Responsabilità dei clienti per l'esecuzione di App Spring di Azure in una rete virtuale

Nota

I piani Basic, Standard ed Enterprise saranno deprecati a partire dalla metà di marzo 2025, con un periodo di ritiro di 3 anni. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere l'annuncio di ritiro di Azure Spring Apps.

Il piano Standard a consumo e dedicato sarà deprecato a partire dal 30 settembre 2024, con un arresto completo dopo sei mesi. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere Eseguire la migrazione del consumo di Azure Spring Apps Standard e del piano dedicato alle app Azure Container.

Questo articolo si applica a: ✔️ Basic/Standard ✔️ Enterprise

Questo articolo include le specifiche per l'uso di App Spring di Azure in una rete virtuale.

Quando Azure Spring Apps viene distribuito nella rete virtuale, presenta dipendenze in uscita dai servizi all'esterno della rete virtuale. Per scopi operativi e di gestione, Azure Spring Apps deve accedere a determinate porte e nomi di dominio completi (FQDN). Azure Spring Apps richiede che questi endpoint comunichino con il piano di gestione e per scaricare e installare i componenti di base del cluster Kubernetes e gli aggiornamenti della sicurezza.

Per impostazione predefinita, Azure Spring Apps ha accesso a Internet in uscita senza restrizioni. Questo livello di accesso alla rete consente alle applicazioni in esecuzione di accedere alle risorse esterne in base alle esigenze. Se si vuole limitare il traffico in uscita, è necessario che un numero limitato di porte e indirizzi sia accessibile per le attività di manutenzione. La soluzione più semplice per proteggere gli indirizzi in uscita consiste nell'usare un dispositivo firewall in grado di controllare il traffico in uscita in base ai nomi di dominio. Firewall di Azure, ad esempio, può limitare il traffico HTTP e HTTPS in uscita in base all'FQDN della destinazione. È anche possibile configurare le regole di sicurezza e del firewall preferite per consentire le porte e gli indirizzi necessari.

Requisiti delle risorse di Azure Spring Apps

L'elenco seguente illustra i requisiti delle risorse per i servizi di Azure Spring Apps. Come requisito generale, non è consigliabile modificare i gruppi di risorse creati da Azure Spring Apps e dalle risorse di rete sottostanti.

  • Non modificare i gruppi di risorse creati e di proprietà di Azure Spring Apps.
    • Per impostazione predefinita, questi gruppi di risorse sono denominati ap-svc-rt_<service-instance-name>_<region>* e ap_<service-instance-name>_<region>*.
    • Non impedire ad Azure Spring Apps di aggiornare le risorse in questi gruppi di risorse.
  • Non modificare le subnet usate da Azure Spring Apps.
  • Non creare più di un'istanza del servizio Azure Spring Apps nella stessa subnet.
  • Quando si usa un firewall per controllare il traffico, non bloccare il traffico in uscita seguente verso i componenti di Azure Spring Apps che operano, gestiscono e supportano l'istanza del servizio.

Regole di rete necessarie per Azure a livello globale

Endpoint di destinazione Porta Utilizzo Nota
*:443 o ServiceTag - AzureCloud:443 TCP:443 Gestione del servizio Azure Spring Apps. Per informazioni sull'istanza del servizio requiredTraffics, vedere il payload della risorsa, nella sezione networkProfile.
*.azurecr.io:443 o ServiceTag - AzureContainerRegistry:443 TCP:443 Registro Azure Container. Può essere sostituito abilitando Registro Azure Container endpoint di servizio nella rete virtuale.
*.core.windows.net:443 e *.core.windows.net:445 o ServiceTag - Storage:443 e Storage:445 TCP:443, TCP:445 File di Azure Può essere sostituito abilitando l'archiviazione di Azure endpoint del servizio nella rete virtuale.
*.servicebus.windows.net:443 o ServiceTag - EventHub:443 TCP:443 Hub eventi di Azure. Può essere sostituito abilitando l'Hub eventi di Azure endpoint del servizio nella rete virtuale.
*.prod.microsoftmetrics.com:443 o ServiceTag - AzureMonitor:443 TCP:443 Monitoraggio di Azure. Consente chiamate in uscita a Monitoraggio di Azure.

