مسؤوليات العملاء لاستهلاك Azure Spring Apps القياسي وخطة مخصصة في شبكة ظاهرية
إشعار
يعد Azure Spring Apps هو الاسم الجديد لخدمة Azure Spring Cloud. رغم أن الخدمة تحمل اسماً جديداً، سترى الاسم القديم في بعض الأماكن لفترة من الوقت بينما نعمل على تحديث الأصول مثل لقطات الشاشة، ومقاطع الفيديو، والرسوم التخطيطية.
تنطبق هذه المقالة على: ✔️ الاستهلاك القياسي والمخصصة (معاينة) ❌ Basic/Standard ❌ Enterprise
توضح هذه المقالة مسؤوليات العملاء لتشغيل استهلاك Azure Spring Apps Standard ومثيل خدمة خطة مخصص في شبكة ظاهرية.
استخدم مجموعات أمان الشبكة (NSGs) لتكوين الشبكات الظاهرية لتتوافق مع الإعدادات المطلوبة من قبل Kubernetes.
للتحكم في جميع نسبة استخدام الشبكة الواردة والصادرة لبيئة Azure Container Apps، يمكنك استخدام مجموعات أمان الشبكة لتأمين شبكة ذات قواعد أكثر تقييدا من قواعد NSG الافتراضية.
قواعد سماح NSG
تصف الجداول التالية كيفية تكوين مجموعة من قواعد سماح NSG.
إشعار
تتطلب الشبكة الفرعية المقترنة ببيئة Azure Container Apps بادئة /23 CIDR أو أكبر.
الصادر مع ServiceTags
| البروتوكول | المنفذ | علامة الخدمة | الوصف |
|---|---|---|---|
| بروتوكول مخطط بيانات المستخدم | 1194 |
AzureCloud.<region> |
مطلوب للاتصال الآمن لخدمة Azure Kubernetes (AKS) الداخلية بين العقد الأساسية ولوحة التحكم. استبدل <region> بالمنطقة التي تم توزيع تطبيق الحاوية بها. |
| TCP | 9000 |
AzureCloud.<region> |
مطلوب للاتصال الآمن ل AKS الداخلي بين العقد الأساسية ولوحة التحكم. استبدل <region> بالمنطقة التي تم توزيع تطبيق الحاوية بها. |
| TCP | 443 |
AzureMonitor |
يُسمَح باستدعاءات صادرة إلى Azure Monitor. |
| TCP | 443 |
Azure Container Registry |
تمكين Azure Container Registry كما هو موضح في نقاط نهاية خدمة الشبكة الظاهرية. |
| TCP | 443 |
MicrosoftContainerRegistry |
علامة الخدمة لسجل الحاوية لحاويات Microsoft. |
| TCP | 443 |
AzureFrontDoor.FirstParty |
تبعية لعلامة MicrosoftContainerRegistry الخدمة. |
| TCP | 443, 445 |
Azure Files |
تمكين Azure Storage كما هو موضح في نقاط نهاية خدمة الشبكة الظاهرية. |
الصادرة مع قواعد IP لحرف البدل
| البروتوكول | المنفذ | عنوان IP | الوصف |
|---|---|---|---|
| TCP | 443 |
* | تعيين كافة حركة المرور الصادرة على المنفذ 443 للسماح لجميع التبعيات الصادرة المستندة إلى اسم المجال المؤهل بالكامل (FQDN) التي لا تحتوي على IP ثابت. |
| بروتوكول مخطط بيانات المستخدم | 123 |
* | خادم NTP. |
| TCP | 5671 |
* | وحدة التحكم في تطبيقات الحاوية. |
| TCP | 5672 |
* | وحدة التحكم في تطبيقات الحاوية. |
| أي | * | مساحة عنوان الشبكة الفرعية للبنية الأساسية | السماح بالاتصال بين عناوين IP في الشبكة الفرعية للبنية الأساسية. يتم تمرير هذا العنوان كمعلمة عند إنشاء بيئة - على سبيل المثال، 10.0.0.0/21. |
الصادرة مع متطلبات FQDN/ قواعد التطبيق
| البروتوكول | المنفذ | FQDN | الوصف |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
تخزين MCR مدعوم من قبل شبكة تسليم المحتوى Azure (CDN). |
| TCP | 443 |
*.data.mcr.microsoft.com |
تخزين MCR مدعوم بواسطة Azure CDN. |
الصادر مع FQDN لإدارة أداء تطبيق الجهات الخارجية (اختياري)
| البروتوكول | المنفذ | FQDN | الوصف |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
الشبكات المطلوبة لتطبيق New Relic وعوامل مراقبة الأداء (APM) من منطقة الولايات المتحدة. راجع شبكات عوامل APM. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
الشبكات المطلوبة من وكلاء New Relic APM من منطقة الاتحاد الأوروبي. راجع شبكات عوامل APM. |
| TCP | 443 |
*.live.dynatrace.com |
الشبكة المطلوبة من عوامل Dynatrace APM. |
| TCP | 443 |
*.live.ruxit.com |
الشبكة المطلوبة من عوامل Dynatrace APM. |
| TCP | 443/80 |
*.saas.appdynamics.com |
الشبكة المطلوبة من عوامل AppDynamics APM. راجع نطاقات SaaS ونطاقات IP. |
الاعتبارات
- إذا كنت تقوم بتشغيل خوادم HTTP، فقد تحتاج إلى إضافة منافذ
80و443. - قد تؤدي إضافة قواعد الرفض لبعض المنافذ والبروتوكولات ذات الأولوية الأقل مما
65000قد يتسبب في انقطاع الخدمة وسلوك غير متوقع.