Responsabilità dei clienti per l'esecuzione di App Spring di Azure in una rete virtuale
Nota
I piani Basic, Standard ed Enterprise saranno deprecati a partire dalla metà di marzo 2025, con un periodo di ritiro di 3 anni. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere l'annuncio di ritiro di Azure Spring Apps.
Il piano Standard a consumo e dedicato sarà deprecato a partire dal 30 settembre 2024, con un arresto completo dopo sei mesi. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere Eseguire la migrazione del consumo di Azure Spring Apps Standard e del piano dedicato alle app Azure Container.
Questo articolo si applica a:✅ Basic/Standard ✅ Enterprise
Questo articolo include le specifiche per l'uso di App Spring di Azure in una rete virtuale.
Quando Azure Spring Apps viene distribuito nella rete virtuale, presenta dipendenze in uscita dai servizi all'esterno della rete virtuale. Per scopi operativi e di gestione, Azure Spring Apps deve accedere a determinate porte e nomi di dominio completi (FQDN). Azure Spring Apps richiede che questi endpoint comunichino con il piano di gestione e per scaricare e installare i componenti di base del cluster Kubernetes e gli aggiornamenti della sicurezza.
Per impostazione predefinita, Azure Spring Apps ha accesso a Internet in uscita senza restrizioni. Questo livello di accesso alla rete consente alle applicazioni in esecuzione di accedere alle risorse esterne in base alle esigenze. Se si vuole limitare il traffico in uscita, è necessario che un numero limitato di porte e indirizzi sia accessibile per le attività di manutenzione. La soluzione più semplice per proteggere gli indirizzi in uscita consiste nell'usare un dispositivo firewall in grado di controllare il traffico in uscita in base ai nomi di dominio. Firewall di Azure, ad esempio, può limitare il traffico HTTP e HTTPS in uscita in base all'FQDN della destinazione. È anche possibile configurare le regole di sicurezza e del firewall preferite per consentire le porte e gli indirizzi necessari.
Requisiti delle risorse di Azure Spring Apps
L'elenco seguente illustra i requisiti delle risorse per i servizi di Azure Spring Apps. Come requisito generale, non è consigliabile modificare i gruppi di risorse creati da Azure Spring Apps e dalle risorse di rete sottostanti.
- Non modificare i gruppi di risorse creati e di proprietà di Azure Spring Apps.
- Per impostazione predefinita, questi gruppi di risorse sono denominati
ap-svc-rt_<service-instance-name>_<region>*
eap_<service-instance-name>_<region>*
. - Non impedire ad Azure Spring Apps di aggiornare le risorse in questi gruppi di risorse.
- Per impostazione predefinita, questi gruppi di risorse sono denominati
- Non modificare le subnet usate da Azure Spring Apps.
- Non creare più di un'istanza del servizio Azure Spring Apps nella stessa subnet.
- Quando si usa un firewall per controllare il traffico, non bloccare il traffico in uscita seguente verso i componenti di Azure Spring Apps che operano, gestiscono e supportano l'istanza del servizio.
Regole di rete necessarie per Azure a livello globale
Endpoint di destinazione | Porta | Utilizzo | Nota |
---|---|---|---|
*:443 o ServiceTag - AzureCloud:443 | TCP:443 | Gestione del servizio Azure Spring Apps. | Per informazioni sull'istanza del servizio requiredTraffics , vedere il payload della risorsa, nella sezione networkProfile . |
*.azurecr.io:443 o ServiceTag - AzureContainerRegistry:443 | TCP:443 | Registro Azure Container. | Può essere sostituito abilitando Registro Azure Container endpoint di servizio nella rete virtuale. |
*.core.windows.net:443 e *.core.windows.net:445 o ServiceTag - Storage:443 e Storage:445 | TCP:443, TCP:445 | File di Azure | Può essere sostituito abilitando l'archiviazione di Azure endpoint del servizio nella rete virtuale. |
*.servicebus.windows.net:443 o ServiceTag - EventHub:443 | TCP:443 | Hub eventi di Azure. | Può essere sostituito abilitando l'Hub eventi di Azure endpoint del servizio nella rete virtuale. |
