Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo informa como integrar seu ambiente de Aplicativos de Contêiner do Azure ao Firewall do Azure usando rotas definidas pelo usuário (UDR). Usando UDR, você pode controlar como o tráfego é roteado dentro de sua rede virtual. Você pode rotear todo o tráfego de saída de seus aplicativos de contêiner por meio do Firewall do Azure, que fornece um ponto central para monitorar o tráfego e aplicar políticas de segurança. Essa configuração ajuda a proteger seus aplicativos de contêiner contra ameaças potenciais. Ele também ajuda a atender aos requisitos de conformidade, fornecendo logs detalhados e recursos de monitoramento.
Rotas definidas pelo usuário (UDR)
As Rotas Definidas pelo Usuário (UDR) e a saída controlada por meio do Gateway NAT são suportadas apenas em um ambiente de perfis de carga de trabalho.
Você pode usar o UDR para restringir o tráfego de saída do seu aplicativo de contêiner por meio do Firewall do Azure ou de outros dispositivos de rede. Para obter mais informações, consulte Controlar o tráfego de saída em Aplicativos de Contêiner do Azure com rotas definidas pelo usuário.
A configuração de UDR é feita fora do âmbito do ambiente Container Apps.
O Azure cria uma tabela de rotas padrão para suas redes virtuais após a criação. Ao implementar uma tabela de rotas definida pelo usuário, você pode controlar como o tráfego é roteado em sua rede virtual. Por exemplo, você pode criar um UDR que restrinja o tráfego de saída do seu aplicativo de contêiner roteando-o para o Firewall do Azure.
Ao usar UDR com o Firewall do Azure em Aplicativos de Contêiner do Azure, você deve adicionar as seguintes regras de aplicativo ou rede à lista de permissões para seu firewall, dependendo de quais recursos você está usando.
Observação
Você só precisa configurar regras de aplicativo ou regras de rede, dependendo dos requisitos do seu sistema. Não é necessário configurar ambos ao mesmo tempo.
Regras de aplicação
As regras de aplicativo permitem ou negam tráfego com base na camada de aplicativo. As seguintes regras de aplicativo de firewall de saída são necessárias com base no cenário.
| Cenários | FQDNs (Nomes de Domínio Totalmente Qualificados) | Descrição |
|---|---|---|
| Todos os cenários |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Esses FQDNs para o Microsoft Container Registry (MCR) são usados pelos Aplicativos de Contêiner do Azure. Essas regras de aplicativo ou as regras de rede para MCR devem ser adicionadas à lista de permissões ao usar os Aplicativos de Contêiner do Azure com o Firewall do Azure. |
| Todos os cenários |
packages.aks.azure.com, acs-mirror.azureedge.net |
Esses FQDNs são exigidos pelo cluster AKS subjacente para baixar e instalar binários do Kubernetes e do Azure CNI. Essas regras de aplicativo ou as regras de rede para MCR devem ser adicionadas à lista de permissões ao usar os Aplicativos de Contêiner do Azure com o Firewall do Azure. Para obter mais informações, consulte as regras necessárias de FQDN e aplicação do Azure Global |
| Azure Container Registry (ACR) |
O seu-ACR-endereço, *.blob.core.windows.net, login.microsoft.com |
Esses FQDNs são necessários ao usar os Aplicativos de Contêiner do Azure com ACR e Firewall do Azure. |
| Azure Key Vault |
O-endereço-do-Azure-Key-Vault, login.microsoft.com |
Esses FQDNs são necessários além da etiqueta de serviço necessária para a regra de rede do Cofre de Chaves do Azure. |
| Identidade gerenciada |
*.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com, *.login.microsoft.com |
Esses FQDNs são necessários ao usar a identidade gerenciada com o Firewall do Azure em Aplicativos de Contêiner do Azure. |
| Painel de Controlo do Aspire | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Este FQDN é necessário quando se utiliza o painel do Aspire num ambiente configurado com uma rede virtual. Atualize o FQDN com a região do seu aplicativo de contêiner. |
| Registro do Docker Hub |
hub.docker.com, registry-1.docker.io, production.cloudflare.docker.com |
Se você estiver usando o registro do Docker Hub e quiser acessá-lo através do firewall, precisará adicionar esses FQDNs ao firewall. |
Regras de rede
As regras de rede permitem ou negam tráfego com base na camada de rede e transporte. Ao usar UDR com o Firewall do Azure em Aplicativos de Contêiner do Azure, você deve adicionar as seguintes regras de rede de firewall de saída com base no cenário.
| Cenários | Etiqueta de serviço | Descrição |
|---|---|---|
| Todos os cenários |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Estas Etiquetas de Serviço para o Registo de Contentores da Microsoft (MCR) são utilizadas pelas Aplicações de Contentor do Azure. Essas regras de rede ou as regras de aplicativo para MCR devem ser adicionadas à lista de permissões ao usar os Aplicativos de Contêiner do Azure com o Firewall do Azure. |
| Azure Container Registry (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
Ao usar o ACR com os Aplicativos de Contêiner do Azure, você precisa configurar essas regras de rede usadas pelo Registro de Contêiner do Azure. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Essas marcas de serviço são necessárias além do FQDN para a regra de rede do Cofre de Chaves do Azure. |
| Identidade gerenciada | AzureActiveDirectory |
Ao usar a Identidade Gerenciada com os Aplicativos de Contêiner do Azure, você precisará configurar essas regras de rede usadas pela Identidade Gerenciada. |
Observação
Para recursos do Azure que você está usando com o Firewall do Azure não listados neste artigo, consulte a documentação das tags de serviço.