Kundenzuständigkeiten für die Ausführung von Azure Spring Apps in einem virtuellen Netzwerk

Hinweis

Die Pläne Basic, Standard und Enterprise gelten ab Mitte März 2025 als veraltet und werden über einen Zeitraum von 3 Jahren eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie in der Ankündigung zur Einstellung von Azure Spring Apps.

Der Standardverbrauchs- und dedizierte Plan wird ab dem 30. September 2024 als veraltet gekennzeichnet und nach sechs Monaten vollständig eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie unter Migrieren vom Standardverbrauchs- und dedizierten Plan von Azure Spring Apps zu Azure Container Apps.

Dieser Artikel gilt für: ✔️ Basic/Standard ✔️ Enterprise

In diesem Artikel finden Sie Spezifikationen für die Verwendung von Azure Spring Apps in einem virtuellen Netzwerk.

Wenn Azure Spring Apps in Ihrem virtuellen Netzwerk bereitgestellt wird, verfügt der Dienst über ausgehende Abhängigkeiten von Diensten außerhalb des virtuellen Netzwerks. Zu Verwaltungs- und Betriebszwecken muss Azure Spring Apps auf bestimmte Ports und vollqualifizierte Domänennamen (FQDNs) zugreifen. Azure Spring Apps benötigt diese Endpunkte für die Kommunikation mit der Verwaltungsebene und zum Herunterladen und Installieren von Kernkomponenten des Kubernetes-Clusters und Sicherheitsupdates.

Standardmäßig verfügt Azure Spring Apps über uneingeschränkten Internetzugriff in ausgehender Richtung. Diese Ebene des Netzwerkzugriffs ermöglicht es, dass ausgeführte Anwendungen je nach Bedarf auf externe Ressourcen zugreifen können. Wenn Sie den ausgehenden Datenverkehr einschränken möchten, muss eine begrenzte Anzahl von Ports und Adressen für Wartungsaufgaben zugänglich sein. Die einfachste Lösung zum Schützen ausgehender Adressen besteht in der Verwendung eines Firewallgeräts, das den ausgehenden Datenverkehr auf der Grundlage von Domänennamen kontrolliert. Von Azure Firewall kann beispielsweise ausgehender HTTP- und HTTPS-Datenverkehr auf der Grundlage des FQDN des Ziels eingeschränkt werden. Darüber hinaus können Sie Ihre bevorzugten Firewall- und Sicherheitsregeln konfigurieren, um diese erforderlichen Ports und Adressen zuzulassen.

Anforderungen für Azure Spring Apps-Ressourcen

Die folgende Liste enthält die Ressourcenanforderungen für Azure Spring Apps-Dienste. Eine allgemeine Anforderung besteht darin, dass keine Ressourcengruppen geändert werden sollten, die von Azure Spring Apps und den zugrunde liegenden Netzwerkressourcen erstellt wurden.

  • Ändern Sie keine Ressourcengruppen, die vom Azure Spring Apps-Dienst erstellt werden und sich in dessen Besitz befinden.
    • Standardmäßig werden diese Ressourcengruppen ap-svc-rt_<service-instance-name>_<region>* und ap_<service-instance-name>_<region>* genannt.
    • Hindern Sie Azure Spring Apps nicht am Aktualisieren von Ressourcen in diesen Ressourcengruppen.
  • Ändern Sie keine Subnetze, die von Azure Spring Apps verwendet werden.
  • Erstellen Sie im selben Subnetz nicht mehr als eine Instanz des Azure Spring Apps-Diensts.
  • Bei Verwendung einer Firewall zum Steuern des Datenverkehrs sollten Sie nicht den folgenden ausgehenden Datenverkehr für Azure Spring Apps-Komponenten blockieren, mit denen die Dienstinstanz betrieben, verwaltet und unterstützt wird.

Für Azure Global benötigte Netzwerkregeln

Zielendpunkt Port Zweck Hinweis
*:443 oder ServiceTag: AzureCloud:443 TCP:443 Azure Spring Apps-Dienstverwaltung. Informationen zur Dienstinstanz requiredTraffics finden Sie unter den Ressourcennutzdaten im Abschnitt networkProfile.
*.azurecr.io:443 oder ServiceTag: AzureContainerRegistry:443 TCP:443 Azure Container Registry. Kann durch die Aktivierung des Azure Container Registry-Dienstendpunkts im virtuellen Netzwerk ersetzt werden.
*.core.windows.net:443 und *.core.windows.net:445 oder ServiceTag: Storage:443 und Storage:445 TCP:443, TCP:445 Azure Files Kann durch die Aktivierung des Azure Storage-Dienstendpunkts im virtuellen Netzwerk ersetzt werden.
*.servicebus.windows.net:443 oder ServiceTag: EventHub:443 TCP:443 Azure Event Hubs. Kann durch die Aktivierung des Azure Event Hubs-Dienstendpunkts im virtuellen Netzwerk ersetzt werden.
*.prod.microsoftmetrics.com:443 oder ServiceTag – AzureMonitor:443 TCP:443 Azure Monitor. Ermöglicht ausgehende Aufrufe an Azure Monitor

