Responsabilidades del cliente para ejecutar Azure Spring Apps en una red virtual

  • Artículo
  • Tiempo de lectura: 4 minutos

Nota:

Azure Spring Apps es el nuevo nombre del servicio Azure Spring Cloud. Aunque el servicio tiene un nuevo nombre, verá el nombre antiguo en algunos lugares durante un tiempo mientras trabajamos para actualizar recursos, como capturas de pantalla, vídeos y diagramas.

Este artículo se aplica a: ✔️ Nivel Básico/Estándar ✔️ Nivel Enterprise

En este artículo se incluyen especificaciones para el uso de Azure Spring Apps en una red virtual.

Cuando se implementa Azure Spring Apps en la red virtual, tiene dependencias de salida de los servicios fuera de la red virtual. Para fines operativos y de administración, Azure Spring Apps debe tener acceso a determinados puertos y nombres de dominio completo (FQDN). Azure Spring Apps requiere estos puntos de conexión para realizar la comunicación con el plano de administración y para la descarga e instalación de las actualizaciones de seguridad y componentes principales del clúster de Kubernetes.

De forma predeterminada, Azure Spring Apps tiene el acceso de salida a Internet ilimitado. Este nivel de acceso a la red permite que las aplicaciones que ejecuta accedan a recursos externos según sea necesario. Si desea restringir el tráfico de salida, es necesario el acceso a un número limitado de puertos y direcciones para las tareas de mantenimiento. La solución más sencilla para proteger las direcciones de salida consiste en usar un dispositivo de firewall que pueda controlar el tráfico de salida en función de los nombres de dominio. Azure Firewall, por ejemplo, puede restringir el tráfico saliente HTTP y HTTPS en función del FQDN de destino. También puede configurar las reglas de seguridad y de firewall que prefiera para permitir estos puertos y direcciones necesarios.

Requisitos de recursos de Azure Spring Apps

En la siguiente lista se muestran los requisitos de recursos de los servicios de Azure Spring Apps. Como requisito general, no debe modificar los grupos de recursos creados por Azure Spring Apps y los recursos de red subyacentes.

  • No modifique los grupos de recursos creados que son propiedad de Azure Spring Apps.
    • De manera predeterminada, estos grupos de recursos se denominan ap-svc-rt_[SERVICE-INSTANCE-NAME]_[REGION]* y ap_[SERVICE-INSTANCE-NAME]_[REGION]*.
    • No evite que Azure Spring Apps actualice recursos de estos grupos de recursos.
  • No modifique las subredes usadas por Azure Spring Apps.
  • No cree más de una instancia de servicio de Azure Spring Apps en la misma subred.
  • Si usa un firewall para controlar el tráfico, no bloquee el siguiente tráfico de salida a los componentes de Azure Spring Apps que operan, mantienen y prestan soporte a la instancia de servicio.

Requisitos de red de Azure Spring Apps

Punto de conexión de destino Port Uso Nota:
*:1194 oServiceTag: AzureCloud:1194 UDP:1194 Administración de un clúster de Kubernetes subyacente.
*:443 oServiceTag: AzureCloud:443 TCP:443 Administración del servicio de Azure Spring Apps. La información de la instancia de servicio "requiredTraffics" se puede conocer en la carga de recursos, en la sección "networkProfile".
*:9000 oServiceTag: AzureCloud:9000 TCP:9000 Administración de un clúster de Kubernetes subyacente.
*:123 o ntp.ubuntu.com:123 UDP:123 Sincronización de la hora NTP en nodos Linux.
*.azure.io:443 oServiceTag: AzureContainerRegistry:443 TCP:443 Azure Container Registry. Se puede reemplazar si se habilita el punto de conexión de servicio de Azure Container Registryen la red virtual.
*.core.windows.net:443 y *.core.windows.net:445 oServiceTag: Storage:443 y Storage:445 TCP:443, TCP:445 Azure Files Se puede reemplazar si se habilita el punto de conexión de servicio de Azure Storageen la red virtual.
*.servicebus.windows.net:443 oServiceTag: EventHub:443 TCP:443 Azure Event Hubs. Se puede reemplazar si se habilita el punto de conexión de servicio de Azure Event Hubsen la red virtual.

Requisitos y reglas de aplicación del FQDN de Azure Spring Apps

Azure Firewall proporciona la etiqueta de FQDN AzureKubernetesService para simplificar las siguientes configuraciones:

FQDN de destino Port Uso
*.azmk8s.io HTTPS:443 Administración de un clúster de Kubernetes subyacente.
mcr.microsoft.com HTTPS:443 Microsoft Container Registry (MCR).
*.cdn.mscr.io HTTPS:443 Almacenamiento de MCR respaldado por Azure CDN.
*.data.mcr.microsoft.com HTTPS:443 Almacenamiento de MCR respaldado por Azure CDN.
management.azure.com HTTPS:443 Administración de un clúster de Kubernetes subyacente.
*login.microsoftonline.com HTTPS:443 Autenticación de Azure Active Directory.
*login.microsoft.com HTTPS:443 Autenticación de Azure Active Directory.
packages.microsoft.com HTTPS:443 Repositorio de paquetes de Microsoft.
acs-mirror.azureedge.net HTTPS:443 Repositorio necesario para instalar los archivos binarios necesarios, como kubenet y Azure CNI.
mscrl.microsoft.com1 HTTPS:80 Rutas de acceso de la cadena de certificados de Microsoft obligatorias.
crl.microsoft.com1 HTTPS:80 Rutas de acceso de la cadena de certificados de Microsoft obligatorias.
crl3.digicert.com1 HTTPS:80 Rutas de acceso de la cadena de certificados TLS/SSL de terceros.

1 Tenga en cuenta que estos FQDN no están incluidos en la etiqueta FQDN.

FQDN opcional de Azure Spring Apps para la administración del rendimiento de aplicaciones de terceros

FQDN de destino Port Uso
collector*.newrelic.com TCP:443/80 Redes necesarias de agentes de APM de New Relic de la región de EE. UU.; consulte también las Redes de agentes de APM.
collector*.eu01.nr-data.net TCP:443/80 Redes necesarias de agentes de APM de New Relic de la región de Europa; consulte también las Redes de agentes de APM.
*.live.dynatrace.com TCP:443 Red necesaria de agentes APM de Dynatrace.
*.live.ruxit.com TCP:443 Red necesaria de agentes APM de Dynatrace.
*.saas.appdynamics.com TCP:443/80 Red necesaria de agentes de AppDynamics APM, vea también Dominios de SaaS e intervalos IP.

Pasos siguientes