Uitgaand verkeer beheren in Azure Container Apps met door de gebruiker gedefinieerde routes
Notitie
Deze functie wordt alleen ondersteund voor het omgevingstype workloadprofielen.
In dit artikel leest u hoe u door de gebruiker gedefinieerde routes (UDR) gebruikt met Azure Firewall om uitgaand verkeer van uw Container Apps naar back-end Azure-resources of andere netwerkbronnen te vergrendelen.
Azure maakt een standaardroutetabel voor uw virtuele netwerken bij het maken. Door een door de gebruiker gedefinieerde routetabel te implementeren, kunt u bepalen hoe verkeer binnen uw virtuele netwerk wordt gerouteerd. In deze handleiding gaat u UDR instellen in het virtuele Container Apps-netwerk om uitgaand verkeer met Azure Firewall te beperken.
U kunt ook een NAT-gateway of andere apparaten van derden gebruiken in plaats van Azure Firewall.
Zie de configuratie van UDR met Azure Firewall in netwerken in Azure Container Apps voor meer informatie.
Vereisten
Omgeving voor workloadprofielen: een omgeving met workloadprofielen die is geïntegreerd met een aangepast virtueel netwerk. Zie de handleiding voor het maken van een container-app-omgeving in de omgeving met workloadprofielen voor meer informatie.
curl
ondersteuning: Uw container-app moet een container hebben die opdrachten ondersteuntcurl
. In deze procedure gebruiktcurl
u om te controleren of de container-app correct is geïmplementeerd. Als u geen container-app hebt geïmplementeerdcurl
, kunt u de volgende container implementeren die ondersteuning biedt voorcurl
,mcr.microsoft.com/k8se/quickstart:latest
.
Het firewallsubnet maken
Een subnet met de naam AzureFirewallSubnet is vereist om een firewall te implementeren in het geïntegreerde virtuele netwerk.
Open het virtuele netwerk dat is geïntegreerd met uw app in Azure Portal.
Selecteer subnetten in het menu aan de linkerkant en selecteer vervolgens + Subnet.
Voer de volgende waarden in:
Instelling Actie Naam Voer AzureFirewallSubnet in. Subnetadresbereik Gebruik de standaardinstelling of geef een subnetbereik /26 of groter op. Selecteer Opslaan
De firewall implementeren
Selecteer een resource maken in het menu van Azure Portal of op de startpagina.
Zoek naar firewall.
Selecteer Firewall.
Selecteer Maken.
Configureer de firewall op de pagina Een firewall maken met de volgende instellingen.
Instelling Actie Resourcegroep Voer dezelfde resourcegroep in als het geïntegreerde virtuele netwerk. Naam Voer een naam van uw keuze in Regio Selecteer dezelfde regio als het geïntegreerde virtuele netwerk. Firewallbeleid Maak er een door nieuwe toevoegen te selecteren. Virtueel netwerk Selecteer het geïntegreerde virtuele netwerk. Openbaar IP-adres Selecteer een bestaand adres of maak er een door nieuwe toevoegen te selecteren. Selecteer Controleren + maken. Nadat de validatie is voltooid, selecteert u Maken. Het kan enkele minuten duren voordat de validatiestap is voltooid.
Zodra de implementatie is voltooid, selecteert u Ga naar resource.
Kopieer op de overzichtspagina van de firewall het privé-IP-adres van de firewall. Dit IP-adres wordt gebruikt als het volgende hopadres bij het maken van de routeringsregel voor het virtuele netwerk.
Al het verkeer naar de firewall routeren
Uw virtuele netwerken in Azure bevatten standaardroutetabellen wanneer u het netwerk maakt. Door een door de gebruiker gedefinieerde routetabel te implementeren, kunt u bepalen hoe verkeer binnen uw virtuele netwerk wordt gerouteerd. In de volgende stappen maakt u een UDR om al het verkeer naar uw Azure Firewall te routeren.
Selecteer een resource maken in het menu van Azure Portal of op de startpagina.
Zoek naar routetabellen.
Selecteer Routetabellen.
Selecteer Maken.
