Sítě pro azure Container Apps – akcelerátor cílových zón

Container Apps zodpovídá za péči o aktualizace operačního systému, škálování, procesy převzetí služeb při selhání a přidělování prostředků v prostředí Container Apps. Prostředí zapouzdřují jednu nebo více kontejnerových aplikací nebo úloh vytvořením zabezpečené hranice prostřednictvím virtuální sítě.

Ve výchozím nastavení se pro vaše prostředí Container App automaticky vytvoří virtuální síť. Pokud ale chcete mít podrobnější kontrolu nad sítí, můžete při vytváření prostředí kontejnerové aplikace použít existující virtuální síť.

Prostředí můžou přijímat externí požadavky nebo je možné je uzamknout jenom na interní požadavky.

Externí prostředí zpřístupňují kontejnerové aplikace pomocí virtuální IP adresy, která je přístupná přes veřejný internet. Případně interní prostředí zpřístupňují své kontejnerové aplikace na IP adrese ve vaší virtuální síti. Provoz můžete omezit buď v rámci prostředí aplikace kontejneru, nebo přes virtuální síť. Další informace najdete v tématu Aspekty zabezpečení akcelerátoru cílových zón Azure Container Apps.

Důležité informace

• Požadavky na podsíť:

  • Pro prostředí ve virtuální síti se vyžaduje vyhrazená podsíť. CIDR podsítě by měla být /23 nebo větší pouze pro prostředí, která spotřeba používá, /27 nebo větší pro prostředí profilů úloh.

• Správa IP adres:

  • Základ 60 IP adres je vyhrazený ve vaší virtuální síti. Tato částka se může zvýšit, protože vaše prostředí kontejneru se škáluje, protože každá revize aplikace získá IP adresu z podsítě. Odchozí IP adresy se můžou v průběhu času měnit.

  • Podporují se jenom adresy IPv4 (protokol IPv6 se nepodporuje).

  • Spravovaný prostředek veřejné IP adresy zpracovává odchozí požadavky a provoz správy bez ohledu na to, jestli máte externí nebo interní prostředí.

• Zabezpečení sítě:

  • Síť můžete uzamknout prostřednictvím skupin zabezpečení sítě (NSG) s přísnějšími pravidly než výchozí pravidla NSG, která řídí veškerý příchozí a odchozí provoz pro prostředí.

• Proxy server a šifrování:

  • Container Apps jako hraniční proxy server HTTP používá proxy server envoy. Všechny požadavky HTTP se automaticky přesměrují na adresy HTTPs. Envoy ukončí zabezpečení přenosové vrstvy (TLS) po překročení hranice. Vzájemné zabezpečení vrstvy přenosu (mTLS) je k dispozici pouze při použití dapr. Vzhledem k tomu, že envoy ukončí mTLS, příchozí volání z envoy do kontejnerových aplikací s podporou Dapr nejsou šifrovaná.

• Důležité informace o DNS:

  • Při nasazení prostředí služba Container Apps provádí mnoho vyhledávání DNS. Některé z těchto vyhledávání odkazují na interní domény Azure. Pokud vynutíte provoz DNS prostřednictvím vlastního řešení DNS, nakonfigurujte server DNS tak, aby předával nevyřešené dotazy DNS do Azure DNS.

  • Pro aplikace spuštěné interně v Container Apps systém spoléhá na zóny Azure Privátní DNS k překladu názvu DNS na interní IP adresu. Uvnitř zóny Privátní DNS můžete nasměrovat záznam se zástupným znakem (*) A na IP adresu interního nástroje pro vyrovnávání zatížení.

• Správa odchozích přenosů:

  • Odchozí síťový provoz (výchozí přenos dat) by se měl směrovat přes azure firewall nebo cluster síťových virtuálních zařízení.

• Vyrovnávání zatížení napříč prostředími:

  • Pokud chcete aplikaci spustit v několika prostředích Container Apps z důvodů odolnosti nebo blízkosti, zvažte použití globální služby vyrovnávání zatížení, jako je Azure Traffic Manager nebo Azure Front Door.

• Zabezpečení sítě:

  • Pomocí skupin zabezpečení sítě (NSG) zabezpečte síť a zablokujte nepotřebný příchozí a odchozí provoz.

  • Azure DDoS Protection použijte pro prostředí Azure Container Apps.

  • Private Link slouží k zabezpečení síťových připojení a privátního připojení založeného na IP adresách k jiným spravovaným službám Azure.

  • Ujistěte se, že všechny koncové body řešení (interní a externí) přijímají pouze šifrovaná připojení TLS (HTTPS).

  • Pro internetové a zabezpečené interní webové aplikace použijte firewall webových aplikací s příchozím přenosem dat HTTPS/TCP.

  • V některých scénářích můžete chtít webovou aplikaci Container Apps zveřejnit přímo na internetu a chránit ji pomocí služeb CDN/WAF třetích stran.

Doporučení

• Konfigurace sítě: Nasaďte kontejnerové aplikace do vlastní virtuální sítě, abyste získali větší kontrolu nad konfigurací sítě.

• Zabezpečené příchozí připojení: Při publikování internetových služeb použijte službu Aplikace Azure Gateway (WAF_v2 SKU) nebo Azure Front Door (s firewallem webových aplikací) k zabezpečení příchozího připojení.

• Správa interního provozu: Pro služby, jako je služba Aplikace Azure Gateway nebo Azure Front Door, použijte interní konfiguraci sítě a zajistěte, aby provoz z nástroje pro vyrovnávání zatížení do prostředí Azure Container Apps používal interní připojení.

• Vystavení aplikací: Povolte příchozí přenos dat, aby se vaše aplikace zpřístupnila přes protokolY HTTPs nebo port TCP.

Odkazy

• Síťová architektura ve službě Azure Container Apps
• Zabezpečení vlastní virtuální sítě v Azure Container Apps
• Proxy sítě v Azure Container Apps
• Omezení příchozího přenosu dat IP ve službě Azure Container Apps
• Podpora tras definovaných uživatelem
• Konfigurace trasy definované uživatelem pomocí služby Azure Firewall