Distribuera Azure Spring Apps i ett virtuellt nätverk

Kommentar

Azure Spring Apps är det nya namnet på Azure Spring Cloud-tjänsten. Även om tjänsten har ett nytt namn ser du det gamla namnet på vissa platser ett tag medan vi arbetar med att uppdatera tillgångar som skärmbilder, videor och diagram.

Den här artikeln gäller för: ✔️ Java ✔️ C#

Den här artikeln gäller för:❌ Basic ✔️ Standard ✔️ Enterprise

I den här självstudien beskrivs hur du distribuerar en Azure Spring Apps-instans i ditt virtuella nätverk. Den här distributionen kallas ibland VNet-inmatning.

Distributionen aktiverar:

• Isolering av Azure Spring Apps-appar och tjänstkörning från Internet i företagets nätverk.
• Azure Spring Apps-interaktion med system i lokala datacenter eller Azure-tjänster i andra virtuella nätverk.
• Kunders egenmakt att styra inkommande och utgående nätverkskommunikation för Azure Spring Apps.

I följande video beskrivs hur du skyddar Spring Boot-program med hanterade virtuella nätverk.

Kommentar

Du kan bara välja ditt virtuella Azure-nätverk när du skapar en ny Azure Spring Apps-tjänstinstans. Du kan inte ändra till att använda ett annat virtuellt nätverk när Azure Spring Apps har skapats.

Förutsättningar

Registrera Azure Spring Apps-resursprovidern Microsoft.AppPlatform och Microsoft.ContainerService enligt anvisningarna i Registrera resursprovider på Azure-portalen eller genom att köra följande Azure CLI-kommando:

az provider register --namespace Microsoft.AppPlatform
az provider register --namespace Microsoft.ContainerService

Krav för virtuella nätverk

Det virtuella nätverk som du distribuerar din Azure Spring Apps-instans till måste uppfylla följande krav:

• Plats: Det virtuella nätverket måste finnas på samma plats som Azure Spring Apps-instansen.
• Prenumeration: Det virtuella nätverket måste finnas i samma prenumeration som Azure Spring Apps-instansen.
• Undernät: Det virtuella nätverket måste innehålla två undernät som är dedikerade till en Azure Spring Apps-instans:
  • En för tjänstkörningen.
  • En för dina Spring-program.
  • Det finns en en-till-en-relation mellan dessa undernät och en Azure Spring Apps-instans. Använd ett nytt undernät för varje tjänstinstans som du distribuerar. Varje undernät kan bara innehålla en enda tjänstinstans.
• Adressutrymme: CIDR blockerar upp till /28 för både tjänstkörningsundernätet och Undernätet för Spring-program.
• Routningstabell: Som standard behöver undernäten inte befintliga routningstabeller associerade. Du kan ta med din egen routningstabell.

Använd följande steg för att konfigurera det virtuella nätverket så att det innehåller Azure Spring Apps-instansen.

Skapa ett virtuellt nätverk

Azure-portalen

Om du redan har ett virtuellt nätverk som värd för en Azure Spring Apps-instans hoppar du över steg 1, 2 och 3. Du kan börja från steg 4 för att förbereda undernät för det virtuella nätverket.

1. I menyn i Azure-portalen väljer du Skapa en resurs. Från Azure Marketplace väljer du Nätverk Virtuellt>nätverk.

2. I dialogrutan Skapa virtuellt nätverk anger eller väljer du följande information:

   Inställning	Värde
   Prenumeration	Välj din prenumeration.
   Resursgrupp	Välj din resursgrupp eller skapa en ny.
   Name	Ange azure-spring-apps-vnet.
   Plats	Välj USA, östra.

3. Välj Nästa: IP-adresser.

4. För IPv4-adressutrymmet anger du 10.1.0.0/16.

5. Välj Lägg till undernät. Ange sedan service-runtime-subnet som undernätsnamn och ange 10.1.0.0/24 som undernätsadressintervall. Välj Lägg till.