Für Azure Global benötigte FQDNs/Anwendungsregeln

Von Azure Firewall wird das FQDN-Tag AzureKubernetesService bereitgestellt, um die folgenden Konfigurationen zu vereinfachen:

Ziel-FQDN Port Zweck
*.azmk8s.io HTTPS: 443 Verwaltung des zugrunde liegenden Kubernetes-Clusters
mcr.microsoft.com HTTPS: 443 Microsoft Container Registry (MCR)
*.data.mcr.microsoft.com HTTPS: 443 MCR-Speicher, der auf Azure CDN basiert
management.azure.com HTTPS: 443 Verwaltung des zugrunde liegenden Kubernetes-Clusters
login.microsoftonline.com HTTPS: 443 Microsoft Entra-Authentifizierung.
packages.microsoft.com HTTPS: 443 Microsoft-Paketrepository
acs-mirror.azureedge.net HTTPS: 443 Repository, das zum Installieren erforderlicher Binärdateien, z. B. für kubenet und Azure CNI, benötigt wird.

Erforderliche Netzwerkregeln für Microsoft Azure, betrieben von 21Vianet

Zielendpunkt Port Zweck Hinweis
*:443 oder ServiceTag: AzureCloud:443 TCP:443 Azure Spring Apps-Dienstverwaltung. Informationen zur Dienstinstanz requiredTraffics finden Sie unter den Ressourcennutzdaten im Abschnitt networkProfile.
*.azurecr.cn:443 oder ServiceTag – AzureContainerRegistry:443 TCP:443 Azure Container Registry. Kann durch die Aktivierung des Azure Container Registry-Dienstendpunkts im virtuellen Netzwerk ersetzt werden.
*.core.chinacloudapi.cn:443 und *.core.chinacloudapi.cn:445 oder ServiceTag – Speicher:443 und Speicher:445 TCP:443, TCP:445 Azure Files Kann durch die Aktivierung des Azure Storage-Dienstendpunkts im virtuellen Netzwerk ersetzt werden.
*.servicebus.chinacloudapi.cn:443 oder ServiceTag – EventHub:443 TCP:443 Azure Event Hubs. Kann durch die Aktivierung des Azure Event Hubs-Dienstendpunkts im virtuellen Netzwerk ersetzt werden.
*.prod.microsoftmetrics.com:443 oder ServiceTag – AzureMonitor:443 TCP:443 Azure Monitor. Ermöglicht ausgehende Aufrufe an Azure Monitor

Erforderliche FQDN-/Anwendungsregeln für Microsoft Azure, betrieben von 21Vianet

Azure Firewall stellt das FQDN-Tag AzureKubernetesService bereit, um die folgenden Konfigurationen zu vereinfachen:

Ziel-FQDN Port Zweck
*.cx.prod.service.azk8s.cn HTTPS: 443 Verwaltung des zugrunde liegenden Kubernetes-Clusters
mcr.microsoft.com HTTPS: 443 Microsoft Container Registry (MCR)
*.data.mcr.microsoft.com HTTPS: 443 MCR-Speicher, der auf Azure CDN basiert
management.chinacloudapi.cn HTTPS: 443 Verwaltung des zugrunde liegenden Kubernetes-Clusters
login.chinacloudapi.cn HTTPS: 443 Microsoft Entra-Authentifizierung.
packages.microsoft.com HTTPS: 443 Microsoft-Paketrepository
*.azk8s.cn HTTPS: 443 Repository, das zum Installieren erforderlicher Binärdateien, z. B. für kubenet und Azure CNI, benötigt wird.

Optionaler Azure Spring Apps-FQDN für die Leistungsverwaltung von Drittanbieteranwendungen

Ziel-FQDN Port Zweck
collector*.newrelic.com TCP:443/80 Die benötigten Netzwerke von New Relic APM-Agents aus der USA-Region finden Sie auch unter APM Agents Networks.
collector*.eu01.nr-data.net TCP:443/80 Die benötigten Netzwerke von New Relic APM-Agents aus der EU-Region finden Sie auch unter APM Agents Networks.
*.live.dynatrace.com TCP:443 Erforderliches Netzwerk von Dynatrace APM-Agents.
*.live.ruxit.com TCP:443 Erforderliches Netzwerk von Dynatrace APM-Agents.
*.saas.appdynamics.com TCP:443/80 Erforderliches Netzwerk von AppDynamics-APM-Agents. Weitere Informationen finden Sie unter SaaS-Domänen und IP-Adressbereiche.

Optionaler FQDN für Azure Spring Apps für Application Insights

Sie müssen einige ausgehende Ports in der Firewall Ihres Servers öffnen, damit das Application Insights SDK oder der Application Insights Agent Daten an das Portal senden kann. Weitere Informationen finden Sie im Abschnitt Ausgehende Ports von IP-Adressen, die von Azure Monitor verwendet werden.

Nächste Schritte