Azure Spring Apps'i sanal ağda çalıştırmak için müşteri sorumlulukları
Not
Azure Spring Apps, Azure Spring Cloud hizmetinin yeni adıdır. Hizmetin yeni bir adı olsa da, ekran görüntüleri, videolar ve diyagramlar gibi varlıkları güncelleştirmek için çalışırken bazı yerlerde eski adı bir süre görürsünüz.
Bu makale şunlar için geçerlidir: ✔️ Temel/Standart ✔️ Kurumsal
Bu makale, Azure Spring Apps'in bir sanal ağda kullanımına yönelik belirtimleri içerir.
Azure Spring Apps sanal ağınıza dağıtıldığında, sanal ağın dışındaki hizmetlere giden bağımlılıkları olur. Yönetim ve işletim amaçları doğrultusunda Azure Spring Apps'in belirli bağlantı noktalarına ve tam etki alanı adlarına (FQDN) erişmesi gerekir. Azure Spring Apps, bu uç noktaların yönetim düzlemiyle iletişim kurmasını ve çekirdek Kubernetes kümesi bileşenlerini ve güvenlik güncelleştirmelerini indirip yüklemesini gerektirir.
Varsayılan olarak, Azure Spring Apps sınırsız giden (çıkış) İnternet erişimine sahiptir. Bu ağ erişimi düzeyi, çalıştırdığınız uygulamaların gerektiğinde dış kaynaklara erişmesini sağlar. Çıkış trafiğini kısıtlamak istiyorsanız, bakım görevleri için sınırlı sayıda bağlantı noktası ve adres erişilebilir olmalıdır. Giden adreslerin güvenliğini sağlamak için en basit çözüm, etki alanı adlarına göre giden trafiği denetleyebilen bir güvenlik duvarı cihazı kullanmaktır. Örneğin Azure Güvenlik Duvarı, giden HTTP ve HTTPS trafiğini hedefin FQDN'sine göre kısıtlayabilir. Ayrıca bu gerekli bağlantı noktalarına ve adreslere izin vermek için tercih ettiğiniz güvenlik duvarını ve güvenlik kurallarını yapılandırabilirsiniz.
Azure Spring Apps kaynak gereksinimleri
Aşağıdaki listede Azure Spring Apps hizmetleri için kaynak gereksinimleri gösterilmektedir. Genel bir gereksinim olarak, Azure Spring Apps tarafından oluşturulan kaynak gruplarını ve temel alınan ağ kaynaklarını değiştirmemelisiniz.
- Azure Spring Apps tarafından oluşturulan ve sahip olunan kaynak gruplarını değiştirmeyin.
- Varsayılan olarak, bu kaynak grupları ve
ap_<service-instance-name>_<region>*olarak adlandırılırap-svc-rt_<service-instance-name>_<region>*. - Azure Spring Apps'in bu kaynak gruplarındaki kaynakları güncelleştirmelerini engellemeyin.
- Varsayılan olarak, bu kaynak grupları ve
- Azure Spring Apps tarafından kullanılan alt ağları değiştirmeyin.
- Aynı alt ağda birden fazla Azure Spring Apps hizmet örneği oluşturmayın.
- Trafiği denetlemek için güvenlik duvarı kullanırken hizmet örneğini çalıştıran, koruyan ve destekleyen Azure Spring Apps bileşenlerine yönelik aşağıdaki çıkış trafiğini engellemeyin.
