Configurer des restrictions d’entrée IP dans Azure Container Apps
Azure Container Apps vous permet de limiter le trafic entrant vers votre application conteneur en configurant des restrictions d’entrée IP via la configuration d’entrée.
Il existe deux types de restrictions :
- Autorisez: autorisez le trafic entrant uniquement à partir des plages d’adresses que vous spécifiez dans les règles d’autorisation.
- Refusez: refusez tout le trafic entrant uniquement à partir des plages d’adresses que vous spécifiez dans les règles de refus.
lorsqu'aucune règle de restriction IP n'est définie, tout le trafic entrant est autorisé.
Les règles de restrictions IP contiennent les propriétés suivantes :
Propriété | Valeur | Description |
---|---|---|
name | chaîne | nom de la règle. |
description | string | Description de la règle. |
ipAddressRange | Plage d'adresses IP au format CIDR | La plage d'adresses IP en notation CIDR. |
action | Autoriser ou Refuser | L'action à entreprendre pour la règle. |
Le paramètre ipAddressRange
accepte les adresses IPv4. Définissez chaque bloc d'adresses IPv4 dans la notation de routage inter-domaines sans classe (CIDR).
Remarque
Toutes les règles doivent être du même type. Vous ne pouvez pas combiner des règles d’autorisation et de refus.
Gérez les restrictions d’entrée IP
Vous pouvez gérer les règles de restrictions d’accès IP via le Portail Microsoft Azure ou Azure CLI.
Ajoutez des règles
Accédez à la page de votre application conteneur dans le portail Azure.
Sélectionnez Entrée dans le menu de gauche.
Sélectionnez le bouton bascule Mode de restrictions de sécurité IP pour activer les restrictions IP. Vous pouvez choisir d'autoriser ou de refuser le trafic provenant des plages d'adresses IP spécifiées.
Sélectionnez Ajouter pour créer la règle.
Saisissez des valeurs dans les champs suivants :
Champ Description Adresse ou plage IPv4 Saisissez l'adresse IP ou la plage d'adresses IP en notation CIDR. Par exemple, pour autoriser l'accès à partir d'une seule adresse IP, utilisez le format suivant : 10.200.10.2/32. Nom Entrez le nom de la règle. Description Saisissez une description pour la règle. Sélectionnez Ajouter.
Répétez les étapes 4 à 6 pour ajouter d’autres règles.
Lorsque vous avez terminé d’ajouter des règles, sélectionnez Enregistrer.
Mettre à jour une règle
- Accédez à la page de votre application conteneur dans le portail Azure.
- Sélectionnez Entrée dans le menu de gauche.
- Sélectionnez la règle que vous souhaitez mettre à jour.
- Modifiez les paramètres de la règle.
- Sélectionnez Enregistrer pour enregistrer les mises à jour.
- Sélectionnez Enregistrer sur la page Entrée pour enregistrer les règles mises à jour.
Supprimer une règle
- Accédez à la page de votre application conteneur dans le portail Azure.
- Sélectionnez Entrée dans le menu de gauche.
- Sélectionnez l’icône Supprimer à côté de la règle que vous souhaitez supprimer.
- Cliquez sur Enregistrer.
Vous pouvez gérer les restrictions d’accès IP à l’aide du groupe de commandes az containerapp ingress access-restriction
. Ce groupe de commandes a les options suivantes :
set
: Créez ou mettez à jour une règle.remove
: Supprimez une règle.list
: Énumérez toutes les règles.
Créez ou mettez à jour des règles
Vous pouvez créer ou mettre à jour des restrictions IP à l'aide de la commande az containerapp ingress access-restriction set
.
Le groupe de commandes az containerapp ingress access-restriction set
utilise les paramètres suivants.
Argument | Valeurs | Description |
---|---|---|
--rule-name (requis) |
Chaîne | Spécifie le nom de la règle de restriction d'accès. |
--description |
Chaîne | Spécifie une description pour la règle de restriction d'accès. |
--action (requis) |
Autoriser, Refuser | Spécifie s'il faut autoriser ou refuser l'accès à partir de la plage d'adresses IP spécifiée. |
--ip-address (requis) |
Adresse IP ou plage d'adresses IP en notation CIDR | Spécifie la plage d'adresses IP à autoriser ou à refuser. |
Ajoutez plus de règles en répétant la commande avec des valeurs --rule-name
et ---ip-address
différentes.
Créez des règles d’autorisation
L'exemple de commande az containerapp access-restriction set
suivant crée une règle pour restreindre l'accès entrant à une plage d'adresses IP. Vous devez supprimer toutes les règles de refus existantes avant de pouvoir ajouter des règles d’autorisation.
Remplacez les valeurs de l’exemple suivant par vos propres valeurs.
az containerapp ingress access-restriction set \
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "my allow rule" \
--description "example of rule allowing access" \
--ip-address 192.168.0.1/28 \
--action Allow
Vous pouvez ajouter des règles d'autorisation en répétant la commande avec des valeurs différentes --ip-address
et --rule-name
.
Créez des règles de refus
L’exemple suivant de la commande az containerapp access-restriction set
crée une règle d’accès pour refuser le trafic entrant à partir d’une plage d’adresses IP spécifiée. Vous devez supprimer toutes les règles d’autorisation existantes avant de pouvoir ajouter des règles de refus.
Remplacez les espaces réservés dans l’exemple suivant par vos propres valeurs.
az containerapp ingress access-restriction set \
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "my deny rule" \
--description "example of rule denying access" \
--ip-address 192.168.0.100/28 \
--action Deny
Vous pouvez ajouter des règles de refus en répétant la commande avec des valeurs différentes --ip-address
et --rule-name
. Si vous utilisez un nom de règle qui existe déjà, la règle existante est mise à jour.
Mettre à jour une règle
Vous pouvez mettre à jour une règle en utilisant la commande az containerapp ingress access-restriction set
. Vous pouvez modifier la plage d'adresses IP et la description de la règle, mais pas le nom ou l'action de la règle.
Le paramètre --action
est obligatoire, mais vous ne pouvez pas modifier l'action d'Autoriser à Refuser ou vice versa.
Si vous omettez le paramètre ---description
, la description est supprimée.
L'exemple suivant met à jour la plage d'adresses IP.
az containerapp ingress access-restriction set \
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "my deny rule" \
--ip-address 192.168.0.1/24 \
--description "example of rule denying access" \
--action Deny
Supprimer les restrictions d’accès
L'exemple de commande suivant az containerapp ingress access-restriction remove
supprime une règle.
az containerapp ingress access-restriction list
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "<your rule name>"
Liste des restrictions d'accès
L’exemple de commande suivant az containerapp ingress access-restriction list
répertorie les règles de restriction IP pour l’application conteneur.
az containerapp ingress access-restriction list
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP>