Azure Spring Apps implementeren in een virtueel netwerk

Notitie

Azure Spring Apps is de nieuwe naam voor de Azure Spring Cloud-service. Hoewel de service een nieuwe naam heeft, ziet u de oude naam op sommige plaatsen terwijl we werken aan het bijwerken van assets, zoals schermopnamen, video's en diagrammen.

Dit artikel is van toepassing op: ✔️ Java ✔️ C#

Dit artikel is van toepassing op:❌ Basic ✔️ Standard ✔️ Enterprise

In deze zelfstudie wordt uitgelegd hoe u een Azure Spring Apps-exemplaar implementeert in uw virtuele netwerk. Deze implementatie wordt ook wel VNet-injectie genoemd.

De implementatie maakt het volgende mogelijk:

• Isolatie van Azure Spring Apps-apps en serviceruntime van internet op uw bedrijfsnetwerk.
• Interactie met Azure Spring Apps met systemen in on-premises datacenters of Azure-services in andere virtuele netwerken.
• Ondersteuning van klanten om binnenkomende en uitgaande netwerkcommunicatie voor Azure Spring Apps te beheren.

In de volgende video wordt beschreven hoe u Spring Boot-toepassingen beveiligt met beheerde virtuele netwerken.

Notitie

U kunt uw virtuele Azure-netwerk alleen selecteren wanneer u een nieuw Azure Spring Apps-service-exemplaar maakt. U kunt het gebruik van een ander virtueel netwerk niet wijzigen nadat Azure Spring Apps is gemaakt.

Vereisten

Registreer de Azure Spring Apps-resourceprovider Microsoft.AppPlatform en Microsoft.ContainerService volg de instructies in Resourceprovider registreren in Azure Portal of door de volgende Azure CLI-opdracht uit te voeren:

az provider register --namespace Microsoft.AppPlatform
az provider register --namespace Microsoft.ContainerService

Vereisten voor het virtuele netwerk

Het virtuele netwerk waarnaar u uw Azure Spring Apps-exemplaar implementeert, moet voldoen aan de volgende vereisten:

• Locatie: het virtuele netwerk moet zich op dezelfde locatie bevinden als het Azure Spring Apps-exemplaar.
• Abonnement: het virtuele netwerk moet zich in hetzelfde abonnement bevinden als het Azure Spring Apps-exemplaar.
• Subnetten: Het virtuele netwerk moet twee subnetten bevatten die zijn toegewezen aan een Azure Spring Apps-exemplaar:
  • Eén voor de serviceruntime.
  • Een voor uw Spring-toepassingen.
  • Er is een een-op-een-relatie tussen deze subnetten en een Azure Spring Apps-exemplaar. Gebruik een nieuw subnet voor elk service-exemplaar dat u implementeert. Elk subnet kan slechts één service-exemplaar bevatten.
• Adresruimte: CIDR blokkeert maximaal /28 voor zowel het subnet van de serviceruntime als het Subnet van Spring-toepassingen.
• Routetabel: de subnetten hebben standaard geen bestaande routetabellen nodig. U kunt uw eigen routetabel meenemen.

Gebruik de volgende stappen om het virtuele netwerk in te stellen voor het Azure Spring Apps-exemplaar.

Een virtueel netwerk maken

Azure-portal

Als u al een virtueel netwerk hebt om een Azure Spring Apps-exemplaar te hosten, slaat u stap 1, 2 en 3 over. U kunt beginnen met stap 4 om subnetten voor het virtuele netwerk voor te bereiden.

1. Selecteer Een resource maken in het menu van Azure Portal. Selecteer in Azure Marketplace Netwerken>Virtueel netwerk.

2. Voer in het dialoogvenster Virtueel netwerk maken de volgende informatie in of selecteer deze:

   Instelling	Weergegeven als
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer uw resourcegroep of maak een nieuwe.
   Naam	Voer azure-spring-apps-vnet in.
   Locatie	Selecteer VS - oost.

3. Selecteer Volgende: IP-adressen.

4. Voer voor de IPv4-adresruimte 10.1.0.0/16 in.

5. Selecteer Subnet toevoegen. Voer vervolgens service-runtime-subnet in voor subnetnaam en voer 10.1.0.0/24 in voor het adresbereik van het subnet. Selecteer vervolgens Toevoegen.

