次の方法で共有


仮想ネットワークでの Azure Spring Apps の実行に関するお客様の責任

Note

BasicStandardEnterprise プランは、2025 年 3 月中旬以降非推奨になり、廃止期間は 3 年間です。 Azure Container Apps に移行することをお勧めします。 詳細については、「Azure Spring Apps の廃止のお知らせ」を参照してください。

Standard 従量課金と専用プランは、2024 年 9 月 30 日以降に非推奨になり、6 か月後に完全にシャットダウンされます。 Azure Container Apps に移行することをお勧めします。 詳細については、「Azure Spring Apps の Standard 従量課金および専用プランを Azure Container Apps に移行する」を参照してください。

この記事の適用対象:✅ Basic/Standard ✅ Enterprise

この記事には、仮想ネットワークで Azure Spring Apps を使用するための仕様が含まれています。

仮想ネットワークにデプロイする場合、Azure Spring Apps には、仮想ネットワークの外部にあるサービスへの送信依存関係があります。 管理と運用上の目的から、Azure Spring Apps は特定のポートと完全修飾ドメイン名 (FQDN) にアクセスする必要があります。 Azure Spring Apps では、管理プレーンとの通信、およびコア Kubernetes クラスター コンポーネントとセキュリティ更新プログラムのダウンロードとインストールに、これらのエンドポイントが必要です。

既定で、Azure Spring Apps は、送信 (エグレス) インターネット アクセスが無制限です。 このレベルのネットワーク アクセスでは、実行しているアプリケーションから必要に応じて外部リソースにアクセスできます。 エグレス トラフィックを制限する場合は、メンテナンス タスクに対して、アクセスできるポートとアドレスの数を制限する必要があります。 送信アドレスをセキュリティで保護する最も簡単なソリューションは、ドメイン名に基づいて送信トラフィックを制御できるファイアウォール デバイスを使用することです。 たとえば、Azure Firewall では、送信先の FQDN に基づいて HTTP と HTTPS の送信トラフィックを制限できます。 また、適切なファイアウォール規則とセキュリティ規則を構成し、これらの必要なポートとアドレスを許可することができます。

Azure Spring Apps のリソース要件

以下の一覧は、Azure Spring Apps サービスのリソース要件をまとめたものです。 一般的な要件として、Azure Spring Apps によって作成されたリソース グループおよび基になるネットワーク リソースを変更することはできません。

  • Azure Spring Apps によって作成および所有されているリソース グループは変更しないでください。
    • 既定では、これらのリソース グループには ap-svc-rt_<service-instance-name>_<region>*ap_<service-instance-name>_<region>* という名前が付けられています。
    • Azure Spring Apps で、これらのリソース グループ内のリソースの更新をブロックしないでください。
  • Azure Spring Apps で使用されるサブネットは変更しないでください。
  • 同じサブネット内に複数の Azure Spring Apps サービス インスタンスを作成しないでください。
  • ファイアウォールを使用してトラフィックを制御する場合は、サービス インスタンスを運用、保守、およびサポートする Azure Spring Apps コンポーネントへの次のエグレス トラフィックをブロックしないでください。

Azure Global に必要なネットワーク規則

送信先エンドポイント Port 用途 Note
*:443 または ServiceTag - AzureCloud:443 TCP:443 Azure Spring Apps サービスの管理。 サービス インスタンス requiredTraffics の詳細については、「networkProfile」セクションのリソース ペイロードを参照してください。
*.azurecr.io:443 または ServiceTag - AzureContainerRegistry:443 TCP:443 Azure Container Registry。 Azure Container Registry 仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。
*.core.windows.net:443 および *.core.windows.net:445 または ServiceTag - Storage:443 および Storage:445 TCP:443、TCP:445 Azure Files Azure Storage 仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。
*.servicebus.windows.net:443 または ServiceTag - EventHub:443 TCP:443 Azure Event Hubs。 Azure Event Hubs 仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。
*.prod.microsoftmetrics.com:443 または ServiceTag - AzureMonitor:443 TCP:443 Azure Monitor。 Azure Monitor へのアウトバウンド呼び出しを許可します。

