Responsabilità dei clienti per l'utilizzo standard di Azure Spring Apps e il piano dedicato in una rete virtuale
Nota
I piani Basic, Standard ed Enterprise saranno deprecati a partire dalla metà di marzo 2025, con un periodo di ritiro di 3 anni. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere l'annuncio di ritiro di Azure Spring Apps.
Il piano Standard a consumo e dedicato sarà deprecato a partire dal 30 settembre 2024, con un arresto completo dopo sei mesi. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere Eseguire la migrazione del consumo di Azure Spring Apps Standard e del piano dedicato alle app Azure Container.
Questo articolo si applica a:✅ Utilizzo standard e dedicato (anteprima) ❎ Basic/Standard ❎ Enterprise
Questo articolo descrive le responsabilità dei clienti per l'esecuzione di un'istanza di servizio del piano standard e del consumo di Azure Spring Apps Standard in una rete virtuale.
Usare i gruppi di sicurezza di rete (NSG) per configurare le reti virtuali in modo che siano conformi alle impostazioni richieste da Kubernetes.
Per controllare tutto il traffico in ingresso e in uscita per l'ambiente App Contenitore di Azure, è possibile usare i gruppi di sicurezza di rete per bloccare una rete con regole più restrittive rispetto alle regole predefinite del gruppo di sicurezza di rete.
Regole di autorizzazione del gruppo di sicurezza di rete
Le tabelle seguenti descrivono come configurare una raccolta di regole di autorizzazione dei gruppi di sicurezza di rete.
Nota
La subnet associata a un ambiente app Azure Container richiede un prefisso CIDR maggiore /23
o superiore.
In uscita con ServiceTags
Protocollo | Porta | Tag del servizio | Descrizione |
---|---|---|---|
UDP | 1194 |
AzureCloud.<region> |
Obbligatorio per la connessione sicura servizio Azure Kubernetes interna (servizio Azure Kubernetes) tra i nodi sottostanti e il piano di controllo. Sostituire <region> con l'area in cui viene distribuita l'app contenitore. |
TCP | 9000 |
AzureCloud.<region> |
Obbligatorio per la connessione sicura del servizio Azure Kubernetes interno tra i nodi sottostanti e il piano di controllo. Sostituire <region> con l'area in cui viene distribuita l'app contenitore. |
TCP | 443 |
AzureMonitor |
Consente chiamate in uscita a Monitoraggio di Azure. |
TCP | 443 |
Azure Container Registry |
Abilita il Registro Azure Container come descritto in Endpoint servizio di rete virtuale. |
TCP | 443 |
MicrosoftContainerRegistry |
Tag del servizio per il registro contenitori per i contenitori Microsoft. |
TCP | 443 |
AzureFrontDoor.FirstParty |
Dipendenza del tag del MicrosoftContainerRegistry servizio. |
TCP | 443 , 445 |
Azure Files |
Abilita Archiviazione di Azure come descritto in Endpoint servizio di rete virtuale. |
In uscita con regole IP con caratteri jolly
Protocollo | Porta | IP | Descrizione |
---|---|---|---|
TCP | 443 |
* | Impostare tutto il traffico in uscita sulla porta 443 per consentire tutte le dipendenze in uscita basate su nome di dominio completo (FQDN) che non dispongono di un indirizzo IP statico. |
UDP | 123 |
* | Server NTP. |
TCP | 5671 |
* | Piano di controllo app contenitore. |
TCP | 5672 |
* | Piano di controllo app contenitore. |
Any | * | Spazio indirizzi subnet dell'infrastruttura | Consentire la comunicazione tra indirizzi IP nella subnet dell'infrastruttura. Questo indirizzo viene passato come parametro quando si crea un ambiente, 10.0.0.0/21 ad esempio . |
In uscita con requisiti FQDN/regole dell'applicazione
Protocollo | Porta | FQDN | Descrizione |
---|---|---|---|
TCP | 443 |
mcr.microsoft.com |
Registro Container Microsoft (MCR). |
TCP | 443 |
*.cdn.mscr.io |
Archiviazione MCR supportata dalla rete CDN (Azure rete per la distribuzione di contenuti). |
TCP | 443 |
*.data.mcr.microsoft.com |
Archiviazione MCR supportata dalla rete CDN di Azure. |
In uscita con FQDN per la gestione delle prestazioni delle applicazioni di terze parti (facoltativo)
Protocollo | Porta | FQDN | Descrizione |
---|---|---|---|
TCP | 443/80 |
collector*.newrelic.com |
Le reti necessarie degli agenti di monitoraggio delle prestazioni e dell'applicazione New Relic dall'area degli Stati Uniti. Vedere Reti agenti APM. |
TCP | 443/80 |
collector*.eu01.nr-data.net |
Le reti necessarie degli agenti di New Relic APM provenienti dall'area dell'UE. Vedere Reti agenti APM. |
TCP | 443 |
*.live.dynatrace.com |
Rete necessaria degli agenti Dynatrace APM. |
TCP | 443 |
*.live.ruxit.com |
Rete necessaria degli agenti Dynatrace APM. |
TCP | 443/80 |
*.saas.appdynamics.com |
Rete necessaria degli agenti APM di AppDynamics. Vedere Domini SaaS e intervalli IP. |
Considerazioni
- Se si eseguono server HTTP, potrebbe essere necessario aggiungere porte
80
e443
. - Aggiunta di regole di negazione per alcune porte e protocolli con priorità inferiore a quella che
65000
può causare interruzioni del servizio e comportamento imprevisto.