*.prod.microsoftmetrics.com:443 o ServiceTag - AzureMonitor:443 | TCP:443 | Monitoraggio di Azure. | Consente chiamate in uscita a Monitoraggio di Azure. |
Regole FQDN/applicazione necessarie per Azure a livello globale
Firewall di Azure fornisce il tag FQDN AzureKubernetesService per semplificare le configurazioni seguenti:
FQDN di destinazione | Porta | Utilizzo |
---|---|---|
*.azmk8s.io | HTTPS:443 | Gestione del cluster Kubernetes sottostante. |
mcr.microsoft.com | HTTPS:443 | Registro Container Microsoft (MCR). |
*.data.mcr.microsoft.com | HTTPS:443 | Archiviazione MCR supportata dalla rete CDN di Azure. |
management.azure.com | HTTPS:443 | Gestione del cluster Kubernetes sottostante. |
login.microsoftonline.com | HTTPS:443 | Autenticazione di Microsoft Entra. |
packages.microsoft.com | HTTPS:443 | Repository di pacchetti Microsoft. |
acs-mirror.azureedge.net | HTTPS:443 | Repository necessario per installare i file binari richiesti, come Kubenet e Azure CNI. |
Regole di rete necessarie per Microsoft Azure gestito da 21Vianet
Endpoint di destinazione | Porta | Utilizzo | Nota |
---|---|---|---|
*:443 o ServiceTag - AzureCloud:443 | TCP:443 | Gestione del servizio Azure Spring Apps. | Per informazioni sull'istanza del servizio requiredTraffics , vedere il payload della risorsa, nella sezione networkProfile . |
*.azurecr.cn:443 o ServiceTag - AzureContainerRegistry:443 | TCP:443 | Registro Azure Container. | Può essere sostituito abilitando Registro Azure Container endpoint di servizio nella rete virtuale. |
*.core.chinacloudapi.cn:443 e *.core.chinacloudapi.cn:445 o ServiceTag - Storage:443 e Storage:445 | TCP:443, TCP:445 | File di Azure | Può essere sostituito abilitando l'archiviazione di Azure endpoint del servizio nella rete virtuale. |
*.servicebus.chinacloudapi.cn:443 o ServiceTag - EventHub:443 | TCP:443 | Hub eventi di Azure. | Può essere sostituito abilitando l'Hub eventi di Azure endpoint del servizio nella rete virtuale. |
*.prod.microsoftmetrics.com:443 o ServiceTag - AzureMonitor:443 | TCP:443 | Monitoraggio di Azure. | Consente chiamate in uscita a Monitoraggio di Azure. |
Regole FQDN/applicazione necessarie per Microsoft Azure gestito da 21Vianet
Firewall di Azure fornisce il tag FQDN AzureKubernetesService
per semplificare le configurazioni seguenti:
FQDN di destinazione | Porta | Utilizzo |
---|---|---|
*.cx.prod.service.azk8s.cn | HTTPS:443 | Gestione del cluster Kubernetes sottostante. |
mcr.microsoft.com | HTTPS:443 | Registro Container Microsoft (MCR). |
*.data.mcr.microsoft.com | HTTPS:443 | Archiviazione MCR supportata dalla rete CDN di Azure. |
management.chinacloudapi.cn | HTTPS:443 | Gestione del cluster Kubernetes sottostante. |
login.chinacloudapi.cn | HTTPS:443 | Autenticazione di Microsoft Entra. |
packages.microsoft.com | HTTPS:443 | Repository di pacchetti Microsoft. |
*.azk8s.cn | HTTPS:443 | Repository necessario per installare i file binari richiesti, come Kubenet e Azure CNI. |
FQDN facoltativo di Azure Spring Apps per la gestione delle prestazioni delle applicazioni di terze parti
FQDN di destinazione | Porta | Utilizzo |
---|---|---|
collector*.newrelic.com | TCP:443/80 | Le reti necessarie degli agenti di New Relic APM dall'area degli Stati Uniti, vedere anche Reti agenti APM. |
collector*.eu01.nr-data.net | TCP:443/80 | Le reti necessarie degli agenti di New Relic APM dall'area dell'UE, vedere anche Reti agenti APM. |
*.live.dynatrace.com | TCP:443 | Rete necessaria degli agenti Dynatrace APM. |
*.live.ruxit.com | TCP:443 | Rete necessaria degli agenti Dynatrace APM. |
*.saas.appdynamics.com | TCP:443/80 | Rete necessaria degli agenti APM di AppDynamics, vedere anche Domini SaaS e intervalli IP. |
FQDN facoltativo di App Spring di Azure per Application Insights
È necessario aprire alcune porte in uscita nel firewall del server per consentire ad Application Insights SDK o all'agente di Application Insights di inviare dati al portale. Per altre informazioni, vedere la sezione porte in uscita di indirizzi IP usati da Monitoraggio di Azure.