Responsabilità dei clienti per l'esecuzione di App Spring di Azure in una rete virtuale
Nota
Azure Spring Apps è il nuovo nome del servizio Azure Spring Cloud. Anche se il servizio ha un nuovo nome, il nome precedente verrà visualizzato in alcune posizioni per un po' mentre si lavora per aggiornare gli asset, ad esempio screenshot, video e diagrammi.
Questo articolo si applica a: ✔️ Basic/Standard ✔️ Enterprise
Questo articolo include le specifiche per l'uso di App Spring di Azure in una rete virtuale.
Quando Azure Spring Apps viene distribuito nella rete virtuale, presenta dipendenze in uscita dai servizi all'esterno della rete virtuale. Per scopi operativi e di gestione, Azure Spring Apps deve accedere a determinate porte e nomi di dominio completi (FQDN). Azure Spring Apps richiede che questi endpoint comunichino con il piano di gestione e per scaricare e installare i componenti di base del cluster Kubernetes e gli aggiornamenti della sicurezza.
Per impostazione predefinita, Azure Spring Apps ha accesso a Internet in uscita senza restrizioni. Questo livello di accesso alla rete consente alle applicazioni eseguite di accedere alle risorse esterne in base alle esigenze. Se si vuole limitare il traffico in uscita, è necessario che un numero limitato di porte e indirizzi sia accessibile per le attività di manutenzione. La soluzione più semplice per proteggere gli indirizzi in uscita è l'uso di un dispositivo firewall in grado di controllare il traffico in uscita in base ai nomi di dominio. Firewall di Azure, ad esempio, può limitare il traffico HTTP e HTTPS in uscita in base al nome di dominio completo della destinazione. È anche possibile configurare il firewall e le regole di sicurezza preferite per consentire queste porte e indirizzi necessari.
Requisiti delle risorse di Azure Spring Apps
L'elenco seguente illustra i requisiti delle risorse per i servizi di Azure Spring Apps. Come requisito generale, non è consigliabile modificare i gruppi di risorse creati da Azure Spring Apps e dalle risorse di rete sottostanti.
- Non modificare i gruppi di risorse creati e di proprietà di Azure Spring Apps.
- Per impostazione predefinita, questi gruppi di risorse sono denominati
ap-svc-rt_<service-instance-name>_<region>*eap_<service-instance-name>_<region>*. - Non impedire ad Azure Spring Apps di aggiornare le risorse in questi gruppi di risorse.
- Per impostazione predefinita, questi gruppi di risorse sono denominati
- Non modificare le subnet usate da Azure Spring Apps.
- Non creare più di un'istanza del servizio Azure Spring Apps nella stessa subnet.
- Quando si usa un firewall per controllare il traffico, non bloccare il traffico in uscita seguente verso i componenti di Azure Spring Apps che operano, gestiscono e supportano l'istanza del servizio.
Regole di rete necessarie a livello globale di Azure
| Endpoint di destinazione | Porta | Utilizzo | Nota |
|---|---|---|---|
| *:443 oServiceTag - AzureCloud:443 | TCP:443 | Gestione del servizio Azure Spring Apps. | Per informazioni sull'istanza requiredTrafficsdel servizio , vedere il payload della risorsa, nella networkProfile sezione . |
| *.azurecr.io:443 oServiceTag - AzureContainerRegistry:443 | TCP:443 | Registro Azure Container. | Può essere sostituito abilitando l'endpoint Registro Azure Container service nella rete virtuale. |
| *.core.windows.net:443 e *.core.windows.net:445 oServiceTag - Archiviazione:443 e Archiviazione:445 | TCP:443, TCP:445 | File di Azure | Può essere sostituito abilitando l'endpoint Archiviazione di Azure service nella rete virtuale. |
| *.servicebus.windows.net:443 oServiceTag - EventHub:443 | TCP:443 | Hub eventi di Azure. | Può essere sostituito abilitando l'endpoint Hub eventi di Azure service nella rete virtuale. |
| *.prod.microsoftmetrics.com:443 oServiceTag - AzureMonitor:443 | TCP:443 | Monitoraggio di Azure. | Consente chiamate in uscita a Monitoraggio di Azure. |
