Partager via


Responsabilités du client pour l’exécution d’Azure Spring Apps dans un réseau virtuel

Remarque

Les plans Essentiel, Standard et Entreprise seront déconseillés à compter de la mi-mars 2025, avec une période de mise hors service de 3 ans. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez l’annonce de mise hors service d’Azure Spring Apps.

Le plan de consommation standard et dédiée sera déconseillé à compter du 30 septembre 2024, avec un arrêt complet après six mois. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez Migrer le plan de consommation standard et dédiée Azure Spring Apps vers Azure Container Apps.

Cet article s’applique au : Niveau ✔️ De base/Standard ✔️ Entreprise

Cet article comprend les spécifications relatives à l’utilisation d’Azure Spring Apps dans un réseau virtuel.

Quand Azure Spring Apps est déployé dans votre réseau virtuel, il présente des dépendances sortantes sur des services extérieurs au réseau virtuel. Pour la gestion et à des fins opérationnelles, Azure Spring Apps doit accéder à certains ports et noms de domaine complet (FQDN). Azure Spring Apps a besoin de ces points de terminaison pour communiquer avec le plan de gestion et pour télécharger et installer les principaux composants du cluster Kubernetes et les mises à jour de sécurité.

Par défaut, Azure Spring Apps dispose d’un accès Internet sortant (sortie) illimité. Ce niveau d’accès réseau permet aux applications que vous exécutez d’accéder aux ressources externes en fonction des besoins. Si vous souhaitez restreindre le trafic de sortie, un nombre limité de ports et d’adresses doit être accessible pour les tâches de maintenance. La solution la plus simple pour sécuriser les adresses sortantes consiste à utiliser un dispositif de pare-feu permettant de contrôler le trafic sortant en fonction des noms de domaine. Le Pare-feu Azure, par exemple, peut restreindre le trafic HTTP et HTTPS sortant en fonction du nom FQDN de la destination. Vous pouvez également configurer les règles de pare-feu et de sécurité de votre choix pour autoriser ces ports et adresses requis.

Conditions requises concernant les ressources Azure Spring Apps

La liste suivante montre les ressources nécessaires aux services Azure Spring Apps. En règle générale, vous ne devez pas modifier les groupes de ressources créés par Azure Spring Apps, ni les ressources réseau sous-jacentes.

  • Ne modifiez pas les groupes de ressources créés et appartenant à Azure Spring Apps.
    • Ces groupes de ressources sont par défaut nommés ap-svc-rt_<service-instance-name>_<region>* et ap_<service-instance-name>_<region>*.
    • N’empêchez pas Azure Spring Apps de mettre à jour les ressources de ces groupes de ressources.
  • Ne modifiez pas les sous-réseaux utilisés par Azure Spring Apps.
  • Ne créez pas plusieurs instances de service Azure Spring Apps dans le même sous-réseau.
  • Quand vous utilisez un pare-feu pour contrôler le trafic, ne bloquez pas le trafic de sortie suivant vers les composants Azure Spring Apps qui assurent le fonctionnement, la maintenance et la prise en charge de l’instance de service.

Règles de réseau requises pour Azure Global

Point de terminaison de destination Port Utilisation Remarque
*:443 ou ServiceTag – AzureCloud:443 TCP:443 Management des services d'Azure Spring Apps. Pour obtenir plus d’informations sur l’instance de service requiredTraffics, consultez la charge utile de la ressource, sous la section networkProfile.
*.azurecr.io:443 ou ServiceTag – AzureContainerRegistry:443 TCP:443 Azure Container Registry. Peut être remplacé en activant le point de terminaison de service d’Azure Container Registry dans le réseau virtuel.
*.core.windows.net:443 et *.core.windows.net:445 ou ServiceTag – Storage:443 et Storage:445 TCP:443, TCP:445 Azure Files Peut être remplacé en activant le point de terminaison de service de Stockage Azure dans le réseau virtuel.
*.servicebus.windows.net:443 ou ServiceTag – EventHub:443 TCP:443 Azure Event Hubs. Peut être remplacé en activant le point de terminaison de service d’Azure Event Hubs dans le réseau virtuel.
*.prod.microsoftmetrics.com:443 ou ServiceTag – AzureMonitor:443 TCP:443 Azure Monitor. Autorise les appels sortants vers Azure Monitor.

