Sanal ağda Azure Spring Apps Standart tüketimi ve ayrılmış planı için müşteri sorumlulukları
Not
Azure Spring Apps, Azure Spring Cloud hizmetinin yeni adıdır. Hizmetin yeni bir adı olsa da, ekran görüntüleri, videolar ve diyagramlar gibi varlıkları güncelleştirmek için çalışırken bazı yerlerde eski adı bir süre görürsünüz.
Bu makale şunlar için geçerlidir: ✔️ Standart tüketim ve ayrılmış (Önizleme) ❌ Temel/Standart ❌ Kurumsal
Bu makalede, bir Azure Spring Apps Standart tüketimi ve ayrılmış plan hizmeti örneğini bir sanal ağda çalıştırmaya yönelik müşteri sorumlulukları açıklanmaktadır.
Sanal ağları Kubernetes'in gerektirdiği ayarlara uyacak şekilde yapılandırmak için Ağ Güvenlik Grupları'nı (NSG) kullanın.
Azure Container Apps ortamına yönelik tüm gelen ve giden trafiği denetlemek için, varsayılan NSG kurallarından daha kısıtlayıcı kurallara sahip bir ağı kilitlemek için NSG'leri kullanabilirsiniz.
NSG izin verme kuralları
Aşağıdaki tablolarda NSG izin verme kuralları koleksiyonunun nasıl yapılandırıldığı açıklanmaktadır.
Not
Azure Container Apps ortamıyla ilişkili alt ağ için CIDR ön eki /23 veya daha büyük olmalıdır.
ServiceTags ile giden
| Protokol | Bağlantı noktası | ServiceTag | Açıklama |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
Temel düğümler ile denetim düzlemi arasındaki iç Azure Kubernetes Service (AKS) güvenli bağlantısı için gereklidir. değerini kapsayıcı uygulamanızın dağıtıldığı bölgeyle değiştirin <region> . |
| TCP | 9000 |
AzureCloud.<region> |
Temel düğümler ile kontrol düzlemi arasındaki iç AKS güvenli bağlantısı için gereklidir. değerini kapsayıcı uygulamanızın dağıtıldığı bölgeyle değiştirin <region> . |
| TCP | 443 |
AzureMonitor |
Azure İzleyici'ye giden çağrılara izin verir. |
| TCP | 443 |
Azure Container Registry |
Sanal ağ hizmet uç noktaları bölümünde açıklandığı gibi Azure Container Registry'yi etkinleştirir. |
| TCP | 443 |
MicrosoftContainerRegistry |
Microsoft kapsayıcıları için kapsayıcı kayıt defteri hizmet etiketi. |
| TCP | 443 |
AzureFrontDoor.FirstParty |
Hizmet etiketinin MicrosoftContainerRegistry bağımlılığı. |
| TCP | 443, 445 |
Azure Files |
Sanal ağ hizmet uç noktaları bölümünde açıklandığı gibi Azure Depolama etkinleştirir. |
Joker karakter IP kurallarıyla giden
| Protokol | Bağlantı noktası | IP | Açıklama |
|---|---|---|---|
| TCP | 443 |
* | Statik IP'ye sahip olmayan tüm tam etki alanı adı (FQDN) tabanlı giden bağımlılıklara izin vermek için bağlantı noktasındaki 443 tüm giden trafiği ayarlayın. |
| UDP | 123 |
* | NTP sunucusu. |
| TCP | 5671 |
* | Container Apps kontrol düzlemi. |
| TCP | 5672 |
* | Container Apps kontrol düzlemi. |
| Tümü | * | Altyapı alt ağı adres alanı | Altyapı alt ağındaki IP'ler arasında iletişime izin verin. Bu adres, bir ortam oluşturduğunuzda parametre olarak geçirilir. Örneğin, 10.0.0.0/21. |
FQDN gereksinimleri/uygulama kuralları ile giden
| Protokol | Bağlantı noktası | FQDN | Açıklama |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
Azure Content Delivery Network (CDN) tarafından yedeklenen MCR depolama alanı. |
| TCP | 443 |
*.data.mcr.microsoft.com |
Azure CDN tarafından yedeklenen MCR depolama. |
Üçüncü taraf uygulama performansı yönetimi için FQDN ile giden (isteğe bağlı)
| Protokol | Bağlantı noktası | FQDN | Açıklama |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
Abd bölgesinden New Relic uygulaması ve performans izleme (APM) aracılarının gerekli ağları. Bkz. APM Aracıları Ağları. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
AB bölgesinden New Relic APM aracılarının gerekli ağları. Bkz. APM Aracıları Ağları. |
| TCP | 443 |
*.live.dynatrace.com |
Dynatrace APM aracılarının gerekli ağı. |
| TCP | 443 |
*.live.ruxit.com |
Dynatrace APM aracılarının gerekli ağı. |
| TCP | 443/80 |
*.saas.appdynamics.com |
AppDynamics APM aracılarının gerekli ağı. Bkz. SaaS Etki Alanları ve IP Aralıkları. |
Dikkat edilmesi gereken noktalar
- HTTP sunucuları çalıştırıyorsanız ve
443bağlantı noktaları80eklemeniz gerekebilir. - Daha düşük önceliğe
65000sahip bazı bağlantı noktaları ve protokoller için reddetme kuralları eklemek hizmet kesintisine ve beklenmeyen davranışlara neden olabilir.