Azure Genel gerekli ağ kuralları
| Hedef uç nokta | Bağlantı noktası | Kullanma | Not |
|---|---|---|---|
| *:443 veyaServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps Hizmet Yönetimi. | Hizmet örneği requiredTrafficshakkında bilgi için bölümünün altındaki kaynak yüküne networkProfile bakın. |
| *.azurecr.io:443 veyaServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Sanal ağda Azure Container Registryhizmet uç noktası etkinleştirilerek değiştirilebilir. |
| *.core.windows.net:443 ve *.core.windows.net:445 veyaServiceTag - Depolama:443 ve Depolama:445 | TCP:443, TCP:445 | Azure Dosyaları | Sanal ağda Azure Depolama service uç noktası etkinleştirilerek değiştirilebilir. |
| *.servicebus.windows.net:443 veyaServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs. | Sanal ağda Azure Event Hubshizmet uç noktası etkinleştirilerek değiştirilebilir. |
| *.prod.microsoftmetrics.com:443 veyaServiceTag - AzureMonitor:443 | TCP:443 | Azure İzleyici. | Azure İzleyici'ye giden çağrılara izin verir. |
Azure Global gerekli FQDN /uygulama kuralları
Azure Güvenlik Duvarı FQDN etiketini sağlarAşağıdaki yapılandırmaları basitleştirmek için AzureKubernetesService:
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Temel Kubernetes Kümesi yönetimi. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Azure CDN tarafından yedeklenen MCR depolama. |
| management.azure.com | HTTPS:443 | Temel Kubernetes Kümesi yönetimi. |
| login.microsoftonline.com | HTTPS:443 | Microsoft Entra kimlik doğrulaması. |
| packages.microsoft.com | HTTPS:443 | Microsoft paketleri deposu. |
| acs-mirror.azureedge.net | HTTPS:443 | Kubenet ve Azure CNI gibi gerekli ikili dosyaları yüklemek için gereken depo. |
21Vianet tarafından sağlanan Microsoft Azure gerekli ağ kuralları
| Hedef uç nokta | Bağlantı noktası | Kullanma | Not |
|---|---|---|---|
| *:443 veyaServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps Hizmet Yönetimi. | Hizmet örneği requiredTrafficshakkında bilgi için bölümünün altındaki kaynak yüküne networkProfile bakın. |
| *.azurecr.cn:443 veyaServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Sanal ağda Azure Container Registryhizmet uç noktası etkinleştirilerek değiştirilebilir. |
| *.core.chinacloudapi.cn:443 ve *.core.chinacloudapi.cn:445 veyaServiceTag - Depolama:443 ve Depolama:445 | TCP:443, TCP:445 | Azure Dosyaları | Sanal ağda Azure Depolama service uç noktası etkinleştirilerek değiştirilebilir. |
| *.servicebus.chinacloudapi.cn:443 veyaServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs. | Sanal ağda Azure Event Hubshizmet uç noktası etkinleştirilerek değiştirilebilir. |
| *.prod.microsoftmetrics.com:443 veyaServiceTag - AzureMonitor:443 | TCP:443 | Azure İzleyici. | Azure İzleyici'ye giden çağrılara izin verir. |
21Vianet tarafından sağlanan Microsoft Azure gerekli FQDN / uygulama kuralları
Azure Güvenlik Duvarı aşağıdaki yapılandırmaları basitleştirmek için FQDN etiketini AzureKubernetesService sağlar:
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Temel Kubernetes Kümesi yönetimi. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Azure CDN tarafından yedeklenen MCR depolama. |
| management.chinacloudapi.cn | HTTPS:443 | Temel Kubernetes Kümesi yönetimi. |
| login.chinacloudapi.cn | HTTPS:443 | Microsoft Entra kimlik doğrulaması. |
| packages.microsoft.com | HTTPS:443 | Microsoft paketleri deposu. |
| *.azk8s.cn | HTTPS:443 | Kubenet ve Azure CNI gibi gerekli ikili dosyaları yüklemek için gereken depo. |
Üçüncü taraf uygulama performansı yönetimi için Azure Spring Apps isteğe bağlı FQDN
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
| toplayıcı*.newrelic.com | TCP:443/80 | ABD bölgesinden New Relic APM aracılarının gerekli ağları da bkz . APM Aracıları Ağları. |
| collector*.eu01.nr-data.net | TCP:443/80 | AB bölgesinden New Relic APM aracılarının gerekli ağları da bkz . APM Aracıları Ağları. |
| *.live.dynatrace.com | TCP:443 | Dynatrace APM aracılarının gerekli ağı. |
| *.live.ruxit.com | TCP:443 | Dynatrace APM aracılarının gerekli ağı. |
| *.saas.appdynamics.com | TCP:443/80 | Gerekli AppDynamics APM aracıları ağı, ayrıca bkz . SaaS Etki Alanları ve IP Aralıkları. |
Uygulama Analizler için Azure Spring Apps isteğe bağlı FQDN
Application Analizler SDK'sının veya Application Analizler Agent'ın portala veri göndermesine izin vermek için sunucunuzun güvenlik duvarında bazı giden bağlantı noktalarını açmanız gerekir. Daha fazla bilgi için Azure İzleyici tarafından kullanılan IP adreslerinin Giden bağlantı noktaları bölümüne bakın.