Azure Spring Apps'i sanal ağda çalıştırmak için müşteri sorumlulukları
Not
Temel, Standart ve Kurumsal planları, 3 yıllık kullanımdan kaldırma süresiyle Mart 2025 ortasından itibaren kullanımdan kaldırılacaktır. Azure Container Apps'e geçiş yapmanızı öneririz. Daha fazla bilgi için bkz . Azure Spring Apps kullanımdan kaldırma duyurusu.
Standart tüketim ve ayrılmış plan, altı ay sonra tamamen kapatılarak 30 Eylül 2024'den itibaren kullanımdan kaldırılacaktır. Azure Container Apps'e geçiş yapmanızı öneririz. Daha fazla bilgi için bkz . Azure Spring Apps Standart tüketimini ve ayrılmış planı Azure Container Apps'e geçirme.
Bu makale şunlar için geçerlidir: ✔️ Temel/Standart ✔️ Kurumsal
Bu makale, Azure Spring Apps'in bir sanal ağda kullanımına yönelik belirtimleri içerir.
Azure Spring Apps sanal ağınıza dağıtıldığında, sanal ağın dışındaki hizmetlere giden bağımlılıkları olur. Yönetim ve işletim amaçları doğrultusunda Azure Spring Apps'in belirli bağlantı noktalarına ve tam etki alanı adlarına (FQDN) erişmesi gerekir. Azure Spring Apps, bu uç noktaların yönetim düzlemiyle iletişim kurmasını ve çekirdek Kubernetes kümesi bileşenlerini ve güvenlik güncelleştirmelerini indirip yüklemesini gerektirir.
Varsayılan olarak, Azure Spring Apps sınırsız giden (çıkış) İnternet erişimine sahiptir. Bu ağ erişimi düzeyi, çalıştırdığınız uygulamaların gerektiğinde dış kaynaklara erişmesini sağlar. Çıkış trafiğini kısıtlamak istiyorsanız, bakım görevleri için sınırlı sayıda bağlantı noktası ve adres erişilebilir olmalıdır. Giden adreslerin güvenliğini sağlamak için en basit çözüm, etki alanı adlarına göre giden trafiği denetleyebilen bir güvenlik duvarı cihazı kullanmaktır. Örneğin Azure Güvenlik Duvarı, giden HTTP ve HTTPS trafiğini hedefin FQDN'sine göre kısıtlayabilir. Ayrıca bu gerekli bağlantı noktalarına ve adreslere izin vermek için tercih ettiğiniz güvenlik duvarını ve güvenlik kurallarını yapılandırabilirsiniz.
Azure Spring Apps kaynak gereksinimleri
Aşağıdaki listede Azure Spring Apps hizmetleri için kaynak gereksinimleri gösterilmektedir. Genel bir gereksinim olarak, Azure Spring Apps tarafından oluşturulan kaynak gruplarını ve temel alınan ağ kaynaklarını değiştirmemelisiniz.
- Azure Spring Apps tarafından oluşturulan ve sahip olunan kaynak gruplarını değiştirmeyin.
- Varsayılan olarak, bu kaynak grupları ve
ap_<service-instance-name>_<region>*olarak adlandırılırap-svc-rt_<service-instance-name>_<region>*. - Azure Spring Apps'in bu kaynak gruplarındaki kaynakları güncelleştirmelerini engellemeyin.
- Varsayılan olarak, bu kaynak grupları ve
- Azure Spring Apps tarafından kullanılan alt ağları değiştirmeyin.
- Aynı alt ağda birden fazla Azure Spring Apps hizmet örneği oluşturmayın.
- Trafiği denetlemek için güvenlik duvarı kullanırken hizmet örneğini çalıştıran, koruyan ve destekleyen Azure Spring Apps bileşenlerine yönelik aşağıdaki çıkış trafiğini engellemeyin.
