Responsabilidades do cliente para executar o Azure Spring Apps em uma rede virtual
Nota
Os planos Basic, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de aposentadoria de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte o anúncio de aposentadoria do Azure Spring Apps.
O plano de consumo padrão e dedicado será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte Migrar consumo padrão e plano dedicado do Azure Spring Apps para Aplicativos de Contêiner do Azure.
Este artigo aplica-se a: ✔️ Basic/Standard ✔️ Enterprise
Este artigo inclui especificações para o uso do Azure Spring Apps em uma rede virtual.
Quando o Azure Spring Apps é implantado em sua rede virtual, ele tem dependências de saída em serviços fora da rede virtual. Para fins operacionais e de gerenciamento, o Azure Spring Apps deve acessar determinadas portas e FQDNs (nomes de domínio totalmente qualificados). O Azure Spring Apps requer que esses pontos de extremidade se comuniquem com o plano de gerenciamento e baixem e instalem os principais componentes de cluster do Kubernetes e as atualizações de segurança.
Por padrão, o Azure Spring Apps tem acesso irrestrito à Internet de saída (saída). Esse nível de acesso à rede permite que os aplicativos executados acessem recursos externos conforme necessário. Se você deseja restringir o tráfego de saída, um número limitado de portas e endereços deve estar acessível para tarefas de manutenção. A solução mais simples para proteger endereços de saída é o uso de um dispositivo de firewall que pode controlar o tráfego de saída com base em nomes de domínio. O Firewall do Azure, por exemplo, pode restringir o tráfego HTTP e HTTPS de saída com base no FQDN do destino. Você também pode configurar seu firewall preferido e regras de segurança para permitir essas portas e endereços necessários.
Requisitos de recursos do Azure Spring Apps
A lista a seguir mostra os requisitos de recursos para os serviços do Azure Spring Apps. Como requisito geral, você não deve modificar grupos de recursos criados pelo Azure Spring Apps e os recursos de rede subjacentes.
- Não modifique grupos de recursos criados e de propriedade do Azure Spring Apps.
- Por padrão, esses grupos de recursos são nomeados
ap-svc-rt_<service-instance-name>_<region>*eap_<service-instance-name>_<region>*. - Não impeça o Azure Spring Apps de atualizar recursos nesses grupos de recursos.
- Por padrão, esses grupos de recursos são nomeados
- Não modifique sub-redes usadas pelo Azure Spring Apps.
- Não crie mais de uma instância de serviço do Azure Spring Apps na mesma sub-rede.
- Ao usar um firewall para controlar o tráfego, não bloqueie o seguinte tráfego de saída para os componentes do Azure Spring Apps que operam, mantêm e dão suporte à instância de serviço.
Regras de rede necessárias do Azure Global
| Ponto de extremidade de destino | Porta | Utilizar | Nota |
|---|---|---|---|
| *:443 ou ServiceTag - AzureCloud:443 | TCP:443 | Gerenciamento de Serviço do Azure Spring Apps. | Para obter informações sobre a instância requiredTrafficsde serviço, consulte a carga útil do networkProfile recurso, na seção . |
| *.azurecr.io:443 ou ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Pode ser substituído habilitando o ponto de extremidade do serviço Registro de Contêiner do Azure na rede virtual. |
| *.core.windows.net:443 e *.core.windows.net:445 ou ServiceTag - Armazenamento:443 e Armazenamento:445 | TCP:443, TCP:445 | Ficheiros do Azure | Pode ser substituído habilitando o ponto de extremidade do serviço de Armazenamento do Azure na rede virtual. |
| *.servicebus.windows.net:443 ou ServiceTag - EventHub:443 | TCP:443 | Hubs de Eventos do Azure. | Pode ser substituído habilitando o ponto de extremidade do serviço Hubs de Eventos do Azure na rede virtual. |
| *.prod.microsoftmetrics.com:443 ou ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Permite chamadas de saída para o Azure Monitor. |
