Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo informa como integrar seu ambiente de Aplicativos de Contêiner do Azure ao Firewall do Azure usando UDR (rotas definidas pelo usuário). Usando a UDR, você pode controlar como o tráfego é roteado em sua rede virtual. Você pode rotear todo o tráfego de saída de seus aplicativos de contêiner por meio do Firewall do Azure, que fornece um ponto central para monitorar o tráfego e aplicar políticas de segurança. Essa configuração ajuda a proteger seus aplicativos de contêiner contra possíveis ameaças. Ele também ajuda a atender aos requisitos de conformidade fornecendo logs detalhados e recursos de monitoramento.
UDR (rotas definidas pelo usuário)
As UDR (Rotas Definidas pelo Usuário) e a saída controlada por meio do Gateway de NAT têm suporte apenas em um ambiente de perfis de carga de trabalho.
Você pode usar a UDR para restringir o tráfego de saída de seu aplicativo de contêiner por meio do Firewall do Azure ou de outros dispositivos de rede. Para obter mais informações, consulte Controlar o tráfego de saída nos Aplicativos de Contêiner do Azure com rotas definidas pelo usuário.
A configuração da UDR é feita fora do escopo do ambiente de Aplicativos de Contêiner.
O Azure cria uma tabela de rotas padrão para suas redes virtuais após a criação. Ao implementar uma tabela de rotas definida pelo usuário, você pode controlar como o tráfego é roteado em sua rede virtual. Por exemplo, você pode criar uma UDR que restringe o tráfego de saída de seu aplicativo de contêiner roteando-o para o Firewall do Azure.
Ao usar a UDR com o Firewall do Azure nos Aplicativos de Contêiner do Azure, você deve adicionar as seguintes regras de aplicativo ou rede à lista de permissões do firewall, dependendo de quais recursos você está usando.
Observação
Você só precisa configurar regras de aplicativo ou regras de rede, dependendo dos requisitos do sistema. Não é necessário configurar ambos ao mesmo tempo.
Regras do aplicativo
As regras de aplicativo permitem ou negam o tráfego com base na camada do aplicativo. As seguintes regras de aplicativo de firewall de saída são necessárias com base no cenário.
| Cenários | FQDNs | Descrição |
|---|---|---|
| Todos os cenários |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Esses FQDNs para o MCR (Registro de Contêiner da Microsoft) são usados pelos Aplicativos de Contêiner do Azure. Essas regras de aplicativo ou as regras de rede para MCR devem ser adicionadas à lista de permissões ao usar aplicativos de contêiner do Azure com o Firewall do Azure. |
| Todos os cenários |
packages.aks.azure.com, acs-mirror.azureedge.net |
Esses FQDNs são exigidos pelo cluster do AKS subjacente para baixar e instalar binários de CNI do Kubernetes e do Azure. Essas regras de aplicativo ou as regras de rede para MCR devem ser adicionadas à lista de permissões ao usar aplicativos de contêiner do Azure com o Firewall do Azure. Para obter mais informações, consulte as regras de FQDN/aplicativo necessárias para o Azure Global |
| Registro de Contêiner do Azure (ACR) |
Seu endereço ACR, *.blob.core.windows.netlogin.microsoft.com |
Esses FQDNs são necessários ao usar Aplicativos de Contêiner do Azure com o ACR e o Firewall do Azure. |
| Azure Key Vault |
Seu endereço do Azure-Key-Vault, login.microsoft.com |
Esses FQDNs são necessários além da marca de serviço necessária para a regra de rede do Azure Key Vault. |
| Identidade Gerenciada |
*.identity.azure.net, login.microsoftonline.com, , *.login.microsoftonline.com*.login.microsoft.com |
Esses FQDNs são necessários ao usar a identidade gerenciada com o Firewall do Azure nos Aplicativos de Contêiner do Azure. |
| Painel do Aspire | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Esse FQDN é necessário ao usar o painel do Aspire em um ambiente configurado com uma rede virtual. Atualize o FQDN com a região do aplicativo de contêiner. |
| Registro do Docker Hub |
hub.docker.com
registry-1.docker.io
production.cloudflare.docker.com
|
Se você estiver usando o registro do Docker Hub e quiser acessá-lo por meio do firewall, precisará adicionar esses FQDNs ao firewall. |
Regras de rede
As regras de rede permitem ou negam o tráfego com base na camada de rede e transporte. Ao usar a UDR com o Firewall do Azure nos Aplicativos de Contêiner do Azure, você deve adicionar as seguintes regras de rede de firewall de saída com base no cenário.
| Cenários | Etiqueta de serviço | Descrição |
|---|---|---|
| Todos os cenários |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Essas marcas de serviço para o MCR (Registro de Contêiner da Microsoft) são usadas pelos Aplicativos de Contêiner do Azure. Essas regras de rede ou as regras de aplicativo para MCR devem ser adicionadas à lista de permissões ao usar aplicativos de contêiner do Azure com o Firewall do Azure. |
| Registro de Contêiner do Azure (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
Ao usar o ACR com os Aplicativos de Contêiner do Azure, você precisa configurar essas regras de rede usadas pelo Registro de Contêiner do Azure. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Essas marcas de serviço são necessárias além do FQDN para a regra de rede do Azure Key Vault. |
| Identidade Gerenciada | AzureActiveDirectory |
Ao usar a Identidade Gerenciada com Aplicativos de Contêiner do Azure, você precisará configurar essas regras de rede usadas pela Identidade Gerenciada. |
Observação
Para os recursos do Azure que você está usando com o Firewall do Azure não listado neste artigo, consulte a documentação de marcas de serviço.