Azure Genel gerekli ağ kuralları
| Hedef uç nokta | Bağlantı noktası | Kullanma | Not |
|---|---|---|---|
| *:443 veya ServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps Hizmet Yönetimi. | Hizmet örneği requiredTrafficshakkında bilgi için bölümünün altındaki kaynak yüküne networkProfile bakın. |
| *.azurecr.io:443 veya ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Sanal ağda Azure Container Registry hizmet uç noktası etkinleştirilerek değiştirilebilir. |
| *.core.windows.net:443 ve *.core.windows.net:445 veya ServiceTag - Depolama:443 ve Depolama:445 | TCP:443, TCP:445 | Azure Dosyaları | Sanal ağda Azure Depolama hizmet uç noktası etkinleştirilerek değiştirilebilir. |
| *.servicebus.windows.net:443 veya ServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs. | Sanal ağda Azure Event Hubs hizmet uç noktası etkinleştirilerek değiştirilebilir. |
| *.prod.microsoftmetrics.com:443 veya ServiceTag - AzureMonitor:443 | TCP:443 | Azure İzleyici. | Azure İzleyici'ye giden çağrılara izin verir. |
Azure Global gerekli FQDN /uygulama kuralları
Azure Güvenlik Duvarı FQDN etiketini sağlarAşağıdaki yapılandırmaları basitleştirmek için AzureKubernetesService:
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Temel Kubernetes Kümesi yönetimi. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Azure CDN tarafından yedeklenen MCR depolama. |
| management.azure.com | HTTPS:443 | Temel Kubernetes Kümesi yönetimi. |
| login.microsoftonline.com | HTTPS:443 | Microsoft Entra kimlik doğrulaması. |
| packages.microsoft.com | HTTPS:443 | Microsoft paketleri deposu. |
| acs-mirror.azureedge.net | HTTPS:443 | Kubenet ve Azure CNI gibi gerekli ikili dosyaları yüklemek için gereken depo. |
21Vianet tarafından sağlanan Microsoft Azure gerekli ağ kuralları
| Hedef uç nokta | Bağlantı noktası | Kullanma | Not |
|---|---|---|---|
| *:443 veya ServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps Hizmet Yönetimi. | Hizmet örneği requiredTrafficshakkında bilgi için bölümünün altındaki kaynak yüküne networkProfile bakın. |
| *.azurecr.cn:443 veya ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Sanal ağda Azure Container Registry hizmet uç noktası etkinleştirilerek değiştirilebilir. |
| *.core.chinacloudapi.cn:443 ve *.core.chinacloudapi.cn:445 veya ServiceTag - Depolama:443 ve Depolama:445 | TCP:443, TCP:445 | Azure Dosyaları | Sanal ağda Azure Depolama hizmet uç noktası etkinleştirilerek değiştirilebilir. |
| *.servicebus.chinacloudapi.cn:443 veya ServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs. | Sanal ağda Azure Event Hubs hizmet uç noktası etkinleştirilerek değiştirilebilir. |
| *.prod.microsoftmetrics.com:443 veya ServiceTag - AzureMonitor:443 | TCP:443 | Azure İzleyici. | Azure İzleyici'ye giden çağrılara izin verir. |
21Vianet tarafından sağlanan Microsoft Azure gerekli FQDN / uygulama kuralları
Azure Güvenlik Duvarı aşağıdaki yapılandırmaları basitleştirmek için FQDN etiketini AzureKubernetesService sağlar:
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Temel Kubernetes Kümesi yönetimi. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Azure CDN tarafından yedeklenen MCR depolama. |
| management.chinacloudapi.cn | HTTPS:443 | Temel Kubernetes Kümesi yönetimi. |
| login.chinacloudapi.cn | HTTPS:443 | Microsoft Entra kimlik doğrulaması. |
| packages.microsoft.com | HTTPS:443 | Microsoft paketleri deposu. |
| *.azk8s.cn | HTTPS:443 | Kubenet ve Azure CNI gibi gerekli ikili dosyaları yüklemek için gereken depo. |
Üçüncü taraf uygulama performansı yönetimi için Azure Spring Apps isteğe bağlı FQDN
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
| toplayıcı*.newrelic.com | TCP:443/80 | ABD bölgesinden New Relic APM aracılarının gerekli ağları da bkz . APM Aracıları Ağları. |
| collector*.eu01.nr-data.net | TCP:443/80 | AB bölgesinden New Relic APM aracılarının gerekli ağları da bkz . APM Aracıları Ağları. |
| *.live.dynatrace.com | TCP:443 | Dynatrace APM aracılarının gerekli ağı. |
| *.live.ruxit.com | TCP:443 | Dynatrace APM aracılarının gerekli ağı. |
| *.saas.appdynamics.com | TCP:443/80 | Gerekli AppDynamics APM aracıları ağı, ayrıca bkz . SaaS Etki Alanları ve IP Aralıkları. |
Application Insights için Azure Spring Apps isteğe bağlı FQDN
Application Insights SDK'sının veya Application Insights Aracısı'nın portala veri göndermesine izin vermek için sunucunuzun güvenlik duvarında bazı giden bağlantı noktalarını açmanız gerekir. Daha fazla bilgi için Azure İzleyici tarafından kullanılan IP adreslerinin Giden bağlantı noktaları bölümüne bakın.