共用方式為


客戶在虛擬網路中執行 Azure Spring Apps 的責任

注意

Azure Spring Apps 是 Azure Spring Cloud 服務的新名稱。 雖然服務有新的名稱,但是您暫時還是會在某些位置看到舊的名稱。我們正在致力更新螢幕擷取畫面、影片和圖表等資產。

本文適用於: ✔️ 基本/標準 ✔️ 企業

本文包含在虛擬網路中使用 Azure Spring Apps 的規格。

Azure Spring Apps 部署於虛擬網路時,會對虛擬網路外部的服務具有輸出相依性。 基於管理和操作目的,Azure Spring Apps 必須存取特定連接埠和完整網域名稱 (FQDN)。 Azure Spring Apps 需要這些端點才能與管理平面通訊,以及下載並安裝核心 Kubernetes 叢集元件和安全性更新。

根據預設,Azure Spring Apps 具有不受限制的輸出 (連出) 網際網路存取。 此網路存取層級可讓您執行的應用程式視需要存取外部資源。 如果您想要限制連出流量,則必須能夠存取有限數量的連接埠和位址,以進行維護工作。 保護輸出位址的最簡單解決方案,是使用可以根據網域名稱控制輸出流量的防火牆裝置。 例如,Azure 防火牆可以依據目的地的 FQDN 限制 HTTP 和 HTTPS 流量輸出。 您也可設定慣用的防火牆和安全性規則,以允許這些必要的連接埠和位址。

Azure Spring Apps 資源需求

下列清單顯示 Azure Spring Apps 服務的資源需求。 您不應修改 Azure Spring Apps 所建立的資源群組和基礎網路資源,這是一般需求。

  • 請勿修改 Azure Spring Apps 所建立和擁有的資源群組。
    • 根據預設,這些資源群組會命名為 ap-svc-rt_<service-instance-name>_<region>*ap_<service-instance-name>_<region>*
    • 請勿阻止 Azure Spring Apps 更新這些資源群組中的資源。
  • 請勿修改 Azure Spring Apps 所使用的子網路。
  • 請勿在相同的子網路中建立多個 Azure Spring Apps 服務執行個體。
  • 使用防火牆控制流量時,請勿封鎖以操作、維護及支援服務執行個體的 Azure Spring Apps 元件為目標的下列連出流量。

Azure 全域所需的網路規則

目的地端點 連接埠 使用 注意
*:443 ServiceTag - AzureCloud:443 TCP:443 Azure Spring Apps 服務管理。 如需服務執行個體 requiredTraffics 的相關資訊,請參閱 networkProfile 章節底下的資源承載。
*.azurecr.io:443 ServiceTag - AzureContainerRegistry:443 TCP:443 Azure Container Registry。 可藉由在虛擬網路中啟用 Azure Container Registry 服務端點來取代
*.core.windows.net:443 和 *.core.windows.net:445 ServiceTag - Storage:443 和 Storage:445 TCP:443、TCP:445 Azure 檔案 可藉由在虛擬網路中啟用 Azure 儲存體 服務端點來取代
*.servicebus.windows.net:443 ServiceTag - EventHub:443 TCP:443 Azure 事件中樞。 可以藉由在虛擬網路中啟用 Azure 事件中樞 服務端點來取代
*.prod.microsoftmetrics.com:443 ServiceTag - AzureMonitor:443 TCP:443 Azure 監視器。 允許對 Azure 監視器進行輸出呼叫。

Azure 全域必要 FQDN/應用程式規則

Azure 防火牆提供 FQDN 標籤 AzureKubernetesService 以簡化下列設定:

目的地 FQDN 連接埠 使用
*.azmk8s.io HTTPS:443 基礎 Kubernetes 叢集管理。
mcr.microsoft.com HTTPS:443 Microsoft Container Registry (MCR)。
*.data.mcr.microsoft.com HTTPS:443 由 Azure CDN 支援的 MCR 儲存體。
management.azure.com HTTPS:443 基礎 Kubernetes 叢集管理。
login.microsoftonline.com HTTPS:443 Microsoft Entra 驗證。
packages.microsoft.com HTTPS:443 Microsoft 套件存放庫。
acs-mirror.azureedge.net HTTPS:443 安裝必要的二進位檔 (例如 kubenet 和 Azure CNI) 所需的存放庫。

由 21Vianet 營運的 Microsoft Azure 需要網路規則

目的地端點 連接埠 使用 注意
*:443 ServiceTag - AzureCloud:443 TCP:443 Azure Spring Apps 服務管理。 如需服務執行個體 requiredTraffics 的相關資訊,請參閱 networkProfile 章節底下的資源承載。
*.azurecr.cn:443 ServiceTag - AzureContainerRegistry:443 TCP:443 Azure Container Registry。 可藉由在虛擬網路中啟用 Azure Container Registry 服務端點來取代
*.core.chinacloudapi.cn:443 和 *.core.chinacloudapi.cn:445 ServiceTag - Storage:443 and Storage:445 TCP:443、TCP:445 Azure 檔案 可藉由在虛擬網路中啟用 Azure 儲存體 服務端點來取代
*.servicebus.chinacloudapi.cn:443 ServiceTag - EventHub:443 TCP:443 Azure 事件中樞。 可以藉由在虛擬網路中啟用 Azure 事件中樞 服務端點來取代
*.prod.microsoftmetrics.com:443 ServiceTag - AzureMonitor:443 TCP:443 Azure 監視器。 允許對 Azure 監視器進行輸出呼叫。

由 21Vianet 營運的 Microsoft Azure 需要 FQDN/應用程式規則

Azure 防火牆會提供 FQDN 標籤 AzureKubernetesService 以簡化下列設定:

目的地 FQDN 連接埠 使用
*.cx.prod.service.azk8s.cn HTTPS:443 基礎 Kubernetes 叢集管理。
mcr.microsoft.com HTTPS:443 Microsoft Container Registry (MCR)。
*.data.mcr.microsoft.com HTTPS:443 由 Azure CDN 支援的 MCR 儲存體。
management.chinacloudapi.cn HTTPS:443 基礎 Kubernetes 叢集管理。
login.chinacloudapi.cn HTTPS:443 Microsoft Entra 驗證。
packages.microsoft.com HTTPS:443 Microsoft 套件存放庫。
*.azk8s.cn HTTPS:443 安裝必要的二進位檔 (例如 kubenet 和 Azure CNI) 所需的存放庫。

適用於第三方應用程式效能管理的 Azure Spring Apps 選用 FQDN

目的地 FQDN 連接埠 使用
collector*.newrelic.com TCP:443/80 美國區域的 New Relic APM 代理程式所需的網路,另請參閱 APM 代理程式網路
collector*.eu01.nr-data.net TCP:443/80 歐盟區域的 New Relic APM 代理程式所需的網路,另請參閱 APM 代理程式網路
*.live.dynatrace.com TCP:443 Dynatrace APM 代理程式的必要網路。
*.live.ruxit.com TCP:443 Dynatrace APM 代理程式的必要網路。
*.saas.appdynamics.com TCP:443/80 AppDynamics APM 代理程式所需的網路,另請參閱 SaaS 網域和 IP 範圍

適用於 Application Insights 的 Azure Spring 應用程式選用 FQDN

您必須在伺服器的防火牆中開啟一些傳出埠,以允許 Application Insights SDK 或 Application Insights 代理程式將資料傳送至入口網站。 如需詳細資訊,請參閱 Azure 監視器所使用的 IP 位址 的 [傳出埠]章節。

下一步