Kundenverantwortung für den Azure Spring Apps-Standardverbrauchs- und dedizierten Plan in einem virtuellen Netzwerk

Hinweis

Die Pläne Basic, Standard und Enterprise gelten ab Mitte März 2025 als veraltet und werden über einen Zeitraum von drei Jahren eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie in der Ankündigung zur Einstellung von Azure Spring Apps.

Der Plan Standardverbrauch und dediziert gilt ab dem 30. September 2024 als veraltet und wird nach sechs Monaten vollständig eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie unter Migrieren vom Plan „Standardverbrauch und dediziert“ von Azure Spring Apps zu Azure Container Apps.

Dieser Artikel gilt für: ✔️ Standardverbrauch und dediziert (Vorschau) ❌ Basic/Standard ❌ Enterprise

Dieser Artikel enthält Informationen zur Kundenverantwortung beim Betrieb einer Dienstinstanz im Azure Spring Apps-Plan „Standardverbrauch und dediziert“ in einem virtuellen Netzwerk.

Verwenden Sie Netzwerksicherheitsgruppen (NSGs), um virtuelle Netzwerke so zu konfigurieren, dass sie den von Kubernetes benötigten Einstellungen entsprechen.

Sie können ein Netzwerk mithilfe von NSGs mit restriktiveren Regeln sperren als mit den NSG-Standardregeln, um den gesamten ein- und ausgehenden Datenverkehr für die Azure Container Apps-Umgebung zu steuern.

NSG-Zulassungsregeln

In den folgenden Tabellen wird beschrieben, wie Sie eine Sammlung von NSG-Zulassungsregeln konfigurieren.

Hinweis

Das Subnetz, das einer Azure Container Apps-Umgebung zugeordnet ist, muss über das CIDR-Präfix /23 oder über ein größeres Präfix verfügen.

Ausgehend mit ServiceTags

Protocol Port ServiceTag Beschreibung
UDP 1194 AzureCloud.<region> Erforderlich für eine sichere interne AKS-Verbindung (Azure Kubernetes Service) zwischen zugrunde liegenden Knoten und der Steuerungsebene Ersetzen Sie <region> durch die Region, in der Ihre Container-App bereitgestellt wird.
TCP 9000 AzureCloud.<region> Erforderlich für eine sichere interne AKS-Verbindung zwischen zugrunde liegenden Knoten und der Steuerungsebene Ersetzen Sie <region> durch die Region, in der Ihre Container-App bereitgestellt wird.
TCP 443 AzureMonitor Ermöglicht ausgehende Aufrufe an Azure Monitor
TCP 443 Azure Container Registry Aktiviert Azure Container Registry, wie unter Virtual Network-Dienstendpunkte beschrieben
TCP 443 MicrosoftContainerRegistry Das Diensttag für die Containerregistrierung für Microsoft-Container
TCP 443 AzureFrontDoor.FirstParty Eine Abhängigkeit des Diensttags MicrosoftContainerRegistry
TCP 443, 445 Azure Files Aktiviert Azure Storage, wie unter Virtual Network-Dienstendpunkte beschrieben

Ausgehend mit Platzhalter-IP-Regeln

Protocol Port IP BESCHREIBUNG
TCP 443 * Konfiguriert den gesamten ausgehenden Datenverkehr am Port 443 so, dass alle ausgehenden Abhängigkeiten zugelassen werden, die auf einem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) basieren und keine statische IP-Adresse besitzen
UDP 123 * NTP-Server
TCP 5671 * Container Apps-Steuerungsebene.
TCP 5672 * Container Apps-Steuerungsebene.
Any * Adressraum des Infrastruktursubnetzes Lassen Sie die Kommunikation zwischen IPs im Infrastruktursubnetz zu. Diese Adresse wird beim Erstellen einer Umgebung als Parameter übergeben. Beispiel: 10.0.0.0/21

Ausgehend mit FQDN-Anforderungen/Anwendungsregeln

Protocol Port FQDN Beschreibung
TCP 443 mcr.microsoft.com Microsoft Container Registry (MCR)
TCP 443 *.cdn.mscr.io Auf Azure Content Delivery Network (CDN) basierender MCR-Speicher.
TCP 443 *.data.mcr.microsoft.com MCR-Speicher, der auf Azure CDN basiert

Ausgehend mit FQDN für die Leistungsverwaltung von Drittanbieteranwendungen (optional)

Protocol Port FQDN Beschreibung
TCP 443/80 collector*.newrelic.com Die erforderlichen Netzwerke von New Relic-APM-Agents (Application and Performance Monitoring; Anwendungs- und Leistungsüberwachung) aus der US-Region. Weitere Informationen finden Sie unter „APM Agents Networks“.
TCP 443/80 collector*.eu01.nr-data.net Die erforderlichen Netzwerke von New Relic-APM-Agents aus der EU-Region. Weitere Informationen finden Sie unter „APM Agents Networks“.
TCP 443 *.live.dynatrace.com Das erforderliche Netzwerk von Dynatrace-APM-Agents.
TCP 443 *.live.ruxit.com Das erforderliche Netzwerk von Dynatrace-APM-Agents.
TCP 443/80 *.saas.appdynamics.com Das erforderliche Netzwerk von AppDynamics-APM-Agents. Weitere Informationen finden Sie unter „SaaS-Domänen und IP-Adressbereiche“.

Überlegungen

  • Bei Verwendung von HTTP-Servern müssen ggf. die Ports 80 und 443 hinzugefügt werden.
  • Hinzufügen von Verweigerungsregeln für einige Ports und Protokolle mit niedrigerer Priorität als 65000 dies zu Dienstunterbrechungen und unerwartetem Verhalten führen kann.

Nächste Schritte