Règles de nom FQDN/d’application requises pour Azure Global

Pare-feu Azure fournit la balise de nom de domaine complet (FQDN) AzureKubernetesService pour simplifier les configurations suivantes :

Nom FQDN de destination Port Utilisation
*.azmk8s.io HTTPS:443 Gestion sous-jacente des clusters Kubernetes.
mcr.microsoft.com HTTPS:443 Microsoft Container Registry (MCR).
*.data.mcr.microsoft.com HTTPS:443 Stockage de MCR s’appuyant sur le réseau de distribution de contenu.
management.azure.com HTTPS:443 Gestion sous-jacente des clusters Kubernetes.
login.microsoftonline.com HTTPS:443 Authentification Microsoft Entra.
packages.microsoft.com HTTPS:443 Référentiel de packages Microsoft.
acs-mirror.azureedge.net HTTPS:443 Référentiel requis pour installer les fichiers binaires requis comme kubenet et Azure CNI.

Règles de réseau requises par Microsoft Azure géré par 21Vianet

Point de terminaison de destination Port Utilisation Remarque
*:443 ou ServiceTag – AzureCloud:443 TCP:443 Management des services d'Azure Spring Apps. Pour obtenir plus d’informations sur l’instance de service requiredTraffics, consultez la charge utile de la ressource, sous la section networkProfile.
*.azurecr.cn:443 ou ServiceTag – AzureContainerRegistry:443 TCP:443 Azure Container Registry. Peut être remplacé en activant le point de terminaison de service d’Azure Container Registry dans le réseau virtuel.
*.core.chinacloudapi.cn:443 et *.core.chinacloudapi.cn:445 ou ServiceTag – Storage:443 et Storage:445 TCP:443, TCP:445 Azure Files Peut être remplacé en activant le point de terminaison de service de Stockage Azure dans le réseau virtuel.
*.servicebus.chinacloudapi.cn:443 ou ServiceTag – EventHub:443 TCP:443 Azure Event Hubs. Peut être remplacé en activant le point de terminaison de service d’Azure Event Hubs dans le réseau virtuel.
*.prod.microsoftmetrics.com:443 ou ServiceTag – AzureMonitor:443 TCP:443 Azure Monitor. Autorise les appels sortants vers Azure Monitor.

Règles FQDN / d’application requises par Microsoft Azure géré par 21Vianet

Pare-feu Azure fournit la balise de nom de domaine complet (FQDN) AzureKubernetesService pour simplifier les configurations suivantes :

Nom FQDN de destination Port Utilisation
*.cx.prod.service.azk8s.cn HTTPS:443 Gestion sous-jacente des clusters Kubernetes.
mcr.microsoft.com HTTPS:443 Microsoft Container Registry (MCR).
*.data.mcr.microsoft.com HTTPS:443 Stockage de MCR s’appuyant sur le réseau de distribution de contenu.
management.chinacloudapi.cn HTTPS:443 Gestion sous-jacente des clusters Kubernetes.
login.chinacloudapi.cn HTTPS:443 Authentification Microsoft Entra.
packages.microsoft.com HTTPS:443 Référentiel de packages Microsoft.
*.azk8s.cn HTTPS:443 Référentiel requis pour installer les fichiers binaires requis comme kubenet et Azure CNI.

Nom de domaine complet facultatif d’Azure Spring Apps pour la gestion des performances des applications tierces

Nom FQDN de destination Port Utilisation
collector*.newrelic.com TCP:443/80 Réseaux requis des agents APM de New Relic de la région États-Unis ; voir aussi les réseaux d’agents APM.
collector*.eu01.nr-data.net TCP:443/80 Réseaux requis des agents APM de New Relic de la région Europe ; voir aussi les réseaux d’agents APM.
*.live.dynatrace.com TCP:443 Réseau d’agents Dynatrace APM nécessaire.
*.live.ruxit.com TCP:443 Réseau d’agents Dynatrace APM nécessaire.
*.saas.appdynamics.com TCP:443/80 Réseau d’agents APM AppDynamics nécessaire. Consultez également les informations relatives aux domaines et plages d’adresses IP SaaS.

Nom de domaine complet Azure Spring Apps facultatif pour Application Insights

Vous devez ouvrir des ports sortants dans le pare-feu de votre serveur pour autoriser le Kit de développement logiciel (SDK) Application Insights ou l’agent Application Insights à envoyer des données sur le portail. Pour obtenir plus d’informations, consultez la section Ports sortants des Adresses IP utilisées par Azure Monitor.

Étapes suivantes