仮想ネットワークでの Azure Spring Apps Standard 従量課金および専用プランに関するお客様の責任
Note
Azure Spring Apps は、Azure Spring Cloud サービスの新しい名前です。 サービスの名前は新しくなりましたが、スクリーンショット、ビデオ、図などの資産の更新に取り組んでいる間、場所によってはしばらく古い名前が表示されます。
この記事の適用対象: ✔️ Standard 従量課金および専用 (プレビュー) ❌ Basic/Standard ❌ Enterprise
この記事では、仮想ネットワークで Azure Spring Apps Standard の従量課金および専用プラン サービス インスタンスを実行する場合のお客様の責任について説明します。
ネットワーク セキュリティ グループ (NSG) を使用して、Kubernetes で必要な設定に適合するように仮想ネットワークを構成します。
Azure Container Apps 環境の受信および送信トラフィックをすべて制御するには、NSG を使用して、既定の NSG 規則よりも制限の厳しい規則でネットワークをロックダウンします。
NSG の許可規則
次の表では、NSG 許可規則のコレクションを構成する方法について説明します。
Note
Azure Container Apps 環境に関連付けられているサブネットには、/23 以上の CIDR プレフィックスが必要です。
ServiceTag を使用するアウトバウンド
| プロトコル | [ポート] | ServiceTag | 説明 |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
基になるノードとコントロール プレーン間での Azure Kubernetes Service (AKS) のセキュリティで保護された内部接続に必要です。 <region> は、コンテナー アプリがデプロイされているリージョンに置き換えます。 |
| TCP | 9000 |
AzureCloud.<region> |
基になるノードとコントロール プレーン間での AKS のセキュリティ保護された内部接続に必要です。 <region> は、コンテナー アプリがデプロイされているリージョンに置き換えます。 |
| TCP | 443 |
AzureMonitor |
Azure Monitor へのアウトバウンド呼び出しを許可します。 |
| TCP | 443 |
Azure Container Registry |
「仮想ネットワーク サービス エンドポイント」で説明されているように、Azure Container Registry を有効にします。 |
| TCP | 443 |
MicrosoftContainerRegistry |
Microsoft コンテナーのコンテナー レジストリのサービス タグ。 |
| TCP | 443 |
AzureFrontDoor.FirstParty |
MicrosoftContainerRegistry サービス タグの依存関係。 |
| TCP | $ | Azure Files |
「仮想ネットワーク サービス エンドポイント」で説明されているように、Azure Storage を有効にします。 |
ワイルドカード IP 規則を使用するアウトバウンド
| プロトコル | [ポート] | IP | 説明 |
|---|---|---|---|
| TCP | 443 |
* | ポート 443 に対してすべての送信トラフィックを設定して、静的 IP を持たないすべての完全修飾ドメイン名 (FQDN) ベースの送信依存関係を許可します。 |
| UDP | 123 |
* | NTP サーバー。 |
| TCP | 5671 |
* | Container Apps コントロール プレーン。 |
| TCP | 5672 |
* | Container Apps コントロール プレーン。 |
| [任意] | * | インフラストラクチャ サブネットのアドレス空間 | インフラストラクチャ サブネット内の IP 間の通信を許可します。 このアドレスは、環境を作成するときにパラメーターとして渡されます (例: 10.0.0.0/21)。 |
FQDN 要件およびアプリケーション規則を使用した送信
| プロトコル | [ポート] | FQDN | 説明 |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR)。 |
| TCP | 443 |
*.cdn.mscr.io |
Azure Content Delivery Network (CDN) によってサポートされる MCR ストレージ。 |
| TCP | 443 |
*.data.mcr.microsoft.com |
Azure CDN によってサポートされる MCR ストレージ。 |
サード パーティ製アプリケーションのパフォーマンス管理用の FQDN を使用した送信 (省略可能)
| プロトコル | [ポート] | FQDN | 説明 |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
米国リージョンの New Relic アプリケーションおよびパフォーマンスの監視 (APM) エージェントの必須ネットワーク。 APM エージェント ネットワークに関する記事を参照してください。 |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
ヨーロッパ リージョンの New Relic APM エージェントの必須ネットワーク。 APM エージェント ネットワークに関する記事を参照してください。 |
| TCP | 443 |
*.live.dynatrace.com |
Dynatrace APM エージェントの必須ネットワーク。 |
| TCP | 443 |
*.live.ruxit.com |
Dynatrace APM エージェントの必須ネットワーク。 |
| TCP | 443/80 |
*.saas.appdynamics.com |
AppDynamics APM エージェントの必須ネットワーク。 SaaS ドメインおよび IP 範囲に関する記事を参照してください。 |
考慮事項
- HTTP サーバーを実行している場合は、ポート
80と443の追加が必要になる場合があります。 - 優先順位が
65000よりも低い一部のポートとプロトコルに拒否規則を追加すると、サービスの中断や予期しない動作が発生する可能性があります。