가상 네트워크에서 Azure Spring Apps 실행에 대한 고객 책임
참고 항목
Azure Spring Apps는 Azure Spring Cloud 서비스의 새 이름입니다. 서비스에 새 이름이 지정되었지만, 자산을 업데이트하는 동안 스크린샷, 비디오, 다이어그램과 같은 일부 위치에서는 당분간 이전 이름이 표시됩니다.
이 문서의 적용 대상: ✔️ 기본/표준 ✔️ 엔터프라이즈
이 문서에는 가상 네트워크에서 Azure Spring Apps를 사용하기 위한 사양이 포함되어 있습니다.
Azure Spring Apps가 가상 네트워크에 배포되면 가상 네트워크 외부의 서비스에 대한 아웃바운드 종속성이 있습니다. 관리와 운영을 목적으로 Azure Spring Apps는 특정 포트와 FQDN(정규화된 도메인 이름)에 액세스해야 합니다. Azure Spring Apps가 관리 영역과 통신하고 핵심 Kubernetes 클러스터 구성 요소 및 보안 업데이트를 다운로드하고 설치하기 위해서는 이러한 엔드포인트가 필요합니다.
기본적으로 Azure Spring Apps는 무제한 아웃바운드(송신) 인터넷 액세스가 있습니다. 이러한 수준의 네트워크 액세스가 있으면 사용자가 실행하는 애플리케이션은 필요할 때마다 외부 리소스에 액세스할 수 있습니다. 송신 트래픽을 제한하려면 유지 관리 작업을 위해 제한된 수의 포트 및 주소에 액세스할 수 있어야 합니다. 아웃바운드 주소를 보호하는 가장 간단한 솔루션은 도메인 이름에 따라 아웃바운드 트래픽을 제어할 수 있는 방화벽 디바이스를 사용하는 것입니다. 예를 들어 Azure Firewall은 대상의 FQDN을 기반으로 아웃바운드 HTTP 및 HTTPS 트래픽을 제한할 수 있습니다. 이러한 필수 포트와 주소를 허용하도록 기본 방화벽 및 보안 규칙을 구성할 수도 있습니다.
Azure Spring Apps 리소스 요구 사항
다음 목록은 Azure Spring Apps 서비스의 리소스 요구 사항을 보여줍니다. 일반적으로 Azure Spring Apps 및 기본 네트워크 리소스에서 만든 리소스 그룹은 수정하지 않아야 합니다.
- Azure Spring Apps에서 만들고 소유한 리소스 그룹은 수정하지 마세요.
- 기본적으로 이러한 리소스 그룹은 이름이
ap-svc-rt_<service-instance-name>_<region>*및ap_<service-instance-name>_<region>*으로 지정됩니다. - Azure Spring Apps가 이러한 리소스 그룹의 리소스를 업데이트하는 것을 차단하지 마세요.
- 기본적으로 이러한 리소스 그룹은 이름이
- Azure Spring Apps에서 사용되는 서브넷을 수정하지 마세요.
- 동일한 서브넷에 Azure Spring Apps 서비스 인스턴스를 두 개 이상 만들지 마세요.
- 방화벽을 사용하여 트래픽을 제어하는 경우 서비스 인스턴스를 작동, 유지 관리 및 지원하는 Azure Spring Apps 구성 요소에 대한 다음 송신 트래픽을 차단하지 마세요.
Azure 글로벌 필수 네트워크 규칙
| 대상 엔드포인트 | 포트 | 사용할 용어 | 참고 항목 |
|---|---|---|---|
| *:443 또는ServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps 서비스 관리 | 서비스 인스턴스 requiredTraffics에 대한 자세한 내용은 networkProfile 섹션의 리소스 페이로드를 참조하세요. |
| *.azurecr.io:443 또는ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry입니다. | 가상 네트워크의 Azure Container Registry 서비스 엔드포인트를 사용하도록 설정하여 바꿀 수 있습니다. |
| *.core.windows.net:443 및 *.core.windows.net:445 또는ServiceTag - Storage:443 및 Storage:445 | TCP:443, TCP:445 | Azure 파일 | 가상 네트워크의Azure Storage 서비스 엔드포인트를 사용하도록 설정하여 바꿀 수 있습니다. |
| *.servicebus.windows.net:443 또는ServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs - | 가상 네트워크의 Azure Event Hubs서비스 엔드포인트를 사용하도록 설정하여 바꿀 수 있습니다. |
| *.prod.microsoftmetrics.com:443 또는ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Azure Monitor에 대한 아웃바운드 호출을 허용합니다. |
Azure 글로벌 필수 FQDN/애플리케이션 규칙
Azure Firewall은 FQDN 태그 AzureKubernetesService를 제공하여 다음 구성을 간소화합니다.
