Kundansvar för att köra Azure Spring Apps i ett virtuellt nätverk
Kommentar
Azure Spring Apps är det nya namnet på Azure Spring Cloud-tjänsten. Även om tjänsten har ett nytt namn ser du det gamla namnet på vissa platser ett tag medan vi arbetar med att uppdatera tillgångar som skärmbilder, videor och diagram.
Den här artikeln gäller för: ✔️ Basic/Standard ✔️ Enterprise
Den här artikeln innehåller specifikationer för användning av Azure Spring Apps i ett virtuellt nätverk.
När Azure Spring Apps distribueras i ditt virtuella nätverk har det utgående beroenden på tjänster utanför det virtuella nätverket. För hantering och drift måste Azure Spring Apps komma åt vissa portar och fullständigt kvalificerade domännamn (FQDN). Azure Spring Apps kräver att dessa slutpunkter kommunicerar med hanteringsplanet och laddar ned och installerar kubernetes-kärnklusterkomponenter och säkerhetsuppdateringar.
Som standard har Azure Spring Apps obegränsad utgående (utgående) internetåtkomst. Med den här nivån av nätverksåtkomst kan program som du kör komma åt externa resurser efter behov. Om du vill begränsa utgående trafik måste ett begränsat antal portar och adresser vara tillgängliga för underhållsaktiviteter. Den enklaste lösningen för att skydda utgående adresser är att använda en brandväggsenhet som kan styra utgående trafik baserat på domännamn. Azure Firewall kan till exempel begränsa utgående HTTP- och HTTPS-trafik baserat på målets fullständiga domännamn. Du kan också konfigurera de brandväggs- och säkerhetsregler som krävs för att tillåta dessa portar och adresser.
Resurskrav för Azure Spring Apps
I följande lista visas resurskraven för Azure Spring Apps-tjänster. Som ett allmänt krav bör du inte ändra resursgrupper som skapats av Azure Spring Apps och de underliggande nätverksresurserna.
- Ändra inte resursgrupper som skapats och ägs av Azure Spring Apps.
- Som standard namnges
ap-svc-rt_<service-instance-name>_<region>*dessa resursgrupper ochap_<service-instance-name>_<region>*. - Blockera inte Azure Spring Apps från att uppdatera resurser i dessa resursgrupper.
- Som standard namnges
- Ändra inte undernät som används av Azure Spring Apps.
- Skapa inte fler än en Azure Spring Apps-tjänstinstans i samma undernät.
- När du använder en brandvägg för att styra trafik ska du inte blockera följande utgående trafik till Azure Spring Apps-komponenter som använder, underhåller och stöder tjänstinstansen.
Nätverksregler som krävs för Azure Global
| Målslutpunkt | Port | Använd | Kommentar |
|---|---|---|---|
| *:443 ellerServiceTag – AzureCloud:443 | TCP:443 | Azure Spring Apps Service Management. | Information om tjänstinstansen requiredTrafficsfinns i resursnyttolasten under networkProfile avsnittet . |
| *.azurecr.io:443 ellerServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Kan ersättas genom att aktivera Tjänstslutpunkten för Azure Container Registryi det virtuella nätverket. |
| *.core.windows.net:443 och *.core.windows.net:445 ellerServiceTag – Storage:443 och Storage:445 | TCP:443, TCP:445 | Azure Files | Kan ersättas genom att aktivera Azure Storage-tjänstslutpunkteni det virtuella nätverket. |
| *.servicebus.windows.net:443 ellerServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Kan ersättas genom att aktivera Azure Event Hubs-tjänstslutpunkteni det virtuella nätverket. |
| *.prod.microsoftmetrics.com:443 ellerServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor. | Tillåter utgående anrop till Azure Monitor. |
Azure Global obligatoriskt FQDN/programregler