6. Välj Lägg till undernät igen och ange sedan undernätets namn och adressintervall. Ange till exempel apps-subnet och 10.1.1.0/24. Välj Lägg till.

7. Välj Granska + skapa. Lämna resten som standard och välj Skapa.

Azure CLI

Om du redan har ett virtuellt nätverk som värd för en Azure Spring Apps-instans hoppar du över steg 1, 2, 3 och 4. Du kan börja från steg 5 för att förbereda undernät för det virtuella nätverket.

1. Använd följande kommando för att definiera variabler för din prenumeration, resursgrupp och Azure Spring Apps-instans. Anpassa värdena baserat på din verkliga miljö.

   export SUBSCRIPTION='<subscription-id>'
   export RESOURCE_GROUP='<resource-group-name>'
   export LOCATION='eastus'
   export AZURE_SPRING_APPS_INSTANCE_NAME='<Azure-Spring-Apps-Instance-name>'
   export VIRTUAL_NETWORK_NAME='azure-spring-apps-vnet'
   

2. Använd följande kommando för att logga in på Azure CLI och välja din aktiva prenumeration.

   az login
   az account set --subscription ${SUBSCRIPTION}
   

3. Använd följande kommando för att skapa en resursgrupp för dina resurser:

   az group create --name $RESOURCE_GROUP --location $LOCATION
   

4. Använd följande kommando för att skapa det virtuella nätverket:

   az network vnet create \
       --resource-group $RESOURCE_GROUP \
       --name $VIRTUAL_NETWORK_NAME \
       --location $LOCATION \
       --address-prefix 10.1.0.0/16
   

5. Använd följande kommando för att skapa två undernät i det här virtuella nätverket:

   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.0.0/24 \
       --name service-runtime-subnet 
   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.1.0/24 \
       --name apps-subnet 
   

Bevilja tjänstbehörighet till det virtuella nätverket

Det här avsnittet visar hur du ger Azure Spring Apps ägarbehörighet i ditt virtuella nätverk. Med den här behörigheten kan du bevilja ett dedikerat och dynamiskt huvudnamn för tjänsten i det virtuella nätverket för ytterligare distribution och underhåll.

Kommentar

De minsta behörigheter som krävs är administratör för användaråtkomst och nätverksdeltagare. Du kan bevilja rolltilldelningar till båda om du inte kan bevilja Owner behörighet.

Om du använder en egen routningstabell eller en användardefinierad routningsfunktion måste du också ge Azure Spring Apps samma rolltilldelningar till dina routningstabeller. Mer information finns i avsnittet Ta med din egen routningstabell och Kontrollera utgående trafik för en Azure Spring Apps-instans.

Azure-portalen

Använd följande steg för att bevilja behörighet:

1. Välj det virtuella nätverk azure-spring-apps-vnet som du skapade tidigare.

2. Välj Åtkomstkontroll (IAM) och välj sedan Lägg till>rolltilldelning.

   

3. Owner Tilldela rollen till Azure Spring Apps-resursprovidern. Mer information finns i Tilldela Azure-roller med Azure-portalen.

   Kommentar

   Om du inte hittar Resursprovidern för Azure Spring Apps söker du efter Azure Spring Cloud Resource Provider.

   

Azure CLI

Använd följande kommandon för att bevilja behörighet:

export VIRTUAL_NETWORK_RESOURCE_ID=$(az network vnet show \
    --resource-group $RESOURCE_GROUP \
    --name $VIRTUAL_NETWORK_NAME \
    --query "id" \
    --output tsv)

az role assignment create \
    --role "Owner" \
    --scope ${VIRTUAL_NETWORK_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

Argumentet --assignee representerar tjänstens huvudnamn som Azure Spring Apps använder för att interagera med kundens virtuella nätverk.

Distribuera en Azure Spring Apps-instans

Azure-portalen

Använd följande steg för att distribuera en Azure Spring Apps-instans i det virtuella nätverket:

1. Öppna Azure Portal.