| 대상 FQDN | 포트 | 사용할 용어 |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | 기본 Kubernetes 클러스터 관리 |
| mcr.microsoft.com | HTTPS:443 | MCR(Microsoft Container Registry) |
| *.data.mcr.microsoft.com | HTTPS:443 | Azure CDN에서 지원하는 MCR 스토리지 |
| management.azure.com | HTTPS:443 | 기본 Kubernetes 클러스터 관리 |
| login.microsoftonline.com | HTTPS:443 | Microsoft Entra 인증 |
| packages.microsoft.com | HTTPS:443 | Microsoft 패키지 리포지토리 |
| acs-mirror.azureedge.net | HTTPS:443 | kubenet 및 Azure CNI와 같은 필수 이진 파일을 설치하는 데 필요한 리포지토리 |
21Vianet에서 운영하는 Microsoft Azure 필수 네트워크 규칙
| 대상 엔드포인트 | 포트 | 사용할 용어 | 참고 항목 |
|---|---|---|---|
| *:443 또는ServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps 서비스 관리 | 서비스 인스턴스 requiredTraffics에 대한 자세한 내용은 networkProfile 섹션의 리소스 페이로드를 참조하세요. |
| *.azurecr.cn:443 또는ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry입니다. | 가상 네트워크의 Azure Container Registry 서비스 엔드포인트를 사용하도록 설정하여 바꿀 수 있습니다. |
| *.core.chinacloudapi.cn:443 및 *.core.chinacloudapi.cn:445 또는ServiceTag - 스토리지:443 및 스토리지:445 | TCP:443, TCP:445 | Azure 파일 | 가상 네트워크의Azure Storage 서비스 엔드포인트를 사용하도록 설정하여 바꿀 수 있습니다. |
| *.servicebus.chinacloudapi.cn:443 또는ServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs - | 가상 네트워크의 Azure Event Hubs서비스 엔드포인트를 사용하도록 설정하여 바꿀 수 있습니다. |
| *.prod.microsoftmetrics.com:443 또는ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Azure Monitor에 대한 아웃바운드 호출을 허용합니다. |
21Vianet에서 운영하는 Microsoft Azure에는 FQDN/애플리케이션 규칙이 필요합니다.
Azure Firewall은 FQDN 태그 AzureKubernetesService를 제공하여 다음 구성을 간소화합니다.
| 대상 FQDN | 포트 | 사용할 용어 |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | 기본 Kubernetes 클러스터 관리 |
| mcr.microsoft.com | HTTPS:443 | MCR(Microsoft Container Registry) |
| *.data.mcr.microsoft.com | HTTPS:443 | Azure CDN에서 지원하는 MCR 스토리지 |
| management.chinacloudapi.cn | HTTPS:443 | 기본 Kubernetes 클러스터 관리 |
| login.chinacloudapi.cn | HTTPS:443 | Microsoft Entra 인증 |
| packages.microsoft.com | HTTPS:443 | Microsoft 패키지 리포지토리 |
| *.azk8s.cn | HTTPS:443 | kubenet 및 Azure CNI와 같은 필수 이진 파일을 설치하는 데 필요한 리포지토리 |
타사 애플리케이션 성능 관리를 위한 Azure Spring Apps의 선택적인 FQDN
| 대상 FQDN | 포트 | 사용할 용어 |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | 미국 지역에서 New Relic APM 에이전트의 필수 네트워크는 APM 에이전트 네트워크를 참조하세요. |
| collector*.eu01.nr-data.net | TCP:443/80 | EU 지역에서 New Relic APM 에이전트의 필수 네트워크는 APM 에이전트 네트워크를 참조하세요. |
| *.live.dynatrace.com | TCP:443 | Dynatrace APM 에이전트의 필수 네트워크. |
| *.live.ruxit.com | TCP:443 | Dynatrace APM 에이전트의 필수 네트워크. |
| *.saas.appdynamics.com | TCP:443/80 | AppDynamics APM 에이전트의 필수 네트워크입니다. 또한 SaaS 도메인 및 IP 범위를 참조하세요. |
Application Insights용 Azure Spring Apps 선택적 FQDN
Application Insights SDK 또는 Application Insights 에이전트가 포털로 데이터를 보낼 수 있도록 하려면 서버의 방화벽에서 일부 발신 포트를 열어야 합니다. 자세한 내용은 Azure Monitor에서 사용하는 IP 주소의 발신 포트 섹션을 참조하세요.