FQDN / regras de aplicativo necessárias do Azure Global
O Firewall do Azure fornece a marca FQDN AzureKubernetesService para simplificar as seguintes configurações:
| FQDN de destino | Porta | Utilizar |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Gerenciamento de cluster Kubernetes subjacente. |
| mcr.microsoft.com | HTTPS:443 | Registro de contêiner da Microsoft (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Armazenamento MCR apoiado pela CDN do Azure. |
| management.azure.com | HTTPS:443 | Gerenciamento de cluster Kubernetes subjacente. |
| login.microsoftonline.com | HTTPS:443 | Autenticação do Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositório de pacotes da Microsoft. |
| acs-mirror.azureedge.net | HTTPS:443 | Repositório necessário para instalar binários necessários, como kubenet e Azure CNI. |
Regras de rede necessárias do Microsoft Azure operado pela 21Vianet
| Ponto de extremidade de destino | Porta | Utilizar | Nota |
|---|---|---|---|
| *:443 ou ServiceTag - AzureCloud:443 | TCP:443 | Gerenciamento de Serviço do Azure Spring Apps. | Para obter informações sobre a instância requiredTrafficsde serviço, consulte a carga útil do networkProfile recurso, na seção . |
| *.azurecr.cn:443 ou ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Pode ser substituído habilitando o ponto de extremidade do serviço Registro de Contêiner do Azure na rede virtual. |
| *.core.chinacloudapi.cn:443 e *.core.chinacloudapi.cn:445 ou ServiceTag - Armazenamento: 443 e Armazenamento: 445 | TCP:443, TCP:445 | Ficheiros do Azure | Pode ser substituído habilitando o ponto de extremidade do serviço de Armazenamento do Azure na rede virtual. |
| *.servicebus.chinacloudapi.cn:443 ou ServiceTag - EventHub:443 | TCP:443 | Hubs de Eventos do Azure. | Pode ser substituído habilitando o ponto de extremidade do serviço Hubs de Eventos do Azure na rede virtual. |
| *.prod.microsoftmetrics.com:443 ou ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor. | Permite chamadas de saída para o Azure Monitor. |
Microsoft Azure operado pela 21Vianet necessário FQDN / regras de aplicativo
O Firewall do Azure fornece a marca AzureKubernetesService FQDN para simplificar as seguintes configurações:
| FQDN de destino | Porta | Utilizar |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Gerenciamento de cluster Kubernetes subjacente. |
| mcr.microsoft.com | HTTPS:443 | Registro de contêiner da Microsoft (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Armazenamento MCR apoiado pela CDN do Azure. |
| management.chinacloudapi.cn | HTTPS:443 | Gerenciamento de cluster Kubernetes subjacente. |
| login.chinacloudapi.cn | HTTPS:443 | Autenticação do Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositório de pacotes da Microsoft. |
| *.azk8s.cn | HTTPS:443 | Repositório necessário para instalar binários necessários, como kubenet e Azure CNI. |
FQDN opcional do Azure Spring Apps para gerenciamento de desempenho de aplicativos de terceiros
| FQDN de destino | Porta | Utilizar |
|---|---|---|
| colecionador*.newrelic.com | TCP:443/80 | Redes necessárias de agentes New Relic APM da região dos EUA, consulte também APM Agents Networks. |
| coletor*.eu01.nr-data.net | TCP:443/80 | Redes obrigatórias de agentes APM da New Relic da região da UE, consulte também APM Agents Networks. |
| *.live.dynatrace.com | TCP:443 | Rede necessária de agentes Dynatrace APM. |
| *.live.ruxit.com | TCP:443 | Rede necessária de agentes Dynatrace APM. |
| *.saas.appdynamics.com | TCP:443/80 | Rede necessária de agentes AppDynamics APM, consulte também Domínios SaaS e Intervalos de IP. |
FQDN opcional do Azure Spring Apps para Application Insights
Você precisa abrir algumas portas de saída no firewall do servidor para permitir que o SDK do Application Insights ou o Application Insights Agent envie dados para o portal. Para obter mais informações, consulte a seção Portas de saída de endereços IP usados pelo Azure Monitor.