Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Ao implantar um aplicativo em contêineres, normalmente você usa o protocolo HTTPS para comunicação criptografada e segura. A comunicação segura é implementada pelo TLS (Transport Layer Security), que substitui o método anterior usando SSL (Secure Sockets Layer).
Pré-requisitos
- Área de Trabalho do Docker ou Podman Desktop.
- Visual Studio ou para suporte ao Podman, Visual Studio 2026, com a carga de trabalho ASP.NET e desenvolvimento web, desenvolvimento do Azure e/ou desenvolvimento de desktop do .NET instalada.
Pré-requisitos
- Área de Trabalho do Docker.
- Visual Studio com o ASP.NET e desenvolvimento na Web, carga de trabalho de desenvolvimento do Azure e/ou carga de trabalho de desenvolvimento da área de trabalho do .NET instalada.
Certificados de Devtest
Durante o desenvolvimento, o Visual Studio usa um certificado autoassinado, às vezes chamado de certificado devtest. Você recebe um prompt solicitando que você confie no certificado quando iniciar o aplicativo em seu computador local pela primeira vez. Isso é aceitável para desenvolvimento e teste, mas quando você implanta no Azure e expõe seu aplicativo em um domínio personalizado, você precisa alternar para um certificado emitido por uma AC (Autoridade de Certificação), a Azure ou uma AC de terceiros.
Segurança para opções de implantação no Azure
Muitos serviços do Azure simplificam a carga de configuração e gerenciamento manipulando o gerenciamento de certificados automaticamente. A configuração e o procedimento para configurar o TLS para contêineres no Azure dependem do serviço no qual você implanta.
Em geral, os serviços do Azure podem dar suporte a várias maneiras de obter e armazenar certificados. Você pode obter certificados confiáveis da AC (autoridade de certificação) do Azure ou carregar certificados confiáveis privados emitidos por uma AC de terceiros. Você pode usar o próprio repositório de certificados do serviço ou usar o Azure Key Vault para armazenar o certificado, juntamente com outros segredos.
A tabela a seguir mostra os serviços e inclui links que explicam como a segurança HTTPS funciona quando você implanta esses serviços e guias de instruções para gerenciar os certificados.
| Serviço do Azure | Anotações |
|---|---|
| Serviço de Aplicativo do Azure | O Serviço de Aplicativo do Azure é um serviço de implantação adequado para um único contêiner que fornece uma experiência padrão que significa que você obtém um ponto de extremidade seguro com um certificado confiável fornecido pelo Azure sem nenhuma sobrecarga adicional. Para um controle maior, você pode escolher entre várias opções para obter e armazenar o certificado. Você pode usar seu próprio certificado confiável obtido de uma AC de terceiros em vez do certificado confiável padrão fornecido pelo Azure. Opcionalmente, você pode armazenar certificados no Azure Key Vault. Consulte Visão geral do TLS do Serviço de Aplicativo. |
| Aplicativos de Contêiner do Azure | Os Aplicativos de Contêiner do Azure são um serviço de hospedagem adequado para aplicativos em contêineres usando um ou mais contêineres. Assim como o Serviço de Aplicativo do Azure, ele fornece uma experiência padrão que usa certificados confiáveis fornecidos pelo Azure automaticamente, mas também fornece uma variedade de opções de arquitetura de rede para dar suporte a diferentes cenários. Consulte Rede nos Aplicativos de Contêiner do Azure. |
| Instâncias do Contêiner do Azure | Para configurar o ponto de extremidade público HTTPS de um contêiner hospedado nas Instâncias do Contêiner do Azure, consulte Habilitar um ponto de extremidade TLS em um contêiner de sidecar. Essa opção minimiza o impacto no próprio contêiner. |
| Serviço de Kubernetes do Azure (AKS) | Consulte as diretrizes na documentação do AKS para configurar o TLS em uma entrada no seu cluster. O AKS fornece os recursos de gerenciamento mais avançados, tratando a rotação e a renovação de certificados com flexibilidade máxima. |
| Serviço do Azure | Anotações |
|---|---|
| Serviço de Aplicativo do Azure | O Serviço de Aplicativo do Azure é um serviço de implantação adequado para um único contêiner que fornece uma experiência padrão que significa que você obtém um ponto de extremidade seguro com um certificado confiável fornecido pelo Azure sem nenhuma sobrecarga adicional. Para um controle maior, você pode escolher entre várias opções para obter e armazenar o certificado. Você pode usar seu próprio certificado confiável obtido de uma AC de terceiros em vez do certificado confiável padrão fornecido pelo Azure. Opcionalmente, você pode armazenar certificados no Azure Key Vault. Consulte Visão geral do TLS do Serviço de Aplicativo. |
| Aplicativos de Contêiner do Azure | Os Aplicativos de Contêiner do Azure são um serviço de hospedagem adequado para aplicativos em contêineres usando um ou mais contêineres. Assim como o Serviço de Aplicativo do Azure, ele fornece uma experiência padrão que usa certificados confiáveis fornecidos pelo Azure automaticamente, mas também fornece uma variedade de opções de arquitetura de rede para dar suporte a diferentes cenários. Consulte Rede nos Aplicativos de Contêiner do Azure. |
| Instâncias do Contêiner do Azure | Para configurar o ponto de extremidade público HTTPS de um contêiner hospedado nas Instâncias do Contêiner do Azure, consulte Habilitar um ponto de extremidade TLS em um contêiner de sidecar. Essa opção minimiza o impacto no próprio contêiner. |
| Service Fabric | Consulte a Segurança de aplicativos e serviços do Service Fabric. Normalmente, você configura um proxy reverso para lidar com a segurança para solicitações de entrada. Consulte Proxy reverso no Azure Service Fabric. |
| Serviço de Kubernetes do Azure (AKS) | Consulte as diretrizes na documentação do AKS para configurar o TLS em uma entrada no seu cluster. O AKS fornece os recursos de gerenciamento mais avançados, tratando a rotação e a renovação de certificados com flexibilidade máxima. |
Opções de segurança de rede para vários contêineres
Se o cenário envolver vários contêineres, você terá a opção de proteger somente o tráfego de entrada (ou seja, no balanceador de carga voltado externamente ou proxy reverso) ou poderá aplicar comunicações seguras entre cada contêiner no aplicativo. A última opção fornece segurança para camadas mais profundas do sistema, mesmo que haja uma violação na camada externa. O uso de HTTPS para toda a comunicação de contêiner para contêiner está fora do escopo deste artigo.
Para aplicativos de contêiner do Azure, você pode configurar a entrada que usa HTTPS para chamadores externos e, dentro da rede de vários contêineres, usar HTTP ou TCP. Para uma comunicação segura entre contêineres, você pode usar mTLS (TLS mútuo), que exige certificados em ambos os lados de uma solicitação, cliente e servidor ou entre microsserviços. Consulte Entrada nos Aplicativos de Contêiner do Azure e Configurar a autenticação do certificado do cliente nos Aplicativos de Contêiner do Azure.