Partager via


Configurer des restrictions d’entrée IP dans Azure Container Apps

Azure Container Apps vous permet de limiter le trafic entrant vers votre application conteneur en configurant des restrictions d’entrée IP via la configuration d’entrée.

Il existe deux types de restrictions :

  • Autorisez: autorisez le trafic entrant uniquement à partir des plages d’adresses que vous spécifiez dans les règles d’autorisation.
  • Refusez: refusez tout le trafic entrant uniquement à partir des plages d’adresses que vous spécifiez dans les règles de refus.

lorsqu'aucune règle de restriction IP n'est définie, tout le trafic entrant est autorisé.

Les règles de restrictions IP contiennent les propriétés suivantes :

Propriété Valeur Description
name chaîne nom de la règle.
description string Description de la règle.
ipAddressRange Plage d'adresses IP au format CIDR La plage d'adresses IP en notation CIDR.
action Autoriser ou Refuser L'action à entreprendre pour la règle.

Le paramètre ipAddressRange accepte les adresses IPv4. Définissez chaque bloc d'adresses IPv4 dans la notation de routage inter-domaines sans classe (CIDR).

Remarque

Toutes les règles doivent être du même type. Vous ne pouvez pas combiner des règles d’autorisation et de refus.

Gérez les restrictions d’entrée IP

Vous pouvez gérer les règles de restrictions d’accès IP via le Portail Microsoft Azure ou Azure CLI.

Ajoutez des règles

  1. Accédez à la page de votre application conteneur dans le portail Azure.

  2. Sélectionnez Entrée dans le menu de gauche.

  3. Sélectionnez le bouton bascule Mode de restrictions de sécurité IP pour activer les restrictions IP. Vous pouvez choisir d'autoriser ou de refuser le trafic provenant des plages d'adresses IP spécifiées.

  4. Sélectionnez Ajouter pour créer la règle.

    Capture d’écran des paramètres de restriction IP sur la page Entrée de l’application conteneur.

  5. Saisissez des valeurs dans les champs suivants :

    Champ Description
    Adresse ou plage IPv4 Saisissez l'adresse IP ou la plage d'adresses IP en notation CIDR. Par exemple, pour autoriser l'accès à partir d'une seule adresse IP, utilisez le format suivant : 10.200.10.2/32.
    Nom Entrez le nom de la règle.
    Description Saisissez une description pour la règle.
  6. Sélectionnez Ajouter.

  7. Répétez les étapes 4 à 6 pour ajouter d’autres règles.

  8. Lorsque vous avez terminé d’ajouter des règles, sélectionnez Enregistrer.

Mettre à jour une règle

  1. Accédez à la page de votre application conteneur dans le portail Azure.
  2. Sélectionnez Entrée dans le menu de gauche.
  3. Sélectionnez la règle que vous souhaitez mettre à jour.
  4. Modifiez les paramètres de la règle.
  5. Sélectionnez Enregistrer pour enregistrer les mises à jour.
  6. Sélectionnez Enregistrer sur la page Entrée pour enregistrer les règles mises à jour.

Supprimer une règle

  1. Accédez à la page de votre application conteneur dans le portail Azure.
  2. Sélectionnez Entrée dans le menu de gauche.
  3. Sélectionnez l’icône Supprimer à côté de la règle que vous souhaitez supprimer.
  4. Cliquez sur Enregistrer.

Vous pouvez gérer les restrictions d’accès IP à l’aide du groupe de commandes az containerapp ingress access-restriction. Ce groupe de commandes a les options suivantes :

  • set : Créez ou mettez à jour une règle.
  • remove : Supprimez une règle.
  • list : Énumérez toutes les règles.

Créez ou mettez à jour des règles

Vous pouvez créer ou mettre à jour des restrictions IP à l'aide de la commande az containerapp ingress access-restriction set.

Le groupe de commandes az containerapp ingress access-restriction set utilise les paramètres suivants.

Argument Valeurs Description
--rule-name (requis) Chaîne Spécifie le nom de la règle de restriction d'accès.
--description Chaîne Spécifie une description pour la règle de restriction d'accès.
--action (requis) Autoriser, Refuser Spécifie s'il faut autoriser ou refuser l'accès à partir de la plage d'adresses IP spécifiée.
--ip-address (requis) Adresse IP ou plage d'adresses IP en notation CIDR Spécifie la plage d'adresses IP à autoriser ou à refuser.

Ajoutez plus de règles en répétant la commande avec des valeurs --rule-name et ---ip-address différentes.

Créez des règles d’autorisation

L'exemple de commande az containerapp access-restriction set suivant crée une règle pour restreindre l'accès entrant à une plage d'adresses IP. Vous devez supprimer toutes les règles de refus existantes avant de pouvoir ajouter des règles d’autorisation.

Remplacez les valeurs de l’exemple suivant par vos propres valeurs.

az containerapp ingress access-restriction set \
   --name <CONTAINER_APP_NAME> \
   --resource-group <RESOURCE_GROUP> \
   --rule-name "my allow rule" \
   --description "example of rule allowing access" \
   --ip-address 192.168.0.1/28 \
   --action Allow

Vous pouvez ajouter des règles d'autorisation en répétant la commande avec des valeurs différentes --ip-address et --rule-name.

Créez des règles de refus

L’exemple suivant de la commande az containerapp access-restriction set crée une règle d’accès pour refuser le trafic entrant à partir d’une plage d’adresses IP spécifiée. Vous devez supprimer toutes les règles d’autorisation existantes avant de pouvoir ajouter des règles de refus.

Remplacez les espaces réservés dans l’exemple suivant par vos propres valeurs.

az containerapp ingress access-restriction set \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "my deny rule" \
  --description "example of rule denying access" \
  --ip-address 192.168.0.100/28 \
  --action Deny

Vous pouvez ajouter des règles de refus en répétant la commande avec des valeurs différentes --ip-address et --rule-name. Si vous utilisez un nom de règle qui existe déjà, la règle existante est mise à jour.

Mettre à jour une règle

Vous pouvez mettre à jour une règle en utilisant la commande az containerapp ingress access-restriction set. Vous pouvez modifier la plage d'adresses IP et la description de la règle, mais pas le nom ou l'action de la règle.

Le paramètre --action est obligatoire, mais vous ne pouvez pas modifier l'action d'Autoriser à Refuser ou vice versa.
Si vous omettez le paramètre ---description, la description est supprimée.

L'exemple suivant met à jour la plage d'adresses IP.

az containerapp ingress access-restriction set \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "my deny rule" \
  --ip-address 192.168.0.1/24 \
  --description "example of rule denying access" \
  --action Deny

Supprimer les restrictions d’accès

L'exemple de commande suivant az containerapp ingress access-restriction remove supprime une règle.

az containerapp ingress access-restriction list
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "<your rule name>"

Liste des restrictions d'accès

L’exemple de commande suivant az containerapp ingress access-restriction list répertorie les règles de restriction IP pour l’application conteneur.

az containerapp ingress access-restriction list
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP>

Étapes suivantes