Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano sposób integrowania środowiska usługi Azure Container Apps z usługą Azure Firewall przy użyciu tras zdefiniowanych przez użytkownika (UDR). Korzystając z UDR (tras zdefiniowanych przez użytkownika), możesz kontrolować sposób kierowania ruchu w sieci wirtualnej. Cały ruch wychodzący można kierować z aplikacji kontenera za pośrednictwem usługi Azure Firewall, co zapewnia centralny punkt monitorowania ruchu i stosowania zasad zabezpieczeń. Ta konfiguracja pomaga chronić aplikacje kontenera przed potencjalnymi zagrożeniami. Pomaga również spełnić wymagania dotyczące zgodności, zapewniając szczegółowe dzienniki i możliwości monitorowania.
Trasy zdefiniowane przez użytkownika (UDR)
Trasy zdefiniowane przez użytkownika (UDR) i kontrolowany ruch wychodzący za pośrednictwem bramy NAT są obsługiwane tylko w środowisku profili obciążeniowych.
Możesz używać UDR do ograniczenia ruchu wychodzącego z aplikacji kontenerowej poprzez Azure Firewall lub inne urządzenia sieciowe. Aby uzyskać więcej informacji, zobacz Kontrolowanie ruchu wychodzącego w usłudze Azure Container Apps przy użyciu tras zdefiniowanych przez użytkownika.
Konfigurowanie tras definiowanych przez użytkownika (UDR) odbywa się poza zakresem środowiska usługi Container Apps.
Platforma Azure tworzy domyślną tabelę tras dla sieci wirtualnych podczas tworzenia. Implementując tabelę tras zdefiniowaną przez użytkownika, możesz kontrolować sposób kierowania ruchu w sieci wirtualnej. Możesz na przykład utworzyć trasę zdefiniowaną przez użytkownika (UDR), która ogranicza ruch wychodzący z aplikacji kontenerowej, kierując go do Azure Firewall.
Podczas korzystania z UDR z Azure Firewall w aplikacjach kontenerowych Azure, należy dodać następujące reguły aplikacyjne lub sieciowe do listy dozwolonych dla zapory, w zależności od tego, które zasoby są używane.
Uwaga / Notatka
Musisz skonfigurować tylko reguły aplikacji lub reguły sieci, w zależności od wymagań systemu. Skonfigurowanie obu w tym samym czasie nie jest konieczne.
Reguły aplikacji
Reguły aplikacji zezwalają na ruch lub odmawiają go na podstawie warstwy aplikacji. Następujące reguły aplikacji zapory dla ruchu wychodzącego są wymagane na podstawie scenariusza.
| Scenariusze | Pełne nazwy domenowe (FQDN) | Opis |
|---|---|---|
| Wszystkie scenariusze |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Te nazwy FQDN dla usługi Microsoft Container Registry (MCR) są używane przez usługę Azure Container Apps. Te reguły aplikacji lub reguły sieci dla mcR muszą zostać dodane do listy dozwolonych podczas korzystania z usługi Azure Container Apps z usługą Azure Firewall. |
| Wszystkie scenariusze |
packages.aks.azure.com, acs-mirror.azureedge.net |
Te FQDN-y są wymagane przez podstawowy klaster AKS do pobierania i instalowania binariów Kubernetes i Azure CNI. Te reguły aplikacji lub reguły sieci dla mcR muszą zostać dodane do listy dozwolonych podczas korzystania z usługi Azure Container Apps z usługą Azure Firewall. Aby uzyskać więcej informacji, zobacz wymagane globalne reguły aplikacji / FQDN w usłudze Azure |
| Azure Container Registry (ACR) |
Twój adres ACR, , *.blob.core.windows.netlogin.microsoft.com |
Te FQDN są wymagane podczas korzystania z Azure Container Apps z ACR i Azure Firewall. |
| Azure Key Vault |
Your-Azure-Key-Vault-address, login.microsoft.com |
Te nazwy FQDN są wymagane oprócz tagu usługi wymaganego dla reguły sieciowej dla usługi Azure Key Vault. |
| Zarządzana Tożsamość |
*.identity.azure.net, , login.microsoftonline.com, , *.login.microsoftonline.com*.login.microsoft.com |
Te FQDN są wymagane podczas korzystania z zarządzanej tożsamości z Azure Firewall w Azure Container Apps. |
| Aspire kokpit | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Ta FQDN jest wymagana w przypadku korzystania z pulpitu nawigacyjnego Aspire w środowisku skonfigurowanym z wirtualną siecią. Zaktualizuj FQDN w oparciu o region swojej aplikacji kontenerowej. |
| Rejestr usługi Docker Hub |
hub.docker.com, registry-1.docker.ioproduction.cloudflare.docker.com |
Jeśli używasz rejestru usługi Docker Hub i chcesz uzyskać do niego dostęp za pośrednictwem zapory, musisz dodać te nazwy FQDN do zapory. |
Reguły sieci
Reguły sieci zezwalają na ruch lub odmawiają go na podstawie warstwy sieci i transportu. W przypadku korzystania z UDR (trasą zdefiniowaną przez użytkownika) z Azure Firewall w Azure Container Apps, należy dodać następujące reguły sieci zapory ruchu wychodzącego na podstawie scenariusza.
| Scenariusze | Tag usługi | Opis |
|---|---|---|
| Wszystkie scenariusze |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Te tagi usługi dla Microsoft Container Registry (MCR) są używane przez Azure Container Apps. Te reguły sieci lub reguły aplikacji dla mcR muszą zostać dodane do listy dozwolonych podczas korzystania z usługi Azure Container Apps z usługą Azure Firewall. |
| Azure Container Registry (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
W przypadku korzystania z usługi ACR z usługą Azure Container Apps należy skonfigurować te reguły sieciowe używane przez usługę Azure Container Registry. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Wymagane są service tags, oprócz FQDN (pełna nazwa domeny), w regule sieciowej usługi Azure Key Vault. |
| Zarządzana Tożsamość | AzureActiveDirectory |
W przypadku korzystania z tożsamości zarządzanej z usługą Azure Container Apps należy skonfigurować te reguły sieciowe używane przez tożsamość zarządzaną. |
Uwaga / Notatka
W przypadku zasobów platformy Azure używanych z usługą Azure Firewall, których nie wymieniono w tym artykule, zapoznaj się z dokumentacją tagów usługi.