FQDN/regole dell'applicazione necessarie per Azure Global
Firewall di Azure fornisce il tag FQDNAzureKubernetesService per semplificare le configurazioni seguenti:
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Gestione del cluster Kubernetes sottostante. |
| mcr.microsoft.com | HTTPS:443 | Registro Contenitori Microsoft (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Archiviazione MCR supportata dal Rete CDN di Azure. |
| management.azure.com | HTTPS:443 | Gestione del cluster Kubernetes sottostante. |
| login.microsoftonline.com | HTTPS:443 | Autenticazione di Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repository di pacchetti Microsoft. |
| acs-mirror.azureedge.net | HTTPS:443 | Repository necessario per installare i file binari necessari, ad esempio kubenet e Azure CNI. |
Microsoft Azure gestito da 21Vianet richiede regole di rete
| Endpoint di destinazione | Porta | Utilizzo | Nota |
|---|---|---|---|
| *:443 oServiceTag - AzureCloud:443 | TCP:443 | Gestione del servizio Azure Spring Apps. | Per informazioni sull'istanza requiredTrafficsdel servizio , vedere il payload della risorsa, nella networkProfile sezione . |
| *.azurecr.cn:443 oServiceTag - AzureContainerRegistry:443 | TCP:443 | Registro Azure Container. | Può essere sostituito abilitando l'endpoint Registro Azure Container service nella rete virtuale. |
| *.core.chinacloudapi.cn:443 e *.core.chinacloudapi.cn:445 oServiceTag - Archiviazione:443 e Archiviazione:445 | TCP:443, TCP:445 | File di Azure | Può essere sostituito abilitando l'endpoint Archiviazione di Azure service nella rete virtuale. |
| *.servicebus.chinacloudapi.cn:443 oServiceTag - EventHub:443 | TCP:443 | Hub eventi di Azure. | Può essere sostituito abilitando l'endpoint Hub eventi di Azure service nella rete virtuale. |
| *.prod.microsoftmetrics.com:443 oServiceTag - AzureMonitor:443 | TCP:443 | Monitoraggio di Azure. | Consente chiamate in uscita a Monitoraggio di Azure. |
Microsoft Azure gestito da 21Vianet obbligatorio FQDN/regole dell'applicazione
Firewall di Azure fornisce il tag AzureKubernetesService FQDN per semplificare le configurazioni seguenti:
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Gestione del cluster Kubernetes sottostante. |
| mcr.microsoft.com | HTTPS:443 | Registro Contenitori Microsoft (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Archiviazione MCR supportata dal Rete CDN di Azure. |
| management.chinacloudapi.cn | HTTPS:443 | Gestione del cluster Kubernetes sottostante. |
| login.chinacloudapi.cn | HTTPS:443 | Autenticazione di Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repository di pacchetti Microsoft. |
| *.azk8s.cn | HTTPS:443 | Repository necessario per installare i file binari necessari, ad esempio kubenet e Azure CNI. |
FQDN facoltativo di Azure Spring Apps per la gestione delle prestazioni delle applicazioni di terze parti
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | Le reti necessarie degli agenti di New Relic APM dall'area degli Stati Uniti, vedere anche Reti agenti APM. |
| collector*.eu01.nr-data.net | TCP:443/80 | Le reti necessarie degli agenti di New Relic APM dall'area dell'UE, vedere anche Reti agenti APM. |
| *.live.dynatrace.com | TCP:443 | Rete necessaria degli agenti Dynatrace APM. |
| *.live.ruxit.com | TCP:443 | Rete necessaria degli agenti Dynatrace APM. |
| *.saas.appdynamics.com | TCP:443/80 | Rete necessaria degli agenti APM di AppDynamics, vedere anche Domini SaaS e intervalli IP. |
FQDN facoltativo di App Spring di Azure per Application Insights
È necessario aprire alcune porte in uscita nel firewall del server per consentire ad Application Insights SDK o all'agente di Application Insights di inviare dati al portale. Per altre informazioni, vedere la sezione Porte in uscita degli indirizzi IP usati da Monitoraggio di Azure.