2. Sök efter Azure Spring Apps i den översta sökrutan. Välj Azure Spring Apps i resultatet.

3. På sidan Azure Spring Apps väljer du Lägg till.

4. Fyll i formuläret på sidan Skapa Azure Spring Apps.

5. Välj samma resursgrupp och region som det virtuella nätverket.

6. Som Namn under Tjänstinformation väljer du azure-spring-apps-vnet.

7. Välj fliken Nätverk och välj följande värden:

   Inställning	Värde
   Distribuera i ditt eget virtuella nätverk	Välj Ja.
   Virtuellt nätverk	Välj azure-spring-apps-vnet.
   Tjänstkörningsundernät	Välj service-runtime-subnet.
   Undernät för Spring Boot-mikrotjänstappar	Välj appar-undernät.

   

8. Välj Granska och skapa.

9. Verifiera dina specifikationer och välj Skapa.

   

Azure CLI

Så här distribuerar du en Azure Spring Apps-instans i det virtuella nätverket:

Använd följande kommando för att skapa din Azure Spring Apps-instans och ange det virtuella nätverket och undernäten som du skapade tidigare:

az spring create  \
    --resource-group "$RESOURCE_GROUP" \
    --name "$AZURE_SPRING_APPS_INSTANCE_NAME" \
    --vnet $VIRTUAL_NETWORK_NAME \
    --service-runtime-subnet service-runtime-subnet \
    --app-subnet apps-subnet \
    --enable-java-agent \
    --sku standard \
    --location $LOCATION

Efter distributionen skapas ytterligare två resursgrupper i din prenumeration som värd för nätverksresurserna för Azure Spring Apps-instansen. Gå till Start och välj sedan Resursgrupper i de översta menyalternativen för att hitta följande nya resursgrupper.

Resursgruppen med namnet som ap-svc-rt_{service instance name}_{service instance region} innehåller nätverksresurser för tjänstkörningen för tjänstinstansen.

Resursgruppen som heter som ap-app_{service instance name}_{service instance region} innehåller nätverksresurser för dina Spring-program för tjänstinstansen.

Dessa nätverksresurser är anslutna till det virtuella nätverk som skapades i föregående avbildning.

Viktigt!

Resursgrupperna hanteras helt av Azure Spring Apps-tjänsten. Ta inte bort eller ändra någon resurs manuellt inuti.

Använda mindre undernätsintervall

Den här tabellen visar det maximala antalet appinstanser som Azure Spring Apps stöder med mindre undernätsintervall.

Appundernät CIDR	Totalt antal IP-adresser	Tillgängliga IP-adresser	Maximalt antal appinstanser
/28	16	8	App med 0,5 kärnor: 192 App med en kärna: 96 App med två kärnor: 48 App med tre kärnor: 32 App med fyra kärnor: 24
/27	32	24	App med 0,5 kärnor: 456 App med en kärna: 228 App med två kärnor: 144 App med tre kärnor: 96 App med fyra kärnor: 72
/26	64	56	App med 0,5 kärnor: 500 App med en kärna: 500 App med två kärnor: 336 App med tre kärnor: 224 App med fyra kärnor: 168
/25	128	120	App med 0,5 kärnor: 500 App med en kärna: 500 App med två kärnor: 500 App med tre kärnor: 480 App med fyra kärnor: 360
/24	256	248	App med 0,5 kärnor: 500 App med en kärna: 500 App med två kärnor: 500 App med tre kärnor: 500 App med fyra kärnor: 500

För undernät reserverar Azure fem IP-adresser och Azure Spring Apps kräver minst tre IP-adresser. Minst åtta IP-adresser krävs, så /29 och /30 är icke-operativa.

För ett tjänstkörningsundernät är den minsta storleken /28.

