Az Azure Spring Apps Standard használatával és dedikált csomaggal kapcsolatos ügyfélfeladatok egy virtuális hálózaton
Feljegyzés
Az Azure Spring Apps az Azure Spring Cloud szolgáltatás új neve. Bár a szolgáltatásnak új neve van, bizonyos helyeken a régi nevet fogja látni egy darabig, miközben az eszközök, például képernyőképek, videók és diagramok frissítésével dolgozunk.
Ez a cikk a következőre vonatkozik: ✔️ Standard felhasználás és dedikált (előzetes verzió) ❌ Basic/Standard ❌ Enterprise
Ez a cikk az Azure Spring Apps Standard-használat és a dedikált csomagszolgáltatás-példány virtuális hálózaton való futtatásával kapcsolatos ügyfél-felelősségeket ismerteti.
A hálózati biztonsági csoportok (NSG-k) segítségével úgy konfigurálhatja a virtuális hálózatokat, hogy megfeleljenek a Kubernetes által megkövetelt beállításoknak.
Az Azure Container Apps-környezet összes bejövő és kimenő forgalmának szabályozásához az NSG-k használatával az alapértelmezett NSG-szabályoknál szigorúbb szabályokkal zárolhat egy hálózatot.
NSG-engedélyezési szabályok
Az alábbi táblázatok bemutatják, hogyan konfigurálhatók az NSG engedélyezési szabályainak gyűjteményei.
Feljegyzés
Az Azure Container Apps-környezethez társított alhálózathoz ciDR-előtag /23 szükséges vagy nagyobb.
Kimenő forgalom a ServiceTags használatával
Kimenő forgalom helyettesítő kártya IP-szabályaival
| Protokoll | Kikötő | IP | Leírás |
|---|---|---|---|
| TCP | 443 |
* | Állítsa be az összes kimenő forgalmat a porton 443 , hogy minden olyan teljes tartománynév (FQDN) alapú kimenő függőség engedélyezve legyen, amely nem rendelkezik statikus IP-címekkel. |
| UDP | 123 |
* | NTP-kiszolgáló. |
| TCP | 5671 |
* | Container Apps vezérlősík. |
| TCP | 5672 |
* | Container Apps vezérlősík. |
| Bármely | * | Infrastruktúra alhálózati címtere | Ip-címek közötti kommunikáció engedélyezése az infrastruktúra alhálózatán. Ez a cím paraméterként lesz átadva egy környezet létrehozásakor – például 10.0.0.0/21. |
Kimenő forgalom FQDN-követelményekkel/alkalmazásszabályokkal
| Protokoll | Kikötő | FQDN | Leírás |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
Az Azure Content Delivery Network (CDN) által támogatott MCR-tároló. |
| TCP | 443 |
*.data.mcr.microsoft.com |
AZ Azure CDN által támogatott MCR-tároló. |
Kimenő teljes tartománynévvel külső alkalmazásteljesítmény-kezeléshez (nem kötelező)
| Protokoll | Kikötő | FQDN | Leírás |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
A New Relic alkalmazás- és teljesítménymonitorozási (APM) ügynökök szükséges hálózatai az USA régiójából. Lásd: APM-ügynökök hálózatai. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
A New Relic APM-ügynökök szükséges hálózatai az EU-régióból. Lásd: APM-ügynökök hálózatai. |
| TCP | 443 |
*.live.dynatrace.com |
A Dynatrace APM-ügynökök szükséges hálózata. |
| TCP | 443 |
*.live.ruxit.com |
A Dynatrace APM-ügynökök szükséges hálózata. |
| TCP | 443/80 |
*.saas.appdynamics.com |
Az AppDynamics APM-ügynökök szükséges hálózata. Lásd: SaaS-tartományok és IP-tartományok. |
Megfontolások
- HA HTTP-kiszolgálókat futtat, előfordulhat, hogy portokat
80kell hozzáadnia és443. - Egyes portok és protokollok megtagadási szabályainak hozzáadása alacsonyabb prioritással, mint
65000a szolgáltatás megszakadását és váratlan viselkedését okozhatja.