Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
注意
基本计划和标准计划于 2025 年 3 月 17 日进入退休期。 有关详细信息,请参阅 Azure Spring Apps 停用公告。
本文包括有关在虚拟网络中使用Azure Spring Apps的规范。
在虚拟网络中部署Azure Spring Apps时,它对虚拟网络外部的服务具有出站依赖项。 出于管理和操作目的,Azure Spring Apps必须访问某些端口和完全限定的域名(FQDN)。 Azure Spring Apps要求这些终结点与管理平面通信,并下载并安装核心 Kubernetes 群集组件和安全更新。
默认情况下,Azure Spring Apps具有不受限制的出站(出口)Internet 访问。 此级别的网络访问权限允许你运行的应用程序根据需要访问外部资源。 如果你希望限制出口流量,则有限数量的端口和地址必须可供访问,以便执行维护任务。 保护出站地址的最简单解决方案是使用可基于域名控制出站流量的防火墙设备。 例如,Azure 防火墙可以根据目标的 FQDN 限制出站 HTTP 和 HTTPS 流量。 还可配置首选的防火墙和安全规则,以允许所需的端口和地址。
Azure Spring Apps资源要求
以下列表显示了Azure Spring Apps服务的资源要求。 作为一般要求,不应修改由Azure Spring Apps和基础网络资源创建的资源组。
- 请勿修改由Azure Spring Apps创建的和拥有的资源组。
- 默认情况下,这些资源组命名为
ap-svc-rt_<service-instance-name>_<region>*和ap_<service-instance-name>_<region>*。 - 不要阻止Azure Spring Apps更新这些资源组中的资源。
- 默认情况下,这些资源组命名为
- 不要修改Azure Spring Apps使用的子网。
- 不要在同一子网中创建多个Azure Spring Apps服务实例。
- 使用防火墙控制流量时,不要阻止以出流量,以Azure Spring Apps运行、维护和支持服务实例的组件。
Azure全局所需的网络规则
| 目标终结点 | 端口 | 使用 | 注意 |
|---|---|---|---|
| *:443 或 ServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps服务管理。 | 有关服务实例 requiredTraffics 的信息,请查看 networkProfile 部分下的资源有效负载。 |
| *.azurecr.io:443 或 ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure 容器注册表。 | 可以通过在虚拟网络中启用 Azure 容器注册表service endpoint 来替换。 |
| *.core.chinacloudapi.cn:443 and *.core.chinacloudapi.cn:445 或 ServiceTag - Storage:443 和 Storage:445 | TCP:443、TCP:445 | Azure 文件存储 | 可以通过在虚拟网络中启用 Azure 存储service endpoint 来替换。 |
| *.servicebus.chinacloudapi.cn:443 或 ServiceTag - EventHub:443 | TCP:443 | Azure 事件中心。 | 可以通过在虚拟网络中启用 Azure 事件中心service endpoint 来替换。 |
| *.prod.microsoftmetrics.com:443 或 ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor。 | 允许出站调用Azure Monitor。 |
Azure全局必需的 FQDN/应用程序规则
Azure 防火墙提供 FQDN 标记AzureKubernetesService以简化以下配置:
| 目标 FQDN | 端口 | 使用 |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | 基础 Kubernetes 群集管理。 |
| mcr.microsoft.com | HTTPS:443 | Microsoft容器注册表(MCR)。 |
| *.data.mcr.microsoft.com | HTTPS:443 | 由Azure CDN支持的 MCR 存储。 |
| management.chinacloudapi.cn | HTTPS:443 | 基础 Kubernetes 群集管理。 |
| login.partner.microsoftonline.cn | HTTPS:443 | Microsoft Entra身份验证。 |
| packages.microsoft.com | HTTPS:443 | Microsoft包存储库。 |
| acs-mirror.azureedge.net | HTTPS:443 | 安装所需的二进制文件(如 kubenet 和 Azure CNI)所需的存储库。 |
由世纪互联运营Microsoft Azure所需的网络规则
| 目标终结点 | 端口 | 使用 | 注意 |
|---|---|---|---|