Kommentar

Ett litet undernätsintervall påverkar den underliggande resurs som du kan använda för systemkomponenter som ingresskontrollant. Azure Spring Apps använder en underliggande ingresskontrollant för att hantera hantering av programtrafik. Antalet ingresskontrollantinstanser ökar automatiskt när programtrafiken ökar. Reservera ett större IP-intervall för virtuella nätverk om programtrafiken kan öka i framtiden. Du reserverar vanligtvis en IP-adress för trafik med 1 0000 begäranden per sekund.

Ta med din egen routningstabell

Azure Spring Apps stöder användning av befintliga undernät och routningstabeller.

Om dina anpassade undernät inte innehåller routningstabeller skapar Azure Spring Apps dem för vart och ett av undernäten och lägger till regler i dem under instansens livscykel. Om dina anpassade undernät innehåller routningstabeller bekräftar Azure Spring Apps befintliga routningstabeller under instansåtgärder och lägger till/uppdaterar och/eller regler i enlighet med detta för åtgärder.

Varning

Anpassade regler kan läggas till i de anpassade routningstabellerna och uppdateras. Regler läggs dock till av Azure Spring Apps och de får inte uppdateras eller tas bort. Regler som 0.0.0.0/0 måste alltid finnas i en viss routningstabell och mappas till målet för din internetgateway, till exempel en NVA eller annan utgående gateway. Var försiktig när du uppdaterar regler när endast dina anpassade regler ändras.

Krav för routningstabell

De routningstabeller som ditt anpassade virtuella nätverk är associerat med måste uppfylla följande krav:

• Du kan bara associera dina Azure-routningstabeller med ditt virtuella nätverk när du skapar en ny Azure Spring Apps-tjänstinstans. Du kan inte ändra till att använda en annan routningstabell när Azure Spring Apps har skapats.
• Både Spring-programmets undernät och undernätet för tjänstkörning måste associeras med olika routningstabeller eller inget av dem.
• Behörigheter måste tilldelas innan instansen skapas. Se till att ge Azure Spring Apps-resursprovidern Owner behörighet (eller User Access Administrator och Network Contributor behörigheter) för dina routningstabeller.
• Du kan inte uppdatera den associerade routningstabellresursen när klustret har skapats. Du kan inte uppdatera routningstabellresursen, men du kan ändra anpassade regler i routningstabellen.
• Du kan inte återanvända en routningstabell med flera instanser på grund av potentiellt motstridiga routningsregler.

Använda anpassade DNS-servrar

Azure Spring Apps stöder användning av anpassade DNS-servrar i ditt virtuella nätverk.

Om du inte anger anpassade DNS-servrar i inställningen för dns-serverns virtuella nätverk använder Azure Spring Apps som standard Azure DNS för att matcha IP-adresser. Om ditt virtuella nätverk har konfigurerats med anpassade DNS-inställningar lägger du till Azure DNS IP 168.63.129.16 som den överordnade DNS-servern på den anpassade DNS-servern. Azure DNS kan matcha IP-adresser för alla offentliga FQDN:er som nämns i Kundens ansvarsområden som kör Azure Spring Apps i ett virtuellt nätverk. Den kan också matcha IP-adressen för *.svc.private.azuremicroservices.io i ditt virtuella nätverk.

Om din anpassade DNS-server inte kan lägga till Azure DNS IP 168.63.129.16 som överordnad DNS-server använder du följande steg:

• Se till att din anpassade DNS-server kan matcha IP-adresser för alla offentliga FQDN:er. Mer information finns i Kundansvar som kör Azure Spring Apps i ett virtuellt nätverk.
• Lägg till DNS-posten *.svc.private.azuremicroservices.io till IP-adressen för ditt program. Mer information finns i avsnittet Hitta IP-adressen för ditt program i Åtkomst till en app i Azure Spring Apps i ett virtuellt nätverk.

Nästa steg

• Felsöka Azure Spring Apps i VNET
• Kundansvar för att köra Azure Spring Apps i VNET