Azure Global に必要な FQDN とアプリケーションの規則

Azure Firewall には、次の構成を簡略化するために FQDN タグ AzureKubernetesService が用意されています。

送信先 FQDN Port 用途
*.azmk8s.io HTTPS: 443 基になる Kubernetes クラスターの管理。
mcr.microsoft.com HTTPS: 443 Microsoft Container Registry (MCR)。
*.data.mcr.microsoft.com HTTPS: 443 Azure CDN によってサポートされる MCR ストレージ。
management.azure.com HTTPS: 443 基になる Kubernetes クラスターの管理。
login.microsoftonline.com HTTPS: 443 Microsoft Entra 認証。
packages.microsoft.com HTTPS: 443 Microsoft パッケージ リポジトリ。
acs-mirror.azureedge.net HTTPS: 443 kubenet や Azure CNI などの必要なバイナリをインストールするために必要なリポジトリ。

21Vianet によって運営される Microsoft Azure で必要なネットワーク規則

送信先エンドポイント Port 用途 Note
*:443 または ServiceTag - AzureCloud:443 TCP:443 Azure Spring Apps サービスの管理。 サービス インスタンス requiredTraffics の詳細については、「networkProfile」セクションのリソース ペイロードを参照してください。
*.azurecr.cn:443 または ServiceTag - AzureContainerRegistry:443 TCP:443 Azure Container Registry。 Azure Container Registry 仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。
*.core.chinacloudapi.cn:443 および *.core.chinacloudapi.cn:445 または ServiceTag - Storage:443 および Storage:445 TCP:443、TCP:445 Azure Files Azure Storage 仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。
*.servicebus.chinacloudapi.cn:443 または ServiceTag - EventHub:443 TCP:443 Azure Event Hubs。 Azure Event Hubs 仮想ネットワーク サービス エンドポイントを有効にすることで置き換えることができます。
*.prod.microsoftmetrics.com:443 または ServiceTag - AzureMonitor:443 TCP:443 Azure Monitor。 Azure Monitor へのアウトバウンド呼び出しを許可します。

21Vianet によって運営される Microsoft Azure で必要な FQDN とアプリケーションの規則

Azure Firewall には、次の構成を簡略化するために FQDN タグ AzureKubernetesService が用意されています。

送信先 FQDN Port 用途
*.cx.prod.service.azk8s.cn HTTPS: 443 基になる Kubernetes クラスターの管理。
mcr.microsoft.com HTTPS: 443 Microsoft Container Registry (MCR)。
*.data.mcr.microsoft.com HTTPS: 443 Azure CDN によってサポートされる MCR ストレージ。
management.chinacloudapi.cn HTTPS: 443 基になる Kubernetes クラスターの管理。
login.chinacloudapi.cn HTTPS: 443 Microsoft Entra 認証。
packages.microsoft.com HTTPS: 443 Microsoft パッケージ リポジトリ。
*.azk8s.cn HTTPS: 443 kubenet や Azure CNI などの必要なバイナリをインストールするために必要なリポジトリ。

サードパーティ製アプリケーションのパフォーマンス管理に使用される Azure Spring Apps の省略可能な FQDN

送信先 FQDN Port 用途
collector*.newrelic.com TCP:443/80 米国リージョンの New Relic APM エージェントの必須ネットワーク。APM エージェント ネットワークに関する記事も参照してください。
collector*.eu01.nr-data.net TCP:443/80 EU リージョンの New Relic APM エージェントの必須ネットワーク。APM エージェント ネットワークに関する記事も参照してください。
*.live.dynatrace.com TCP:443 Dynatrace APM エージェントの必須ネットワーク。
*.live.ruxit.com TCP:443 Dynatrace APM エージェントの必須ネットワーク。
*.saas.appdynamics.com TCP:443/80 AppDynamics APM エージェントのネットワークが必要です。詳細については、SaaS ドメインおよび IP 範囲に関するページも参照してください。

Application Insights 用の Azure Spring Apps 省略可能 FQDN

Application Insights SDK や Application Insights エージェントがポータルにデータを送信できるように、サーバーのファイアウォールでいくつかの送信ポートを開く必要があります。 詳細については、「Azure Monitor で使用される IP アドレス」の「送信ポート」セクションを参照してください。

次のステップ