Kundenverantwortung für den Azure Spring Apps-Standardverbrauchs- und dedizierten Plan in einem virtuellen Netzwerk
Hinweis
Azure Spring Apps ist der neue Name für den Azure Spring Cloud-Dienst. Obwohl der Dienst umbenannt wurde, wird der alte Name noch an einigen Stellen verwendet, solange wir Ressourcen wie Screenshots, Videos und Diagramme aktualisieren.
Dieser Artikel gilt für: ✔️ Standardverbrauch und dediziert (Vorschau) ❌ Basic/Standard ❌ Enterprise
In diesem Artikel werden die Kundenverantwortlichkeiten für die Ausführung einer Azure Spring Apps Standard-Nutzung und einer dedizierten Plandienstinstanz in einem virtuellen Netzwerk beschrieben.
Verwenden Sie Netzwerksicherheitsgruppen (Network Security Groups, NSGs), um virtuelle Netzwerke so zu konfigurieren, dass sie den von Kubernetes erforderlichen Einstellungen entsprechen.
Um den gesamten eingehenden und ausgehenden Datenverkehr für die Azure-Container-Apps-Umgebung zu steuern, können Sie NSGs verwenden, um ein Netzwerk mit restriktiveren Regeln zu sperren als die Standardmäßigen NSG-Regeln.
NSG-Zulassungsregeln
In den folgenden Tabellen wird beschrieben, wie Sie eine Sammlung von NSG-Zulassungsregeln konfigurieren.
Hinweis
Das subnetz, das einer Azure-Container-Apps-Umgebung zugeordnet ist, erfordert ein CIDR-Präfix oder /23 größer.
Ausgehend mit ServiceTags
| Protocol | Port | ServiceTag | Beschreibung |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
Erforderlich für die sichere Verbindung zwischen zugrunde liegenden Knoten und der Kontrollebene für interne Azure Kubernetes Service (AKS). Ersetzen Sie <region> durch die Region, in der Ihre Container-App bereitgestellt wird. |
| TCP | 9000 |
AzureCloud.<region> |
Erforderlich für interne AKS sichere Verbindung zwischen zugrunde liegenden Knoten und der Steuerebene. Ersetzen Sie <region> durch die Region, in der Ihre Container-App bereitgestellt wird. |
| TCP | 443 |
AzureMonitor |
Ermöglicht ausgehende Aufrufe an Azure Monitor |
| TCP | 443 |
Azure Container Registry |
Aktiviert die Azure-Containerregistrierung, wie in den Endpunkten des virtuellen Netzwerks beschrieben. |
| TCP | 443 |
MicrosoftContainerRegistry |
Das Diensttag für die Containerregistrierung für Microsoft-Container. |
| TCP | 443 |
AzureFrontDoor.FirstParty |
Eine Abhängigkeit des MicrosoftContainerRegistry Diensttags. |
| TCP | 443, 445 |
Azure Files |
Aktiviert Azure Storage, wie in den Endpunkten des virtuellen Netzwerks beschrieben. |
Ausgehend mit Platzhalter-IP-Regeln
| Protocol | Port | IP | BESCHREIBUNG |
|---|---|---|---|
| TCP | 443 |
* | Legen Sie den gesamten ausgehenden Datenverkehr am Port 443 so fest, dass alle vollqualifizierten Do Standard namen (FQDN) basierend auf ausgehenden Abhängigkeiten ohne statische IP-Adresse zulässig sind. |
| UDP | 123 |
* | NTP-Server |
| TCP | 5671 |
* | Container Apps-Steuerungsebene. |
| TCP | 5672 |
* | Container Apps-Steuerungsebene. |
| Any | * | Adressraum des Infrastruktursubnetzes | Lassen Sie die Kommunikation zwischen IPs im Infrastruktursubnetz zu. Diese Adresse wird als Parameter übergeben, wenn Sie eine Umgebung erstellen , 10.0.0.0/21z. B. . . |
Ausgehend mit FQDN-Anforderungen/Anwendungsregeln
| Protocol | Port | FQDN | Beschreibung |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR) |
| TCP | 443 |
*.cdn.mscr.io |
MCR-Speicher, der vom Azure Content Delivery Network (CDN) gesichert wird. |
| TCP | 443 |
*.data.mcr.microsoft.com |
MCR-Speicher, der auf Azure CDN basiert |
Ausgehend mit FQDN für die Anwendungsleistungsverwaltung von Drittanbietern (optional)
| Protocol | Port | FQDN | Beschreibung |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
Die erforderlichen Netzwerke von New Relic-Anwendungs- und Leistungsüberwachungs-Agents (APM) aus der US-Region. Siehe APM Agents Networks. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
Die erforderlichen Netzwerke von New Relic APM-Agenten aus der EU-Region. Siehe APM Agents Networks. |
| TCP | 443 |
*.live.dynatrace.com |
Das erforderliche Netzwerk von Dynatrace APM-Agents. |
| TCP | 443 |
*.live.ruxit.com |
Das erforderliche Netzwerk von Dynatrace APM-Agents. |
| TCP | 443/80 |
*.saas.appdynamics.com |
Das erforderliche Netzwerk von AppDynamics APM-Agents. Siehe SaaS Do Standard s und IP-Bereiche. |
Überlegungen
- Wenn Sie HTTP-Server ausführen, müssen Sie möglicherweise Ports und
443.80 - Hinzufügen von Verweigerungsregeln für einige Ports und Protokolle mit niedrigerer Priorität als
65000dies zu Dienstunterbrechungen und unerwartetem Verhalten führen kann.