.

Hizmet çalışma zamanı alt ağı için minimum boyut /28'dir.

Not

Küçük bir alt ağ aralığı, giriş denetleyicisi gibi sistem bileşenleri için kullanabileceğiniz temel kaynağı etkiler. Azure Spring Apps, uygulama trafiği yönetimini işlemek için temel alınan bir giriş denetleyicisi kullanır. Uygulama trafiği arttıkça giriş denetleyicisi örneklerinin sayısı otomatik olarak artar. Gelecekte uygulama trafiği artabilirse daha büyük bir sanal ağ alt ağı IP aralığı ayırın. Normalde saniyede 10000 istek trafiği için bir IP adresi ayırırsınız.

Kendi rota tablonuzu getirme

Azure Spring Apps mevcut alt ağların ve yönlendirme tablolarının kullanılmasını destekler.

Özel alt ağlarınız rota tabloları içermiyorsa, Azure Spring Apps bunları alt ağların her biri için oluşturur ve örnek yaşam döngüsü boyunca bunlara kurallar ekler. Özel alt ağlarınız rota tabloları içeriyorsa, Azure Spring Apps örnek işlemleri sırasında mevcut yol tablolarını kabul eder ve işlemler için buna göre kurallar ekler/güncelleştirir ve/veya kurallar ekler.

Uyarı

Özel yol tablolarına özel kurallar eklenebilir ve güncelleştirilebilir. Ancak, kurallar Azure Spring Apps tarafından eklenir ve bunlar güncelleştirilmemeli veya kaldırılmamalıdır. 0.0.0.0/0 gibi kurallar her zaman belirli bir yol tablosunda bulunmalı ve NVA veya başka bir çıkış ağ geçidi gibi İnternet ağ geçidinizin hedefiyle eşlenmelidir. Yalnızca özel kurallarınız değiştirilirken kuralları güncelleştirirken dikkatli olun.

Yönlendirme tablosu gereksinimleri

Özel sanal ağınızın ilişkilendirildiği yol tabloları aşağıdaki gereksinimleri karşılamalıdır:

• Azure yönlendirme tablolarınızı yalnızca yeni bir Azure Spring Apps hizmet örneği oluşturduğunuzda sanal ağınızla ilişkilendirebilirsiniz. Azure Spring Apps oluşturulduktan sonra başka bir yol tablosu kullanmak için değiştiremezsiniz.
• Hem Spring uygulaması alt ağı hem de hizmet çalışma zamanı alt ağı, farklı yol tablolarıyla ilişkilendirilmelidir veya bunların hiçbiri ile ilişkilendirilmelidir.
• Örnek oluşturmadan önce izinler atanmalıdır. Azure Spring Apps Kaynak Sağlayıcısı'na Owner yol tablolarınızda izin (veya User Access Administrator ve Network Contributor izinler) verdiğinden emin olun.
• Küme oluşturulduktan sonra ilişkili yol tablosu kaynağını güncelleştiremezsiniz. Yol tablosu kaynağını güncelleştiremezseniz, yol tablosundaki özel kuralları değiştirebilirsiniz.
• Olası çakışan yönlendirme kuralları nedeniyle birden çok örnek içeren bir yol tablosunu yeniden kullanamazsınız.

Özel DNS Sunucularını Kullanma

Azure Spring Apps, sanal ağınızda özel DNS sunucularının kullanılmasını destekler.

DNS Sunucusu Sanal Ağ ayarınızda özel DNS sunucuları belirtmezseniz, Azure Spring Apps varsayılan olarak IP adreslerini çözümlemek için Azure DNS'yi kullanır. Sanal ağınız özel DNS ayarlarıyla yapılandırılmışsa, özel DNS sunucusuna yukarı akış DNS sunucusu olarak Azure DNS IP'sini 168.63.129.16 ekleyin. Azure DNS, sanal ağda Azure Spring Apps çalıştıran Müşteri sorumluluklarında belirtilen tüm genel FQDN'lerin IP adreslerini çözümleyebilir. Ayrıca sanal ağınızdaki IP adresini *.svc.private.azuremicroservices.io de çözümleyebilir.

Özel DNS sunucunuz yukarı akış DNS sunucusu olarak Azure DNS IP'sini 168.63.129.16 ekleyemiyorsa aşağıdaki adımları kullanın:

• Özel DNS sunucunuzun tüm genel FQDN'ler için IP adreslerini çözümleyebildiğinden emin olun. Daha fazla bilgi için bkz . Sanal ağda Azure Spring Apps çalıştıran müşteri sorumlulukları.
• DNS kaydını *.svc.private.azuremicroservices.io uygulamanızın IP'sine ekleyin. Daha fazla bilgi için, Sanal ağda Azure Spring Apps'te bir uygulamaya erişme bölümünün Uygulamanızın IP'sini bulma bölümüne bakın.

Sonraki adımlar

• Sanal ağda Azure Spring Apps sorunlarını giderme
• Azure Spring Apps'i VNET'te Çalıştırmak için Müşteri Sorumlulukları