Condividi tramite


Responsabilità dei clienti per l'utilizzo standard di Azure Spring Apps e il piano dedicato in una rete virtuale

Nota

I piani Basic, Standard ed Enterprise saranno deprecati a partire dalla metà di marzo 2025, con un periodo di ritiro di 3 anni. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere l'annuncio di ritiro di Azure Spring Apps.

Il piano Standard a consumo e dedicato sarà deprecato a partire dal 30 settembre 2024, con un arresto completo dopo sei mesi. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere Eseguire la migrazione del consumo di Azure Spring Apps Standard e del piano dedicato alle app Azure Container.

Questo articolo si applica a:✅ Utilizzo standard e dedicato (anteprima) ❎ Basic/Standard ❎ Enterprise

Questo articolo descrive le responsabilità dei clienti per l'esecuzione di un'istanza di servizio del piano standard e del consumo di Azure Spring Apps Standard in una rete virtuale.

Usare i gruppi di sicurezza di rete (NSG) per configurare le reti virtuali in modo che siano conformi alle impostazioni richieste da Kubernetes.

Per controllare tutto il traffico in ingresso e in uscita per l'ambiente App Contenitore di Azure, è possibile usare i gruppi di sicurezza di rete per bloccare una rete con regole più restrittive rispetto alle regole predefinite del gruppo di sicurezza di rete.

Regole di autorizzazione del gruppo di sicurezza di rete

Le tabelle seguenti descrivono come configurare una raccolta di regole di autorizzazione dei gruppi di sicurezza di rete.

Nota

La subnet associata a un ambiente app Azure Container richiede un prefisso CIDR maggiore /23 o superiore.

In uscita con ServiceTags

Protocollo Porta Tag del servizio Descrizione
UDP 1194 AzureCloud.<region> Obbligatorio per la connessione sicura servizio Azure Kubernetes interna (servizio Azure Kubernetes) tra i nodi sottostanti e il piano di controllo. Sostituire <region> con l'area in cui viene distribuita l'app contenitore.
TCP 9000 AzureCloud.<region> Obbligatorio per la connessione sicura del servizio Azure Kubernetes interno tra i nodi sottostanti e il piano di controllo. Sostituire <region> con l'area in cui viene distribuita l'app contenitore.
TCP 443 AzureMonitor Consente chiamate in uscita a Monitoraggio di Azure.
TCP 443 Azure Container Registry Abilita il Registro Azure Container come descritto in Endpoint servizio di rete virtuale.
TCP 443 MicrosoftContainerRegistry Tag del servizio per il registro contenitori per i contenitori Microsoft.
TCP 443 AzureFrontDoor.FirstParty Dipendenza del tag del MicrosoftContainerRegistry servizio.
TCP 443, 445 Azure Files Abilita Archiviazione di Azure come descritto in Endpoint servizio di rete virtuale.

In uscita con regole IP con caratteri jolly

Protocollo Porta IP Descrizione
TCP 443 * Impostare tutto il traffico in uscita sulla porta 443 per consentire tutte le dipendenze in uscita basate su nome di dominio completo (FQDN) che non dispongono di un indirizzo IP statico.
UDP 123 * Server NTP.
TCP 5671 * Piano di controllo app contenitore.
TCP 5672 * Piano di controllo app contenitore.
Any * Spazio indirizzi subnet dell'infrastruttura Consentire la comunicazione tra indirizzi IP nella subnet dell'infrastruttura. Questo indirizzo viene passato come parametro quando si crea un ambiente, 10.0.0.0/21ad esempio .

In uscita con requisiti FQDN/regole dell'applicazione

Protocollo Porta FQDN Descrizione
TCP 443 mcr.microsoft.com Registro Container Microsoft (MCR).
TCP 443 *.cdn.mscr.io Archiviazione MCR supportata dalla rete CDN (Azure rete per la distribuzione di contenuti).
TCP 443 *.data.mcr.microsoft.com Archiviazione MCR supportata dalla rete CDN di Azure.

In uscita con FQDN per la gestione delle prestazioni delle applicazioni di terze parti (facoltativo)

Protocollo Porta FQDN Descrizione
TCP 443/80 collector*.newrelic.com Le reti necessarie degli agenti di monitoraggio delle prestazioni e dell'applicazione New Relic dall'area degli Stati Uniti. Vedere Reti agenti APM.
TCP 443/80 collector*.eu01.nr-data.net Le reti necessarie degli agenti di New Relic APM provenienti dall'area dell'UE. Vedere Reti agenti APM.
TCP 443 *.live.dynatrace.com Rete necessaria degli agenti Dynatrace APM.
TCP 443 *.live.ruxit.com Rete necessaria degli agenti Dynatrace APM.
TCP 443/80 *.saas.appdynamics.com Rete necessaria degli agenti APM di AppDynamics. Vedere Domini SaaS e intervalli IP.

Considerazioni

  • Se si eseguono server HTTP, potrebbe essere necessario aggiungere porte 80 e 443.
  • Aggiunta di regole di negazione per alcune porte e protocolli con priorità inferiore a quella che 65000 può causare interruzioni del servizio e comportamento imprevisto.

Passaggi successivi