| *:443 或 ServiceTag - AzureCloud:443 | TCP:443 | Azure Spring Apps服务管理。 | 有关服务实例 requiredTraffics 的信息,请查看 networkProfile 部分下的资源有效负载。 |
| *.azurecr.cn:443 或 ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure 容器注册表。 | 可以通过在虚拟网络中启用 Azure 容器注册表service endpoint 来替换。 |
| *.core.chinacloudapi.cn:443 and *.core.chinacloudapi.cn:445 或 ServiceTag - Storage:443 和 Storage:445 | TCP:443、TCP:445 | Azure 文件存储 | 可以通过在虚拟网络中启用 Azure 存储service endpoint 来替换。 |
| *.servicebus.chinacloudapi.cn:443 或 ServiceTag - EventHub:443 | TCP:443 | Azure 事件中心。 | 可以通过在虚拟网络中启用 Azure 事件中心service endpoint 来替换。 |
| *.prod.microsoftmetrics.com:443 或 ServiceTag - AzureMonitor:443 | TCP:443 | Azure Monitor。 | 允许出站调用Azure Monitor。 |
由世纪互联运营的Microsoft Azure需要 FQDN/应用程序规则
Azure 防火墙提供 FQDN 标记 AzureKubernetesService来简化以下配置:
| 目标 FQDN | 端口 | 使用 |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | 基础 Kubernetes 群集管理。 |
| mcr.microsoft.com | HTTPS:443 | Microsoft容器注册表(MCR)。 |
| *.data.mcr.microsoft.com | HTTPS:443 | 由Azure CDN支持的 MCR 存储。 |
| management.chinacloudapi.cn | HTTPS:443 | 基础 Kubernetes 群集管理。 |
| login.chinacloudapi.cn | HTTPS:443 | Microsoft Entra身份验证。 |
| packages.microsoft.com | HTTPS:443 | Microsoft包存储库。 |
| *.azk8s.cn | HTTPS:443 | 安装所需的二进制文件(如 kubenet 和 Azure CNI)所需的存储库。 |
Azure Spring Apps可选的 FQDN 进行第三方应用程序性能管理
| 目标 FQDN | 端口 | 使用 |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | 美国区域的 New Relic APM 代理所需的网络,另请参阅 APM 代理网络。 |
| collector*.eu01.nr-data.net | TCP:443/80 | 欧洲区域的 New Relic APM 代理所需的网络,另请参阅 APM 代理网络。 |
| *.live.dynatrace.com | TCP:443 | Dynatrace APM 代理所需的网络。 |
| *.live.ruxit.com | TCP:443 | Dynatrace APM 代理所需的网络。 |
| *.saas.appdynamics.com | TCP:443/80 | AppDynamics APM 代理的必需网络,另请参阅 SaaS 域和 IP 范围。 |
Azure Spring Apps Application Insights 的可选 FQDN
需要在服务器防火墙中打开某些传出端口,允许 Application Insights SDK 或 Application Insights 代理将数据发送到门户。 有关详细信息,请参阅 IP 地址的 Outgoing 端口部分Azure Monitor。
VirtualNetwork 服务标记
Azure网络安全组可以筛选Azure虚拟网络中的网络流量。 使用 VirtualNetwork 服务标记启用入站网络流量时,它会自动包含工作负载虚拟网络和任何对等互连的传输虚拟网络的所有 IP 地址范围。
对于在Azure Kubernetes 服务 (AKS)上运行的Azure Spring Apps,AKS 基础结构管理所有 AKS 节点池上工作负荷的 IP 地址前缀。 这些前缀隐式包含在 VirtualNetwork 服务标记中。 这种设计确保应用程序在虚拟网络内保持可访问性,即使它们的 IP 地址不在虚拟网络的已定义 IP 范围内。
如果决定不允许使用 VirtualNetwork 服务标记的流量,则必须配置特定规则,以允许Azure Spring Apps服务运行时子网与应用子网之间的通信。 此外,需要显式允许来自基础 AKS 基础结构使用的Azure Spring Apps无类 Inter-Domain 路由(CIDR)范围的流量。 不能仅将 CIDR 范围的一部分添加到允许列表中,因为工作负载的地址前缀是动态的。