Kundansvar för Azure Spring Apps Standard-förbrukning och dedikerad plan i ett virtuellt nätverk
Kommentar
Basic-, Standard- och Enterprise-planerna kommer att vara inaktuella från och med mitten av mars 2025, med en 3-årig pensionsperiod. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i meddelandet om azure Spring Apps-pensionering.
Standardförbrukningen och den dedikerade planen kommer att vara inaktuell från och med den 30 september 2024, med en fullständig avstängning efter sex månader. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i Migrera Azure Spring Apps Standard-förbrukning och dedikerad plan till Azure Container Apps.
Den här artikeln gäller för: ✔️ Standardförbrukning och dedikerad (förhandsversion) ❌ Basic/Standard ❌ Enterprise
Den här artikeln beskriver kundens ansvar för att köra en Azure Spring Apps Standard-förbrukning och en dedikerad plantjänstinstans i ett virtuellt nätverk.
Använd nätverkssäkerhetsgrupper (NSG:er) för att konfigurera virtuella nätverk så att de överensstämmer med de inställningar som krävs av Kubernetes.
Om du vill styra all inkommande och utgående trafik för Azure Container Apps-miljön kan du använda NSG:er för att låsa ett nätverk med mer restriktiva regler än standardreglerna för NSG.
NSG-tillåtna regler
I följande tabeller beskrivs hur du konfigurerar en samling NSG-tillåtna regler.
Kommentar
Undernätet som är associerat med en Azure Container Apps-miljö kräver ett CIDR-prefix på /23 eller större.
Utgående med ServiceTags
| Protokoll | Port | ServiceTag | beskrivning |
|---|---|---|---|
| UDP | 1194 |
AzureCloud.<region> |
Krävs för intern AKS-säker anslutning (Azure Kubernetes Service) mellan underliggande noder och kontrollplanet. Ersätt <region> med den region där containerappen distribueras. |
| TCP | 9000 |
AzureCloud.<region> |
Krävs för intern AKS-säker anslutning mellan underliggande noder och kontrollplanet. Ersätt <region> med den region där containerappen distribueras. |
| TCP | 443 |
AzureMonitor |
Tillåter utgående anrop till Azure Monitor. |
| TCP | 443 |
Azure Container Registry |
Aktiverar Azure Container Registry enligt beskrivningen i Tjänstslutpunkter för virtuellt nätverk. |
| TCP | 443 |
MicrosoftContainerRegistry |
Tjänsttaggen för containerregistret för Microsoft-containrar. |
| TCP | 443 |
AzureFrontDoor.FirstParty |
Ett beroende av MicrosoftContainerRegistry tjänsttaggen. |
| TCP | 443, 445 |
Azure Files |
Aktiverar Azure Storage enligt beskrivningen i Tjänstslutpunkter för virtuellt nätverk. |
Utgående med IP-regler för jokertecken
| Protokoll | Port | IP | beskrivning |
|---|---|---|---|
| TCP | 443 |
* | Ställ in all utgående trafik på porten 443 så att alla fullständigt kvalificerade domännamn (FQDN) baserade på utgående beroenden som inte har en statisk IP-adress tillåts. |
| UDP | 123 |
* | NTP-server. |
| TCP | 5671 |
* | Kontrollplan för Container Apps. |
| TCP | 5672 |
* | Kontrollplan för Container Apps. |
| Alla | * | Infrastrukturundernätsadressutrymme | Tillåt kommunikation mellan IP-adresser i infrastrukturundernätet. Den här adressen skickas som en parameter när du skapar en miljö , till exempel 10.0.0.0/21. |
Utgående med FQDN-krav/programregler
| Protokoll | Port | FQDN | beskrivning |
|---|---|---|---|
| TCP | 443 |
mcr.microsoft.com |
Microsoft Container Registry (MCR). |
| TCP | 443 |
*.cdn.mscr.io |
MCR-lagring som backas upp av Azure Content Delivery Network (CDN). |
| TCP | 443 |
*.data.mcr.microsoft.com |
MCR-lagring som backas upp av Azure CDN. |
Utgående med FQDN för programprestandahantering från tredje part (valfritt)
| Protokoll | Port | FQDN | beskrivning |
|---|---|---|---|
| TCP | 443/80 |
collector*.newrelic.com |
De nätverk som krävs för APM-agenter (New Relic application and performance monitoring) från regionen USA. Se APM-agentnätverk. |
| TCP | 443/80 |
collector*.eu01.nr-data.net |
De nätverk som krävs av APM-agenter från EU-regionen. Se APM-agentnätverk. |
| TCP | 443 |
*.live.dynatrace.com |
Det nödvändiga nätverket av Dynatrace APM-agenter. |
| TCP | 443 |
*.live.ruxit.com |
Det nödvändiga nätverket av Dynatrace APM-agenter. |
| TCP | 443/80 |
*.saas.appdynamics.com |
Det nödvändiga nätverket av AppDynamics APM-agenter. Se SaaS-domäner och IP-intervall. |
Att tänka på
- Om du kör HTTP-servrar kan du behöva lägga till portar
80och443. - Att lägga till neka-regler för vissa portar och protokoll med lägre prioritet än
65000vad som kan orsaka avbrott i tjänsten och oväntat beteende.