Обязанности клиентов по использованию Azure Spring Apps Standard и выделенному плану в виртуальной сети
Примечание.
Планы "Базовый", "Стандартный" и "Корпоративный" будут устарели начиная с середины марта 2025 г. с 3-летнего периода выхода на пенсию. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в объявлении о выходе на пенсию в Azure Spring Apps.
Стандартный план потребления и выделенного плана будет устарел с 30 сентября 2024 г. с полным завершением работы после шести месяцев. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в статье "Миграция потребления Azure Spring Apps Standard" и выделенного плана в приложения контейнеров Azure.
Эта статья относится к: ✔️ стандартное потребление и выделенная (предварительная версия) ❌ Basic/Standard ❌ Enterprise
В этой статье описаны обязанности клиента по выполнению экземпляра службы "Стандартный" Azure Spring Apps и выделенного экземпляра службы планов в виртуальной сети.
Используйте группы безопасности сети (NSG) для настройки виртуальных сетей в соответствии с параметрами, необходимыми Kubernetes.
Чтобы контролировать весь входящий и исходящий трафик для среды приложений контейнеров Azure, можно использовать группы безопасности сети для блокировки сети с более строгими правилами, чем правила NSG по умолчанию.
Разрешающие правила NSG
В следующих таблицах описано, как настроить коллекцию разрешающих правил NSG.
Примечание.
Для подсети, связанной с средой приложений контейнеров Azure, требуется префикс /23 CIDR или больше.
Исходящий трафик с ServiceTags
| Протокол | Порт | ServiceTag | Description |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
Требуется для безопасного подключения внутренних Служба Azure Kubernetes (AKS) между базовыми узлами и плоскости управления. Замените заполнитель <region> значением региона, в котором развернуто приложение-контейнер. |
| TCP | 9000 |
AzureCloud.<region> |
Требуется для внутреннего безопасного подключения AKS между базовыми узлами и плоскости управления. Замените заполнитель <region> значением региона, в котором развернуто приложение-контейнер. |
| TCP | 443 |
AzureMonitor |
Разрешает исходящие вызовы к Azure Monitor. |
| TCP | 443 |
Azure Container Registry |
Включает Реестр контейнеров Azure, как описано в конечных точках службы виртуальной сети. |
| TCP | 443 |
MicrosoftContainerRegistry |
Тег службы для реестра контейнеров Майкрософт. |
| TCP | 443 |
AzureFrontDoor.FirstParty |
Зависимость тега MicrosoftContainerRegistry службы. |
| TCP | 443, 445 |
Azure Files |
Включает служба хранилища Azure, как описано в конечных точках службы виртуальной сети. |
Исходящий трафик с правилами IP-адресов с подстановочными знаками
| Протокол | Порт | IP-адрес | Description |
|---|---|---|---|
| TCP | 443 |
* | Настройте весь исходящий трафик через порт 443 , чтобы разрешить все полные доменные имена (FQDN) на основе исходящих зависимостей, у которых нет статического IP-адреса. |
| UDP | 123 |
* | NTP-сервер. |
| TCP | 5671 |
* | Уровень управления "Приложения-контейнеры". |
| TCP | 5672 |
* | Уровень управления "Приложения-контейнеры". |
| Любое | * | Адресное пространство подсети инфраструктуры | Разрешить обмен данными между IP-адресами в подсети инфраструктуры. Этот адрес передается в качестве параметра при создании среды, например 10.0.0.0/21. |
Исходящий трафик с требованиями fQDN или правилами приложения
| Протокол | Порт | Полное доменное имя | Description |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
Хранилище MCR, поддерживаемого azure сеть доставки содержимого (CDN). |
| TCP | 443 |
*.data.mcr.microsoft.com |
Хранилище MCR на базе Azure CDN. |
Исходящий трафик с полным доменным именем для управления производительностью сторонних приложений (необязательно)
| Протокол | Порт | Полное доменное имя | Description |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
Необходимые сети агентов new Relic application and performance monitoring (APM) из региона США. См. статью "Сети агентов APM". |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
Необходимые сети агентов New Relic APM из региона ЕС. См. статью "Сети агентов APM". |
| TCP | 443 |
*.live.dynatrace.com |
Необходимая сеть агентов APM Dynatrace. |
| TCP | 443 |
*.live.ruxit.com |
Необходимая сеть агентов APM Dynatrace. |
| TCP | 443/80 |
*.saas.appdynamics.com |
Необходимая сеть агентов APM AppDynamics. См. раздел "Домены SaaS" и диапазоны IP-адресов. |
Рекомендации
- Если вы используете HTTP-серверы, может потребоваться добавить порты
80и443. - Добавление правил запрета для некоторых портов и протоколов с более низким приоритетом, чем
65000может привести к прерыванию службы и неожиданному поведению.