在虛擬網路中執行 Azure Spring Apps 的客戶責任

發行項
03/29/2024

注意

Azure Spring Apps 是 Azure Spring Cloud 服務的新名稱。雖然服務有新的名稱，但是您暫時還是會在某些位置看到舊的名稱。我們正在致力更新螢幕擷取畫面、影片和圖表等資產。

本文適用於： ✔️基本/標準✔️企業

本文包含虛擬網路中使用 Azure Spring Apps 的規格。

當您的虛擬網路中部署 Azure Spring Apps 時，它會對虛擬網路外部的服務具有輸出相依性。為了管理和操作目的，Azure Spring Apps 必須存取特定埠和完整域名（FQDN）。 Azure Spring Apps 需要這些端點才能與管理平面通訊，以及下載並安裝核心 Kubernetes 叢集元件和安全性更新。

根據預設，Azure Spring Apps 具有不受限制的輸出（輸出）因特網存取。此網路存取層級可讓您執行的應用程式視需要存取外部資源。如果您想要限制輸出流量，維護工作必須能夠存取有限的埠和位址。保護輸出位址的最簡單解決方案是使用防火牆裝置，可根據功能變數名稱控制輸出流量。例如，Azure 防火牆可以根據目的地的 FQDN 來限制輸出 HTTP 和 HTTPS 流量。您也可設定慣用的防火牆和安全性規則，以允許這些必要的連接埠和位址。

Azure Spring Apps 資源需求

下列清單顯示 Azure Spring Apps 服務的資源需求。一般需求是，您不應該修改 Azure Spring Apps 和基礎網路資源所建立的資源群組。

請勿修改由 Azure Spring Apps 建立和擁有的資源群組。
- 根據預設，這些資源群組會命名 ap-svc-rt_<service-instance-name>_<region>* 為和 ap_<service-instance-name>_<region>*。
- 請勿封鎖 Azure Spring Apps 更新這些資源群組中的資源。
請勿修改 Azure Spring Apps 所使用的子網。
請勿在相同的子網中建立多個 Azure Spring Apps 服務實例。
使用防火牆來控制流量時，請勿封鎖下列輸出流量至運作、維護和支援服務實例的 Azure Spring Apps 元件。

Azure 全域所需的網路規則

目的地端點	連接埠	使用	注意
*：443 或ServiceTag - AzureCloud：443	TCP：443	Azure Spring Apps Service Management。	如需服務實例 `requiredTraffics`的相關信息，請參閱區段底下 `networkProfile` 的資源承載。
*.azurecr.io:443 或ServiceTag - AzureContainerRegistry：443	TCP：443	Azure Container Registry。	可以藉由在虛擬網路中啟用 Azure Container Registry服務端點來取代。
.core.windows.net:443 和 .core.windows.net:445 或ServiceTag - 儲存體：443 和儲存體：445	TCP：443、TCP：445	Azure 檔案	可以藉由在虛擬網路中啟用 Azure 儲存體服務端點來取代。
*.servicebus.windows.net:443 或ServiceTag - EventHub：443	TCP：443	Azure 事件中樞。	可以藉由在虛擬網路中啟用 Azure 事件中樞服務端點來取代。
*.prod.microsoftmetrics.com:443 或ServiceTag - AzureMonitor：443	TCP：443	Azure 監視器。	允許對 Azure 監視器進行輸出話務。

Azure 全域必要 FQDN/應用程式規則

Azure 防火牆提供 FQDN 標籤AzureKubernetesService 以簡化下列設定：

目的地 FQDN	連接埠	使用
*.azmk8s.io	HTTPS：443	基礎 Kubernetes 叢集管理。
mcr.microsoft.com	HTTPS：443	Microsoft Container Registry （MCR）。
*.data.mcr.microsoft.com	HTTPS：443	Azure CDN 所支援的 MCR 記憶體。
management.azure.com	HTTPS：443	基礎 Kubernetes 叢集管理。
login.microsoftonline.com	HTTPS：443	Microsoft Entra 驗證。
packages.microsoft.com	HTTPS：443	Microsoft 套件存放庫。
acs-mirror.azureedge.net	HTTPS：443	安裝 kubenet 和 Azure CNI 等必要二進位檔所需的存放庫。

由 21Vianet 營運的 Microsoft Azure 需要網路規則

目的地端點	連接埠	使用	注意
*：443 或ServiceTag - AzureCloud：443	TCP：443	Azure Spring Apps Service Management。	如需服務實例 `requiredTraffics`的相關信息，請參閱區段底下 `networkProfile` 的資源承載。
*.azurecr.cn:443 或ServiceTag - AzureContainerRegistry：443	TCP：443	Azure Container Registry。	可以藉由在虛擬網路中啟用 Azure Container Registry服務端點來取代。
.core.chinacloudapi.cn:443 和 .core.chinacloudapi.cn:445 或ServiceTag - 儲存體：443 和儲存體：445	TCP：443、TCP：445	Azure 檔案	可以藉由在虛擬網路中啟用 Azure 儲存體服務端點來取代。
*.servicebus.chinacloudapi.cn:443 或ServiceTag - EventHub：443	TCP：443	Azure 事件中樞。	可以藉由在虛擬網路中啟用 Azure 事件中樞服務端點來取代。
*.prod.microsoftmetrics.com:443 或ServiceTag - AzureMonitor：443	TCP：443	Azure 監視器。	允許對 Azure 監視器進行輸出話務。

由 21Vianet 營運的 Microsoft Azure 需要 FQDN/應用程式規則

Azure 防火牆提供 FQDN 標籤AzureKubernetesService來簡化下列設定：

目的地 FQDN	連接埠	使用
*.cx.prod.service.azk8s.cn	HTTPS：443	基礎 Kubernetes 叢集管理。
mcr.microsoft.com	HTTPS：443	Microsoft Container Registry （MCR）。
*.data.mcr.microsoft.com	HTTPS：443	Azure CDN 所支援的 MCR 記憶體。
management.chinacloudapi.cn	HTTPS：443	基礎 Kubernetes 叢集管理。
login.chinacloudapi.cn	HTTPS：443	Microsoft Entra 驗證。
packages.microsoft.com	HTTPS：443	Microsoft 套件存放庫。
*.azk8s.cn	HTTPS：443	安裝 kubenet 和 Azure CNI 等必要二進位檔所需的存放庫。

適用於第三方應用程式效能管理的 Azure Spring Apps 選用 FQDN

目的地 FQDN	連接埠	使用
collector.newrelic.com*	TCP：443/80	來自美國區域之 New Relic APM 代理程式的必要網路，另請參閱 APM 代理程序網路。
collector.eu01.nr-data.net*	TCP：443/80	來自歐盟地區之 New Relic APM 代理程式的必要網路，另請參閱 APM 代理程序網路。
*.live.dynatrace.com	TCP：443	Dynatrace APM 代理程式的必要網路。
*.live.ruxit.com	TCP：443	Dynatrace APM 代理程式的必要網路。
*.saas.appdynamics.com	TCP：443/80	AppDynamics APM 代理程式的必要網路，另請參閱 SaaS 網域和 IP 範圍。

適用於 Application Insights 的 Azure Spring Apps 選用 FQDN

您必須在伺服器的防火牆中開啟一些傳出埠，以允許ApplicationInsights SDK或Application Insights代理程式將數據傳送至入口網站。如需詳細資訊，請參閱 Azure 監視器所使用 IP 位址的傳出埠一節。

共用方式為