你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

虚拟网络中 Azure Spring Apps 标准消耗和专用计划的客户责任

注意

Azure Spring Apps 是 Azure Spring Cloud 服务的新名称。 虽然该服务有新名称，但一些地方仍会使用旧名称，我们仍在更新屏幕截图、视频和图形等资产。

本文适用于：✔️ 标准消耗和专用（预览版）❌ 基本/标准 ❌ 企业

本文介绍在虚拟网络中运行 Azure Spring Apps Standard 消耗和专用计划服务实例的客户职责。

使用网络安全组（NSG）将虚拟网络配置为符合 Kubernetes 所需的设置。

若要控制 Azure 容器应用环境的所有入站和出站流量，可以使用 NSG 锁定具有比默认 NSG 规则更严格的规则的网络。

NSG 允许规则

下表介绍了如何配置一组 NSG 允许规则。

注意

与 Azure 容器应用环境关联的子网需要 CIDR 前缀或更大前缀 /23 。

使用 ServiceTags 出站

协议	端口	ServiceTag	说明
UDP	1194	AzureCloud.<region>	基础节点与控制平面之间的内部Azure Kubernetes 服务（AKS）安全连接是必需的。 将 <region> 替换为部署容器应用的区域。
TCP	9000	AzureCloud.<region>	基础节点与控制平面之间的内部 AKS 安全连接是必需的。 将 <region> 替换为部署容器应用的区域。
TCP	443	AzureMonitor	允许对 Azure Monitor 的出站调用。
TCP	443	Azure Container Registry	启用虚拟网络服务终结点中所述的Azure 容器注册表。
TCP	443	MicrosoftContainerRegistry	Microsoft 容器的容器注册表的服务标记。
TCP	443	AzureFrontDoor.FirstParty	服务标记的 MicrosoftContainerRegistry 依赖项。
TCP	443, 445	Azure Files	启用Azure 存储，如虚拟网络服务终结点中所述。

使用通配符 IP 规则出站

协议	端口	IP	说明
TCP	443	*	在端口 443 上设置所有出站流量，以允许所有完全限定的域名（FQDN）的出站依赖项没有静态 IP。
UDP	123	*	NTP 服务器。
TCP	5671	*	容器应用控制平面。
TCP	5672	*	容器应用控制平面。
Any	*	基础结构子网地址空间	允许基础结构子网中的 IP 之间的通信。 创建环境时，此地址作为参数传递，例如 10.0.0.0/21。

具有 FQDN 要求/应用程序规则的出站

协议	端口	FQDN	说明
TCP	443	mcr.microsoft.com	Microsoft 容器注册表 (MCR)。
TCP	443	*.cdn.mscr.io	由 Azure 内容分发网络（CDN）支持的 MCR 存储。
TCP	443	*.data.mcr.microsoft.com	由 Azure CDN 提供支持的 MCR 存储。

使用 FQDN 进行出站，用于第三方应用程序性能管理（可选）

协议	端口	FQDN	说明
TCP	443/80	collector*.newrelic.com	来自美国区域的 New Relic 应用程序和性能监视（APM）代理所需的网络。 请参阅 APM 代理网络。
TCP	443/80	collector*.eu01.nr-data.net	来自欧盟区域的 New Relic APM 代理所需的网络。 请参阅 APM 代理网络。
TCP	443	*.live.dynatrace.com	Dynatrace APM 代理所需的网络。
TCP	443	*.live.ruxit.com	Dynatrace APM 代理所需的网络。
TCP	443/80	*.saas.appdynamics.com	AppDynamics APM 代理所需的网络。 请参阅 SaaS 域和 IP 范围。

注意事项

• 如果运行的是 HTTP 服务器，则可能需要添加端口 80 和 443。
• 为某些优先级比 65000 低的端口和协议添加拒绝规则可能会导致服务中断和意外行为。

后续步骤

• Azure Spring Apps 文档