Voer de volgende waarden in:
Instelling Actie Regio Selecteer de regio als uw virtuele netwerk. Naam Voer een naam in. Gatewayroutes doorgeven Selecteer Nee Selecteer Controleren + maken. Nadat de validatie is voltooid, selecteert u Maken.
Zodra de implementatie is voltooid, selecteert u Ga naar resource.
Selecteer Routes in het menu aan de linkerkant en selecteer Vervolgens Toevoegen om een nieuwe routetabel te maken
Configureer de routetabel met de volgende instellingen:
Instelling Actie Adresvoorvoegsel Voer 0.0.0.0/0 in Volgend hoptype Virtueel apparaat selecteren Adres van de volgende hop Voer het privé-IP-adres van de firewall in dat u hebt opgeslagen in De firewall implementeren. Selecteer Toevoegen om de route te maken.
Selecteer subnetten in het menu aan de linkerkant en selecteer Koppelen om uw routetabel te koppelen aan het subnet van de container-app.
Configureer het subnet koppelen aan de volgende waarden:
Instelling Actie Virtueel netwerk Selecteer het virtuele netwerk voor uw container-app. Subnet Selecteer het subnet voor de container-app. Selecteer OK.
Firewallbeleid configureren
Notitie
Wanneer u UDR gebruikt met Azure Firewall in Azure Container Apps, moet u bepaalde FQDN's en servicetags toevoegen aan de acceptatielijst voor de firewall. Raadpleeg het configureren van UDR met Azure Firewall om te bepalen welke servicetags u nodig hebt.
Nu wordt al het uitgaande verkeer van uw container-app doorgestuurd naar de firewall. Momenteel staat de firewall nog steeds al het uitgaande verkeer toe via. Als u wilt beheren welk uitgaand verkeer is toegestaan of geweigerd, moet u firewallbeleid configureren.
Selecteer firewallbeleid in uw Azure Firewall-resource op de pagina Overzicht
Selecteer toepassingsregels in het menu aan de linkerkant van de pagina firewallbeleid.
Selecteer Een regelverzameling toevoegen.
Voer de volgende waarden in voor de regelverzameling:
Instelling Actie Naam Voer een verzamelingsnaam in Type regelverzameling Toepassing selecteren Prioriteit Voer de prioriteit in, zoals 110 Actie Regelverzameling Toestaan selecteren Groep Regelverzameling DefaultApplicationRuleCollectionGroup selecteren Voer onder Regels de volgende waarden in
Instelling Actie Naam Voer een naam in voor de regel Brontype IP-adres selecteren Bron * invoeren Protocol Voer http:80,https:443 in Doeltype Selecteer FQDN. Bestemming Voer mcr.microsoft.com
,*.data.mcr.microsoft.com
. Als u ACR gebruikt, voegt u uw ACR-adres en*.blob.core.windows.net
.Actie Toestaan selecteren Notitie
Als u docker Hub-register gebruikt en toegang wilt krijgen via uw firewall, moet u de volgende FQDN's toevoegen aan de doellijst van uw regels: hub.docker.com, registry-1.docker.io en production.cloudflare.docker.com.
Selecteer Toevoegen.
Controleren of uw firewall uitgaand verkeer blokkeert
Als u wilt controleren of uw firewallconfiguratie juist is ingesteld, kunt u de opdracht van de curl
foutopsporingsconsole van uw app gebruiken.
Navigeer naar uw container-app die is geconfigureerd met Azure Firewall.
Selecteer console in het menu aan de linkerkant en selecteer vervolgens uw container die de
curl
opdracht ondersteunt.Selecteer /bin/sh in het opdrachtmenu Start up kiezen en selecteer Verbinding maken.
Voer in de console het volgende uit
curl -s https://mcr.microsoft.com
. Als het goed is, ziet u een geslaagd antwoord wanneer u aan de acceptatielijst voor uw firewallbeleid hebt toegevoegdmcr.microsoft.com
.Uitvoeren
curl -s https://<FQDN_ADDRESS>
voor een URL die niet overeenkomt met een van uw doelregels, zoalsexample.com
. De voorbeeldopdracht zou zijncurl -s https://example.com
. U krijgt geen antwoord, wat aangeeft dat uw firewall de aanvraag heeft geblokkeerd.