Regole FQDN/applicazione necessarie per Azure a livello globale

Firewall di Azure fornisce il tag FQDN AzureKubernetesService per semplificare le configurazioni seguenti:

FQDN di destinazione Porta Utilizzo
*.azmk8s.io HTTPS:443 Gestione del cluster Kubernetes sottostante.
mcr.microsoft.com HTTPS:443 Registro Container Microsoft (MCR).
*.data.mcr.microsoft.com HTTPS:443 Archiviazione MCR supportata dalla rete CDN di Azure.
management.azure.com HTTPS:443 Gestione del cluster Kubernetes sottostante.
login.microsoftonline.com HTTPS:443 Autenticazione di Microsoft Entra.
packages.microsoft.com HTTPS:443 Repository di pacchetti Microsoft.
acs-mirror.azureedge.net HTTPS:443 Repository necessario per installare i file binari richiesti, come Kubenet e Azure CNI.

Regole di rete necessarie per Microsoft Azure gestito da 21Vianet

Endpoint di destinazione Porta Utilizzo Nota
*:443 o ServiceTag - AzureCloud:443 TCP:443 Gestione del servizio Azure Spring Apps. Per informazioni sull'istanza del servizio requiredTraffics, vedere il payload della risorsa, nella sezione networkProfile.
*.azurecr.cn:443 o ServiceTag - AzureContainerRegistry:443 TCP:443 Registro Azure Container. Può essere sostituito abilitando Registro Azure Container endpoint di servizio nella rete virtuale.
*.core.chinacloudapi.cn:443 e *.core.chinacloudapi.cn:445 o ServiceTag - Storage:443 e Storage:445 TCP:443, TCP:445 File di Azure Può essere sostituito abilitando l'archiviazione di Azure endpoint del servizio nella rete virtuale.
*.servicebus.chinacloudapi.cn:443 o ServiceTag - EventHub:443 TCP:443 Hub eventi di Azure. Può essere sostituito abilitando l'Hub eventi di Azure endpoint del servizio nella rete virtuale.
*.prod.microsoftmetrics.com:443 o ServiceTag - AzureMonitor:443 TCP:443 Monitoraggio di Azure. Consente chiamate in uscita a Monitoraggio di Azure.

Regole FQDN/applicazione necessarie per Microsoft Azure gestito da 21Vianet

Firewall di Azure fornisce il tag FQDN AzureKubernetesService per semplificare le configurazioni seguenti:

FQDN di destinazione Porta Utilizzo
*.cx.prod.service.azk8s.cn HTTPS:443 Gestione del cluster Kubernetes sottostante.
mcr.microsoft.com HTTPS:443 Registro Container Microsoft (MCR).
*.data.mcr.microsoft.com HTTPS:443 Archiviazione MCR supportata dalla rete CDN di Azure.
management.chinacloudapi.cn HTTPS:443 Gestione del cluster Kubernetes sottostante.
login.chinacloudapi.cn HTTPS:443 Autenticazione di Microsoft Entra.
packages.microsoft.com HTTPS:443 Repository di pacchetti Microsoft.
*.azk8s.cn HTTPS:443 Repository necessario per installare i file binari richiesti, come Kubenet e Azure CNI.

FQDN facoltativo di Azure Spring Apps per la gestione delle prestazioni delle applicazioni di terze parti

FQDN di destinazione Porta Utilizzo
collector*.newrelic.com TCP:443/80 Le reti necessarie degli agenti di New Relic APM dall'area degli Stati Uniti, vedere anche Reti agenti APM.
collector*.eu01.nr-data.net TCP:443/80 Le reti necessarie degli agenti di New Relic APM dall'area dell'UE, vedere anche Reti agenti APM.
*.live.dynatrace.com TCP:443 Rete necessaria degli agenti Dynatrace APM.
*.live.ruxit.com TCP:443 Rete necessaria degli agenti Dynatrace APM.
*.saas.appdynamics.com TCP:443/80 Rete necessaria degli agenti APM di AppDynamics, vedere anche Domini SaaS e intervalli IP.

FQDN facoltativo di App Spring di Azure per Application Insights

È necessario aprire alcune porte in uscita nel firewall del server per consentire ad Application Insights SDK o all'agente di Application Insights di inviare dati al portale. Per altre informazioni, vedere la sezione porte in uscita di indirizzi IP usati da Monitoraggio di Azure.

Passaggi successivi