客戶在虛擬網路中執行 Azure Spring Apps 的責任

發行項
07/17/2024

注意

Azure Spring Apps 是 Azure Spring Cloud 服務的新名稱。雖然服務有新的名稱，但是您暫時還是會在某些位置看到舊的名稱。我們正在致力更新螢幕擷取畫面、影片和圖表等資產。

本文適用於： ✔️ 基本/標準 ✔️ 企業

本文包含在虛擬網路中使用 Azure Spring Apps 的規格。

Azure Spring Apps 部署於虛擬網路時，會對虛擬網路外部的服務具有輸出相依性。基於管理和操作目的，Azure Spring Apps 必須存取特定連接埠和完整網域名稱 (FQDN)。 Azure Spring Apps 需要這些端點才能與管理平面通訊，以及下載並安裝核心 Kubernetes 叢集元件和安全性更新。

根據預設，Azure Spring Apps 具有不受限制的輸出 (連出) 網際網路存取。此網路存取層級可讓您執行的應用程式視需要存取外部資源。如果您想要限制連出流量，則必須能夠存取有限數量的連接埠和位址，以進行維護工作。保護輸出位址的最簡單解決方案，是使用可以根據網域名稱控制輸出流量的防火牆裝置。例如，Azure 防火牆可以依據目的地的 FQDN 限制 HTTP 和 HTTPS 流量輸出。您也可設定慣用的防火牆和安全性規則，以允許這些必要的連接埠和位址。

Azure Spring Apps 資源需求

下列清單顯示 Azure Spring Apps 服務的資源需求。您不應修改 Azure Spring Apps 所建立的資源群組和基礎網路資源，這是一般需求。

請勿修改 Azure Spring Apps 所建立和擁有的資源群組。
- 根據預設，這些資源群組會命名為 ap-svc-rt_<service-instance-name>_<region>* 和 ap_<service-instance-name>_<region>*。
- 請勿阻止 Azure Spring Apps 更新這些資源群組中的資源。
請勿修改 Azure Spring Apps 所使用的子網路。
請勿在相同的子網路中建立多個 Azure Spring Apps 服務執行個體。
使用防火牆控制流量時，請勿封鎖以操作、維護及支援服務執行個體的 Azure Spring Apps 元件為目標的下列連出流量。

Azure 全域所需的網路規則

目的地端點	連接埠	使用	注意
*:443 或ServiceTag - AzureCloud:443	TCP:443	Azure Spring Apps 服務管理。	如需服務執行個體 `requiredTraffics` 的相關資訊，請參閱 `networkProfile` 章節底下的資源承載。
*.azurecr.io:443 或 ServiceTag - AzureContainerRegistry:443	TCP:443	Azure Container Registry。	可藉由在虛擬網路中啟用 Azure Container Registry 服務端點來取代。
.core.windows.net:443 和 .core.windows.net:445 或ServiceTag - Storage:443 和 Storage:445	TCP:443、TCP:445	Azure 檔案	可藉由在虛擬網路中啟用 Azure 儲存體服務端點來取代。
*.servicebus.windows.net:443 或 ServiceTag - EventHub:443	TCP:443	Azure 事件中樞。	可以藉由在虛擬網路中啟用 Azure 事件中樞服務端點來取代。
*.prod.microsoftmetrics.com:443 或 ServiceTag - AzureMonitor:443	TCP:443	Azure 監視器。	允許對 Azure 監視器進行輸出呼叫。

Azure 全域必要 FQDN/應用程式規則

Azure 防火牆提供 FQDN 標籤 AzureKubernetesService 以簡化下列設定：

目的地 FQDN	連接埠	使用
*.azmk8s.io	HTTPS:443	基礎 Kubernetes 叢集管理。
mcr.microsoft.com	HTTPS:443	Microsoft Container Registry (MCR)。
*.data.mcr.microsoft.com	HTTPS:443	由 Azure CDN 支援的 MCR 儲存體。
management.azure.com	HTTPS:443	基礎 Kubernetes 叢集管理。
login.microsoftonline.com	HTTPS:443	Microsoft Entra 驗證。
packages.microsoft.com	HTTPS:443	Microsoft 套件存放庫。
acs-mirror.azureedge.net	HTTPS:443	安裝必要的二進位檔 (例如 kubenet 和 Azure CNI) 所需的存放庫。

由 21Vianet 營運的 Microsoft Azure 需要網路規則

目的地端點	連接埠	使用	注意
*:443 或ServiceTag - AzureCloud:443	TCP:443	Azure Spring Apps 服務管理。	如需服務執行個體 `requiredTraffics` 的相關資訊，請參閱 `networkProfile` 章節底下的資源承載。
*.azurecr.cn:443 或 ServiceTag - AzureContainerRegistry:443	TCP:443	Azure Container Registry。	可藉由在虛擬網路中啟用 Azure Container Registry 服務端點來取代。
.core.chinacloudapi.cn:443 和 .core.chinacloudapi.cn:445 或 ServiceTag - Storage:443 and Storage:445	TCP:443、TCP:445	Azure 檔案	可藉由在虛擬網路中啟用 Azure 儲存體服務端點來取代。
*.servicebus.chinacloudapi.cn:443 或 ServiceTag - EventHub:443	TCP:443	Azure 事件中樞。	可以藉由在虛擬網路中啟用 Azure 事件中樞服務端點來取代。
*.prod.microsoftmetrics.com:443 或 ServiceTag - AzureMonitor:443	TCP:443	Azure 監視器。	允許對 Azure 監視器進行輸出呼叫。

由 21Vianet 營運的 Microsoft Azure 需要 FQDN/應用程式規則

Azure 防火牆會提供 FQDN 標籤 AzureKubernetesService 以簡化下列設定：

目的地 FQDN	連接埠	使用
*.cx.prod.service.azk8s.cn	HTTPS:443	基礎 Kubernetes 叢集管理。
mcr.microsoft.com	HTTPS:443	Microsoft Container Registry (MCR)。
*.data.mcr.microsoft.com	HTTPS:443	由 Azure CDN 支援的 MCR 儲存體。
management.chinacloudapi.cn	HTTPS:443	基礎 Kubernetes 叢集管理。
login.chinacloudapi.cn	HTTPS:443	Microsoft Entra 驗證。
packages.microsoft.com	HTTPS:443	Microsoft 套件存放庫。
*.azk8s.cn	HTTPS:443	安裝必要的二進位檔 (例如 kubenet 和 Azure CNI) 所需的存放庫。

適用於第三方應用程式效能管理的 Azure Spring Apps 選用 FQDN

目的地 FQDN	連接埠	使用
collector.newrelic.com*	TCP:443/80	美國區域的 New Relic APM 代理程式所需的網路，另請參閱 APM 代理程式網路。
collector.eu01.nr-data.net*	TCP:443/80	歐盟區域的 New Relic APM 代理程式所需的網路，另請參閱 APM 代理程式網路。
*.live.dynatrace.com	TCP:443	Dynatrace APM 代理程式的必要網路。
*.live.ruxit.com	TCP:443	Dynatrace APM 代理程式的必要網路。
*.saas.appdynamics.com	TCP:443/80	AppDynamics APM 代理程式所需的網路，另請參閱 SaaS 網域和 IP 範圍。

適用於 Application Insights 的 Azure Spring 應用程式選用 FQDN

您必須在伺服器的防火牆中開啟一些傳出埠，以允許 Application Insights SDK 或 Application Insights 代理程式將資料傳送至入口網站。如需詳細資訊，請參閱 Azure 監視器所使用的 IP 位址的 [傳出埠]章節。

共用方式為