Azure Firewall tillhandahåller FQDN-taggen AzureKubernetesService för att förenkla följande konfigurationer:
| Mål-FQDN | Port | Använd |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Underliggande Kubernetes-klusterhantering. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | MCR-lagring som backas upp av Azure CDN. |
| management.azure.com | HTTPS:443 | Underliggande Kubernetes-klusterhantering. |
| login.microsoftonline.com | HTTPS:443 | Microsoft Entra-autentisering. |
| packages.microsoft.com | HTTPS:443 | Microsoft-paketlagringsplats. |
| acs-mirror.azureedge.net | HTTPS:443 | Lagringsplats som krävs för att installera nödvändiga binärfiler som kubenet och Azure CNI. |
Microsoft Azure drivs av 21Vianet-obligatoriska nätverksregler
| Målslutpunkt | Port | Använd | Kommentar |
|---|---|---|---|
| *:443 ellerServiceTag – AzureCloud:443 | TCP:443 | Azure Spring Apps Service Management. | Information om tjänstinstansen requiredTrafficsfinns i resursnyttolasten under networkProfile avsnittet . |
| *.azurecr.cn:443 ellerServiceTag – AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Kan ersättas genom att aktivera Tjänstslutpunkten för Azure Container Registryi det virtuella nätverket. |
| *.core.chinacloudapi.cn:443 och *.core.chinacloudapi.cn:445 ellerServiceTag – Storage:443 och Storage:445 | TCP:443, TCP:445 | Azure Files | Kan ersättas genom att aktivera Azure Storage-tjänstslutpunkteni det virtuella nätverket. |
| *.servicebus.chinacloudapi.cn:443 ellerServiceTag – EventHub:443 | TCP:443 | Azure Event Hubs. | Kan ersättas genom att aktivera Azure Event Hubs-tjänstslutpunkteni det virtuella nätverket. |
| *.prod.microsoftmetrics.com:443 ellerServiceTag – AzureMonitor:443 | TCP:443 | Azure Monitor. | Tillåter utgående anrop till Azure Monitor. |
Microsoft Azure drivs av 21Vianet-krav på FQDN/programregler
Azure Firewall tillhandahåller FQDN-taggen AzureKubernetesService för att förenkla följande konfigurationer:
| Mål-FQDN | Port | Använd |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Underliggande Kubernetes-klusterhantering. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | MCR-lagring som backas upp av Azure CDN. |
| management.chinacloudapi.cn | HTTPS:443 | Underliggande Kubernetes-klusterhantering. |
| login.chinacloudapi.cn | HTTPS:443 | Microsoft Entra-autentisering. |
| packages.microsoft.com | HTTPS:443 | Microsoft-paketlagringsplats. |
| *.azk8s.cn | HTTPS:443 | Lagringsplats som krävs för att installera nödvändiga binärfiler som kubenet och Azure CNI. |
Azure Spring Apps valfritt FQDN för programprestandahantering från tredje part
| Mål-FQDN | Port | Använd |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | Nödvändiga nätverk av New Relic APM-agenter från usa-regionen finns även i APM-agentnätverk. |
| collector*.eu01.nr-data.net | TCP:443/80 | Nödvändiga nätverk av APM-agenter för new relic från EU-regionen finns också i APM-agentnätverk. |
| *.live.dynatrace.com | TCP:443 | Obligatoriskt nätverk av Dynatrace APM-agenter. |
| *.live.ruxit.com | TCP:443 | Obligatoriskt nätverk av Dynatrace APM-agenter. |
| *.saas.appdynamics.com | TCP:443/80 | Obligatoriskt nätverk av AppDynamics APM-agenter, se även SaaS-domäner och IP-intervall. |
Valfritt FQDN för Azure Spring Apps för Application Insights
Du måste öppna några utgående portar i serverns brandvägg så att Application Insights SDK eller Application Insights-agenten kan skicka data till portalen. Mer information finns i avsnittet Utgående portar för IP-adresser som används av Azure Monitor.