Odpovědnost zákazníka za provozování služby Azure Spring Apps ve virtuální síti
Poznámka:
Azure Spring Apps je nový název služby Azure Spring Cloud. Přestože má služba nový název, na některých místech uvidíte starý název, protože pracujeme na aktualizaci prostředků, jako jsou snímky obrazovky, videa a diagramy.
Tento článek se vztahuje na: ✔️ Basic/Standard ✔️ Enterprise
Tento článek obsahuje specifikace použití Azure Spring Apps ve virtuální síti.
Když je služba Azure Spring Apps nasazená ve vaší virtuální síti, má odchozí závislosti na službách mimo virtuální síť. Pro účely správy a provozu musí Azure Spring Apps přistupovat k určitým portům a plně kvalifikovaným názvům domén (FQDN). Azure Spring Apps vyžaduje, aby tyto koncové body komunikují s rovinou správy a stahují a instalují základní komponenty clusteru Kubernetes a aktualizace zabezpečení.
Služba Azure Spring Apps má ve výchozím nastavení neomezený odchozí (odchozí) přístup k internetu. Tato úroveň síťového přístupu umožňuje aplikacím, které podle potřeby spouštíte pro přístup k externím prostředkům. Pokud chcete omezit odchozí provoz, musí být pro úlohy údržby přístupný omezený počet portů a adres. Nejjednodušším řešením pro zabezpečení odchozích adres je použití zařízení brány firewall, které může řídit odchozí provoz na základě názvů domén. Azure Firewall může například omezit odchozí provoz HTTP a HTTPS na základě plně kvalifikovaného názvu domény cíle. Můžete také nakonfigurovat upřednostňovaná pravidla brány firewall a zabezpečení tak, aby povolovala tyto požadované porty a adresy.
Požadavky na prostředky Azure Spring Apps
Následující seznam ukazuje požadavky na prostředky pro služby Azure Spring Apps. Obecně platí, že byste neměli upravovat skupiny prostředků vytvořené službou Azure Spring Apps a podkladovými síťovými prostředky.
- Neupravujte skupiny prostředků vytvořené a vlastněné službou Azure Spring Apps.
- Ve výchozím nastavení jsou tyto skupiny prostředků pojmenovány
ap-svc-rt_<service-instance-name>_<region>*aap_<service-instance-name>_<region>*. - Nezablokujte aktualizaci prostředků v těchto skupinách prostředků službou Azure Spring Apps.
- Ve výchozím nastavení jsou tyto skupiny prostředků pojmenovány
- Neupravujte podsítě používané službou Azure Spring Apps.
- Ve stejné podsíti nevytvávejte více než jednu instanci služby Azure Spring Apps.
- Pokud k řízení provozu používáte bránu firewall, nezablokujte následující výstupní provoz do komponent Azure Spring Apps, které provozují, udržují a podporují instanci služby.
Globální pravidla sítě Azure
| Cílový koncový bod | Port | Používání | Poznámka: |
|---|---|---|---|
| *:443 neboServiceTag – AzureCloud:443 | TCP:443 | Správa služeb Azure Spring Apps | Informace o instanci requiredTrafficsslužby najdete v datové části prostředku v networkProfile části. |
| *.azurecr.io:443 neboServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Můžete ho nahradit povolením koncového bodu služby Azure Container Registryve virtuální síti. |
| *.core.windows.net:443 a *.core.windows.net:445 neboServiceTag – Storage:443 a Storage:445 | TCP:443, TCP:445 | Soubory Azure | Můžete ho nahradit povolením koncového bodu služby Azure Storageve virtuální síti. |
| *.servicebus.windows.net:443 neboServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Můžete ho nahradit povolením koncového bodu služby Azure Event Hubsve virtuální síti. |
| *.prod.microsoftmetrics.com:443 neboServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor | Umožňuje odchozí volání do služby Azure Monitor. |
Globální požadovaný plně kvalifikovaný název domény Azure / pravidla aplikací
Azure Firewall poskytuje značku plně kvalifikovaného názvu domény AzureKubernetesService , která zjednodušuje následující konfigurace:
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Základní správa clusteru Kubernetes |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Úložiště MCR zálohované službou Azure CDN |
| management.azure.com | HTTPS:443 | Základní správa clusteru Kubernetes |
| login.microsoftonline.com | HTTPS:443 | Ověřování Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Úložiště balíčků Microsoftu. |
| acs-mirror.azureedge.net | HTTPS:443 | Úložiště potřebné k instalaci požadovaných binárních souborů, jako jsou kubenet a Azure CNI. |
Microsoft Azure provozovaný společností 21Vianet – požadovaná síťová pravidla
| Cílový koncový bod | Port | Používání | Poznámka: |
|---|---|---|---|
| *:443 neboServiceTag – AzureCloud:443 | TCP:443 | Správa služeb Azure Spring Apps | Informace o instanci requiredTrafficsslužby najdete v datové části prostředku v networkProfile části. |
| *.azurecr.cn:443 neboServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Můžete ho nahradit povolením koncového bodu služby Azure Container Registryve virtuální síti. |
| *.core.chinacloudapi.cn:443 a *.core.chinacloudapi.cn:445 neboServiceTag – Storage:443 a Storage:445 | TCP:443, TCP:445 | Soubory Azure | Můžete ho nahradit povolením koncového bodu služby Azure Storageve virtuální síti. |
| *.servicebus.chinacloudapi.cn:443 neboServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Můžete ho nahradit povolením koncového bodu služby Azure Event Hubsve virtuální síti. |
| *.prod.microsoftmetrics.com:443 neboServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor | Umožňuje odchozí volání do služby Azure Monitor. |
Microsoft Azure provozovaný společností 21Vianet – požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
Azure Firewall poskytuje značku plně kvalifikovaného názvu AzureKubernetesService domény pro zjednodušení následujících konfigurací:
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Základní správa clusteru Kubernetes |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Úložiště MCR zálohované službou Azure CDN |
| management.chinacloudapi.cn | HTTPS:443 | Základní správa clusteru Kubernetes |
| login.chinacloudapi.cn | HTTPS:443 | Ověřování Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Úložiště balíčků Microsoftu. |
| *.azk8s.cn | HTTPS:443 | Úložiště potřebné k instalaci požadovaných binárních souborů, jako jsou kubenet a Azure CNI. |
Volitelný plně kvalifikovaný název domény Azure Spring Apps pro správu výkonu aplikací třetích stran
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
| kolektor*.newrelic.com | TCP:443/80 | Požadované sítě agentů New Relic APM z oblasti USA, viz také sítě agentů APM. |
| collector*.eu01.nr-data.net | TCP:443/80 | Požadované sítě agentů New Relic APM z oblasti EU, viz také sítě agentů APM. |
| *.live.dynatrace.com | TCP:443 | Požadovaná síť agentů Dynatrace APM. |
| *.live.ruxit.com | TCP:443 | Požadovaná síť agentů Dynatrace APM. |
| *.saas.appdynamics.com | TCP:443/80 | Požadovaná síť agentů AppDynamics APM, viz také domény SaaS a rozsahy IP adres. |
Volitelný plně kvalifikovaný název domény azure Spring Apps pro Přehledy aplikací
V bráně firewall serveru je potřeba otevřít některé odchozí porty, aby aplikace Přehledy SDK nebo agent Přehledy aplikace odesílala data na portál. Další informace najdete v části Odchozí porty IP adres používaných službou Azure Monitor.