6. Selecteer Opnieuw subnet toevoegen en voer vervolgens de naam en het adresbereik van het subnet in. Voer bijvoorbeeld apps-subnet en 10.1.1.0/24 in. Selecteer vervolgens Toevoegen.

7. Selecteer Controleren + maken. Laat voor de rest de standaardwaarden staan, en selecteer Maken.

Azure-CLI

Als u al een virtueel netwerk hebt om een Azure Spring Apps-exemplaar te hosten, slaat u stap 1, 2, 3 en 4 over. U kunt beginnen met stap 5 om subnetten voor te bereiden voor het virtuele netwerk.

1. Gebruik de volgende opdracht om variabelen te definiëren voor uw abonnement, resourcegroep en Azure Spring Apps-exemplaar. Pas de waarden aan op basis van uw echte omgeving.

   export SUBSCRIPTION='<subscription-id>'
   export RESOURCE_GROUP='<resource-group-name>'
   export LOCATION='eastus'
   export AZURE_SPRING_APPS_INSTANCE_NAME='<Azure-Spring-Apps-Instance-name>'
   export VIRTUAL_NETWORK_NAME='azure-spring-apps-vnet'
   

2. Gebruik de volgende opdracht om u aan te melden bij de Azure CLI en uw actieve abonnement te kiezen.

   az login
   az account set --subscription ${SUBSCRIPTION}
   

3. Gebruik de volgende opdracht om een resourcegroep voor uw resources te maken:

   az group create --name $RESOURCE_GROUP --location $LOCATION
   

4. Gebruik de volgende opdracht om het virtuele netwerk te maken:

   az network vnet create \
       --resource-group $RESOURCE_GROUP \
       --name $VIRTUAL_NETWORK_NAME \
       --location $LOCATION \
       --address-prefix 10.1.0.0/16
   

5. Gebruik de volgende opdracht om twee subnetten in dit virtuele netwerk te maken:

   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.0.0/24 \
       --name service-runtime-subnet 
   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.1.0/24 \
       --name apps-subnet 
   

Machtiging voor service verlenen aan het virtuele netwerk

In deze sectie ziet u hoe u Azure Spring Apps de machtiging Eigenaar voor uw virtuele netwerk verleent. Met deze machtiging kunt u een toegewezen en dynamische service-principal op het virtuele netwerk verlenen voor verdere implementatie en onderhoud.

Notitie

De minimale vereiste machtigingen zijn Gebruikerstoegang Beheer istrator en Netwerkbijdrager. U kunt roltoewijzingen aan beide toewijzen als u geen toestemming kunt verlenen Owner .

Als u uw eigen routetabel of een door de gebruiker gedefinieerde routefunctie gebruikt, moet u azure Spring Apps ook dezelfde roltoewijzingen verlenen aan uw routetabellen. Zie de sectie Bring your own route table and Control egress traffic for an Azure Spring Apps instance(s) voor meer informatie.

Azure-portal

Gebruik de volgende stappen om machtigingen te verlenen:

1. Selecteer het virtuele netwerk azure-spring-apps-vnet dat u eerder hebt gemaakt.

2. Selecteer Toegangsbeheer (IAM) en selecteer vervolgens Toevoegen>Roltoewijzing toevoegen.

   

3. Wijs de Owner rol toe aan de Resourceprovider van Azure Spring Apps. Zie voor meer informatie Azure-rollen toewijzen met behulp van de Azure-portal.

   Notitie

   Als u azure Spring Apps-resourceprovider niet vindt, zoekt u naar Azure Spring Cloud-resourceprovider.

   

Azure-CLI

Gebruik de volgende opdrachten om machtigingen te verlenen:

export VIRTUAL_NETWORK_RESOURCE_ID=$(az network vnet show \
    --resource-group $RESOURCE_GROUP \
    --name $VIRTUAL_NETWORK_NAME \
    --query "id" \
    --output tsv)

az role assignment create \
    --role "Owner" \
    --scope ${VIRTUAL_NETWORK_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

Het --assignee argument vertegenwoordigt de service-principal die Azure Spring Apps gebruikt om te communiceren met het virtuele netwerk van de klant.

