Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo integrar el entorno de Azure Container Apps con Azure Firewall mediante rutas definidas por el usuario (UDR). Con UDR, puede controlar cómo se enruta el tráfico dentro de la red virtual. Puede enrutar todo el tráfico saliente desde las aplicaciones de contenedor a través de Azure Firewall, que proporciona un punto central para supervisar el tráfico y aplicar directivas de seguridad. Esta configuración ayuda a proteger las aplicaciones de contenedor frente a posibles amenazas. También ayuda a cumplir los requisitos de cumplimiento proporcionando registros detallados y funcionalidades de supervisión.
Rutas definidas por el usuario (UDR)
Las rutas definidas por el usuario (UDR) y la salida controlada a través de NAT Gateway solo se admiten en un entorno de perfiles de carga de trabajo.
Puede usar UDR para restringir el tráfico saliente de la aplicación de contenedor a través de Azure Firewall u otros dispositivos de red. Para más información, consulte Control del tráfico saliente en Azure Container Apps con rutas definidas por el usuario.
La configuración de UDR se realiza fuera del ámbito del entorno de Container Apps.
Azure crea una tabla de rutas predeterminada para las redes virtuales al crearla. Al implementar una tabla de rutas definida por el usuario, puede controlar cómo se enruta el tráfico dentro de la red virtual. Por ejemplo, puede crear una UDR que restrinja el tráfico saliente de la aplicación de contenedor mediante el enrutamiento a Azure Firewall.
Al usar UDR con Azure Firewall en Azure Container Apps, debe agregar las siguientes reglas de aplicación o red a la lista de permitidos del firewall, en función de los recursos que use.
Nota:
Solo tiene que configurar reglas de aplicación o reglas de red, en función de los requisitos del sistema. No es necesario configurar ambos al mismo tiempo.
Reglas de aplicación
Las reglas de aplicación permiten o deniegan el tráfico en función del nivel de aplicación. Las siguientes reglas de aplicación de firewall de salida son necesarias en función del escenario.
| Escenarios | nombre de dominio completo (FQDN) | Descripción |
|---|---|---|
| Todas las situaciones |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Azure Container Apps usa estos FQDN para Microsoft Container Registry (MCR). Estas reglas de aplicación o las reglas de red para MCR deben agregarse a la lista de permitidos al usar Azure Container Apps con Azure Firewall. |
| Todas las situaciones |
packages.aks.azure.com, acs-mirror.azureedge.net |
El clúster de AKS subyacente requiere estos FQDN para descargar e instalar archivos binarios de Kubernetes y Azure CNI. Estas reglas de aplicación o las reglas de red para MCR deben agregarse a la lista de permitidos al usar Azure Container Apps con Azure Firewall. Para más información, consulte los FQDN necesarios/reglas de aplicación de Azure Global |
| Azure Container Registry (ACR) |
Your-ACR-address, *.blob.core.windows.net, login.microsoft.com |
Estos FQDN son necesarios al usar Azure Container Apps con ACR y Azure Firewall. |
| Azure Key Vault |
Tu dirección de Azure Key Vault, login.microsoft.com |
Estos FQDN son necesarios además de la etiqueta de servicio necesaria para la regla de red para Azure Key Vault. |
| Identidad administrada |
*.identity.azure.net, login.microsoftonline.com, , *.login.microsoftonline.com, *.login.microsoft.com |
Estos FQDN son necesarios cuando se usa la identidad administrada con Azure Firewall en Azure Container Apps. |
| Panel de Aspire | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Este FQDN es necesario cuando se usa el panel Aspire en un entorno configurado con una red virtual. Actualice el FQDN con la región de la aplicación contenedora. |
| Registro de Docker Hub |
hub.docker.com, , registry-1.docker.io, production.cloudflare.docker.com |
Si usa el registro de Docker Hub y quiere acceder a él a través del firewall, debe agregar estos FQDN al firewall. |
Reglas de red
Las reglas de red permiten o deniegan el tráfico en función de la capa de red y transporte. Al usar UDR con Azure Firewall en Azure Container Apps, debe agregar las siguientes reglas de red de firewall de salida en función del escenario.
| Escenarios | Etiqueta de servicio | Descripción |
|---|---|---|
| Todas las situaciones |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Azure Container Apps usa estas etiquetas de servicio para Microsoft Container Registry (MCR). Estas reglas de red o las reglas de aplicación para MCR deben agregarse a la lista de permitidos al usar Azure Container Apps con Azure Firewall. |
| Azure Container Registry (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
Al usar ACR con Azure Container Apps, debe configurar estas reglas de red usadas por Azure Container Registry. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Estas etiquetas de servicio son necesarias además del FQDN para la regla de red de Azure Key Vault. |
| Identidad administrada | AzureActiveDirectory |
Al usar la identidad administrada con Azure Container Apps, deberá configurar estas reglas de red usadas por la identidad administrada. |
Nota:
Para los recursos de Azure que usas con Azure Firewall y que no aparecen en este artículo, consulta la documentación de etiquetas de servicio.