Zabezpečení vlastní virtuální sítě v Azure Container Apps pomocí skupin zabezpečení sítě
Skupiny zabezpečení sítě (NSG) potřebné ke konfiguraci virtuálních sítí se podobají nastavení vyžadovaným Kubernetes.
Síť můžete uzamknout prostřednictvím skupin zabezpečení sítě s přísnějšími pravidly než výchozí pravidla NSG, která řídí veškerý příchozí a odchozí provoz pro prostředí Container Apps na úrovni předplatného.
V prostředí profilů úloh se podporují trasy definované uživatelem a zabezpečení odchozího provozu pomocí brány firewall . Při použití prostředí externích profilů úloh se příchozí provoz do Azure Container Apps směruje přes veřejnou IP adresu, která existuje ve spravované skupině prostředků, a ne prostřednictvím vaší podsítě. To znamená, že uzamčení příchozího provozu přes skupinu zabezpečení sítě nebo bránu firewall v prostředí externích profilů úloh se nepodporuje. Další informace najdete v tématu Sítě v prostředích Azure Container Apps.
V prostředí pouze Consumption se nepodporují expresní trasy a vlastní trasy definované uživatelem mají omezenou podporu. Další informace o úrovni podpory definovanou uživatelem dostupnou v prostředí jen pro spotřebu najdete v nejčastějších dotazech.
Pravidla povolení NSG
Následující tabulky popisují, jak nakonfigurovat kolekci pravidel povolení NSG. Konkrétní požadovaná pravidla závisí na typu vašeho prostředí.
Příchozí
Poznámka:
Při použití profilů úloh platí pravidla příchozí skupiny zabezpečení sítě pouze pro provoz procházející vaší virtuální sítí. Pokud jsou vaše aplikace kontejnerů nastavené tak, aby přijímaly provoz z veřejného internetu, příchozí provoz prochází přes veřejný koncový bod místo virtuální sítě.
| Protokol | Zdroj | Zdrojové porty | Cíl | Cílové porty | Popis |
|---|---|---|---|---|---|
| TCP | IP adresy klienta | * | Podsíťvaší aplikace kontejneru 1 | 80, 31080 |
Povolte IP adresám klientů přístup ke službě Azure Container Apps při použití protokolu HTTP. 31080 je port, na kterém proxy aplikace Container Apps Environment Edge reaguje na provoz HTTP. Je za interním nástrojem pro vyrovnávání zatížení. |
| TCP | IP adresy klienta | * | Podsíťvaší aplikace kontejneru 1 | 443, 31443 |
Povolte IP adresám klientů přístup ke službě Azure Container Apps při použití protokolu HTTPS. 31443 je port, na kterém proxy aplikace Container Apps Environment Edge reaguje na provoz HTTPS. Je za interním nástrojem pro vyrovnávání zatížení. |
| TCP | AzureLoadBalancer | * | Podsíť vaší aplikace kontejneru | 30000-327672 |
Povolte službě Azure Load Balancer testovat back-endové fondy. |
1 Tato adresa se předává jako parametr při vytváření prostředí. Například 10.0.0.0/21.
2 Při vytváření služby Azure Container Apps jako portu v rámci rozsahu se vyžaduje úplný rozsah, a to dynamicky přiděleným. Po vytvoření jsou požadované porty dvě neměnné, statické hodnoty a můžete aktualizovat pravidla NSG.
Odchozí
| Protokol | Zdroj | Zdrojové porty | Cíl | Cílové porty | Popis |
|---|---|---|---|---|---|
| TCP | Podsíť vaší aplikace kontejneru | * | MicrosoftContainerRegistry |
443 |
Toto je značka služby pro registr kontejnerů Microsoftu pro systémové kontejnery. |
| TCP | Podsíť vaší aplikace kontejneru | * | AzureFrontDoor.FirstParty |
443 |
Jedná se o závislost značky MicrosoftContainerRegistry služby. |
| Všechny | Podsíť vaší aplikace kontejneru | * | Podsíť vaší aplikace kontejneru | * | Povolte komunikaci mezi IP adresami v podsíti vaší aplikace kontejneru. |
| TCP | Podsíť vaší aplikace kontejneru | * | AzureActiveDirectory |
443 |
|
| Pokud používáte spravovanou identitu, je to povinné. | |||||
| TCP | Podsíť vaší aplikace kontejneru | * | AzureMonitor |
443 |
Vyžaduje se pouze při použití služby Azure Monitor. Umožňuje odchozí volání do služby Azure Monitor. |
| TCP a UDP | Podsíť vaší aplikace kontejneru | * | 168.63.129.16 |
53 |
Umožňuje prostředí používat Azure DNS k překladu názvu hostitele. Poznámka: Komunikace DNS s Azure DNS není předmětem skupin zabezpečení sítě, pokud není cílem použít AzurePlatformDNS značku služby. Pokud chcete blokovat provoz DNS, vytvořte odchozí pravidlo, které zakáže provoz na AzurePlatformDNS značku služby. |
| TCP | Podsíťvaší aplikace kontejneru 1 | * | Váš registr kontejnerů | Port registru kontejneru | To se vyžaduje ke komunikaci s registrem kontejneru. Pokud například používáte ACR, potřebujete AzureContainerRegistry a AzureActiveDirectory pro cíl a port je port registru kontejneru, pokud nepoužíváte privátní koncové body.2 |
| TCP | Podsíť vaší aplikace kontejneru | * | Storage.<Region> |
443 |
Vyžaduje se pouze při použití Azure Container Registry k hostování imagí. |
1 Tato adresa se předává jako parametr při vytváření prostředí. Například 10.0.0.0/21.
2 Pokud používáte Službu Azure Container Registry (ACR) se skupinami zabezpečení sítě nakonfigurovanými ve vaší virtuální síti, vytvořte ve službě ACR privátní koncový bod, který službě Azure Container Apps umožní přetahovat image přes virtuální síť. Při konfiguraci s privátními koncovými body nemusíte přidávat pravidlo NSG pro ACR.
Důležité informace
- Pokud používáte servery HTTP, možná budete muset přidat porty
80a443. - Nezamítejte explicitně adresu
168.63.129.16Azure DNS v odchozích pravidlech NSG nebo vaše prostředí Container Apps nefunguje.