Een Azure Spring Apps-exemplaar implementeren

Azure-portal

Gebruik de volgende stappen om een Azure Spring Apps-exemplaar in het virtuele netwerk te implementeren:

1. Open de Azure Portal.

2. Zoek in het bovenste zoekvak naar Azure Spring Apps. Selecteer Azure Spring Apps in het resultaat.

3. Selecteer Toevoegen op de pagina Azure Spring Apps.

4. Vul het formulier in op de pagina Azure Spring Apps Maken .

5. Selecteer dezelfde resourcegroep en regio als die van het virtuele netwerk.

6. Selecteer voor Naam onder Servicedetails de optie azure-spring-apps-vnet.

7. Selecteer het tabblad Netwerken en selecteer de volgende waarden:

   Instelling	Weergegeven als
   Implementeren in uw eigen virtuele netwerk	Selecteer Ja.
   Virtueel netwerk	Selecteer azure-spring-apps-vnet.
   Subnet van serviceruntime	Selecteer service-runtime-subnet.
   Subnet van Spring Boot-microservice-apps	Selecteer apps-subnet.

   

8. Selecteer Controleren en maken.

9. Controleer uw specificaties, en selecteer Maken.

   

Azure-CLI

Een Azure Spring Apps-exemplaar implementeren in het virtuele netwerk:

Gebruik de volgende opdracht om uw Azure Spring Apps-exemplaar te maken, waarbij u het virtuele netwerk en de subnetten opgeeft die u eerder hebt gemaakt:

az spring create  \
    --resource-group "$RESOURCE_GROUP" \
    --name "$AZURE_SPRING_APPS_INSTANCE_NAME" \
    --vnet $VIRTUAL_NETWORK_NAME \
    --service-runtime-subnet service-runtime-subnet \
    --app-subnet apps-subnet \
    --enable-java-agent \
    --sku standard \
    --location $LOCATION

Na de implementatie worden er nog twee resourcegroepen in uw abonnement gemaakt om de netwerkresources voor het Azure Spring Apps-exemplaar te hosten. Ga naar Start en selecteer Resourcegroepen in het bovenste menu om de volgende nieuwe resourcegroepen te vinden.

De resourcegroep met de naam ap-svc-rt_{service instance name}_{service instance region} bevat netwerkresources voor de serviceruntime van het service-exemplaar.

De resourcegroep met de naam ap-app_{service instance name}_{service instance region} bevat netwerkresources voor uw Spring-toepassingen van het service-exemplaar.

Deze netwerkresources zijn verbonden met het virtuele netwerk dat is gemaakt in de vorige afbeelding.

Belangrijk

De resourcegroepen worden volledig beheerd door de Azure Spring Apps-service. Verwijder of wijzig resources niet handmatig.

Kleinere subnetbereiken gebruiken

In deze tabel ziet u het maximum aantal app-exemplaren dat Azure Spring Apps ondersteunt met behulp van kleinere subnetbereiken.

CIDR voor app-subnet	Totaal aantal IP's	Beschikbare IP's	Maximum aantal app-exemplaren
/28	16	8	App met 0.5 core: 192 App met één kern: 96 App met twee kernen: 48 App met drie kernen: 32 App met vier kernen: 24
/27	32	24	App met 0,5 kern: 456 App met één kern: 228 App met twee kernen: 144 App met drie kernen: 96 App met vier kernen: 72
/26	64	56	App met 0.5 kern: 500 App met één kern: 500 App met twee kernen: 336 App met drie kernen: 224 App met vier kernen: 168
/25	128	120	App met 0.5 kern: 500 App met één kern: 500 App met twee kerngeheugens: 500 App met drie kernen: 480 App met vier kernen: 360
/24	256	248	App met 0.5 kern: 500 App met één kern: 500 App met twee kerngeheugens: 500 App met drie kernen: 500 App met vier kernen: 500

Voor subnetten reserveert Azure vijf IP-adressen en Azure Spring Apps vereist ten minste drie IP-adressen. Er zijn ten minste acht IP-adressen vereist, dus /29 en /30 zijn niet-bewerkingen.

Voor een subnet voor een serviceruntime is /28 de minimale grootte.

Notitie

Een klein subnetbereik heeft invloed op de onderliggende resource die u kunt gebruiken voor systeemonderdelen, zoals de controller voor inkomend verkeer. Azure Spring Apps maakt gebruik van een onderliggende ingangscontroller voor het afhandelen van toepassingsverkeersbeheer. Het aantal exemplaren van de ingangscontroller neemt automatisch toe naarmate het toepassingsverkeer toeneemt. Reserveer een groter IP-netwerksubnetbereik als het toepassingsverkeer in de toekomst kan toenemen. Doorgaans reserveert u één IP-adres voor verkeer van 10000 aanvragen per seconde.

Bring Your Own Route Table

Azure Spring Apps ondersteunt het gebruik van bestaande subnetten en routetabellen.

Als uw aangepaste subnetten geen routetabellen bevatten, worden deze door Azure Spring Apps gemaakt voor elk van de subnetten en worden er regels aan toegevoegd gedurende de levenscyclus van het exemplaar. Als uw aangepaste subnetten routetabellen bevatten, erkent Azure Spring Apps de bestaande routetabellen tijdens exemplaarbewerkingen en voegt/updates en/of regels dienovereenkomstig toe voor bewerkingen.

Waarschuwing

Aangepaste regels kunnen worden toegevoegd aan de aangepaste routetabellen en worden bijgewerkt. Er worden echter regels toegevoegd door Azure Spring Apps en deze mogen niet worden bijgewerkt of verwijderd. Regels zoals 0.0.0.0/0 moeten altijd bestaan op een bepaalde routetabel en toewijzen aan het doel van uw internetgateway, zoals een NVA of een andere uitgaande gateway. Wees voorzichtig bij het bijwerken van regels wanneer alleen uw aangepaste regels worden gewijzigd.

Vereisten voor routetabellen

De routetabellen waaraan uw aangepaste vnet is gekoppeld, moeten voldoen aan de volgende vereisten:

• U kunt uw Azure-routetabellen alleen koppelen aan uw vnet wanneer u een nieuw Azure Spring Apps-service-exemplaar maakt. U kunt geen andere routetabel gebruiken nadat Azure Spring Apps is gemaakt.
• Zowel het Subnet van de Spring-toepassing als het subnet van de serviceruntime moet worden gekoppeld aan verschillende routetabellen of geen van beide.
• Machtigingen moeten worden toegewezen voordat het exemplaar wordt gemaakt. Zorg ervoor dat u de resourceprovider van Azure Spring Apps de Owner machtiging (of User Access Administrator en Network Contributor machtigingen) voor uw routetabellen verleent.
• U kunt de gekoppelde routetabelresource niet bijwerken nadat het cluster is gemaakt. Hoewel u de resource van de routetabel niet kunt bijwerken, kunt u aangepaste regels in de routetabel wijzigen.
• U kunt een routetabel niet opnieuw gebruiken met meerdere exemplaren vanwege mogelijke conflicterende routeringsregels.

Aangepaste DNS-servers gebruiken

Azure Spring Apps ondersteunt het gebruik van aangepaste DNS-servers in uw virtuele netwerk.

Als u geen aangepaste DNS-servers opgeeft in de instelling voor het virtuele netwerk van uw DNS-server, gebruikt Azure Spring Apps standaard de Azure DNS om IP-adressen om te zetten. Als uw virtuele netwerk is geconfigureerd met aangepaste DNS-instellingen, voegt u Azure DNS IP 168.63.129.16 toe als upstream DNS-server in de aangepaste DNS-server. Azure DNS kan IP-adressen omzetten voor alle openbare FQDN's die worden vermeld in klantverantwoordelijkheden die Azure Spring Apps uitvoeren in een virtueel netwerk. Het kan ook IP-adres voor *.svc.private.azuremicroservices.io in uw virtuele netwerk oplossen.

Als uw aangepaste DNS-server geen Azure DNS-IP 168.63.129.16 kan toevoegen als de upstream-DNS-server, gebruikt u de volgende stappen:

• Zorg ervoor dat uw aangepaste DNS-server IP-adressen voor alle openbare FQDN's kan omzetten. Zie Klantverantwoordelijkheden die Azure Spring Apps uitvoeren in een virtueel netwerk voor meer informatie.
• Voeg de DNS-record toe aan het IP-adres *.svc.private.azuremicroservices.io van uw toepassing. Zie de sectie Het IP-adres voor uw toepassing van Access-apps zoeken in Azure Spring Apps in een virtueel netwerk voor meer informatie.

Volgende stappen

• Problemen met Azure Spring Apps in VNET oplossen
• Verantwoordelijkheden van de klant voor het uitvoeren van Azure Spring Apps in VNET