Sieć dla usługi Azure Container Apps — akcelerator strefy docelowej

Usługa Container Apps jest odpowiedzialna za dbanie o aktualizacje systemu operacyjnego, skalowanie, procesy trybu failover i alokację zasobów w środowisku usługi Container Apps. Środowiska hermetyzują co najmniej jedną aplikację kontenera lub zadania, tworząc bezpieczną granicę za pośrednictwem sieci wirtualnej.

Domyślnie sieć wirtualna jest tworzona automatycznie dla środowiska aplikacji kontenera. Jeśli jednak chcesz uzyskać bardziej szczegółową kontrolę nad siecią, możesz użyć istniejącej sieci wirtualnej podczas tworzenia środowiska aplikacji kontenera.

Środowiska mogą akceptować żądania zewnętrzne lub mogą być blokowane tylko do żądań wewnętrznych .

Środowiska zewnętrzne uwidaczniają aplikacje kontenerów przy użyciu wirtualnego adresu IP dostępnego za pośrednictwem publicznego Internetu. Alternatywnie środowiska wewnętrzne uwidaczniają aplikacje kontenera na adres IP wewnątrz sieci wirtualnej. Możesz ograniczyć ruch w środowisku aplikacji kontenera lub za pośrednictwem sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące zabezpieczeń akceleratora strefy docelowej usługi Azure Container Apps.

Kwestie wymagające rozważenia

• Wymagania dotyczące podsieci:

  • Dedykowana podsieć jest wymagana dla środowiska w sieci wirtualnej. CiDR podsieci powinna być /23 lub większa dla środowisk zużywanych tylko w środowiskach /27 lub większych dla środowisk profilów obciążeń.

• Zarządzanie adresami IP:

  • Baza 60 adresów IP jest zarezerwowana w sieci wirtualnej. Ta kwota może wzrosnąć w miarę skalowania środowiska kontenera, gdy każda poprawka aplikacji pobiera adres IP z podsieci. Wychodzące adresy IP mogą ulec zmianie w czasie.

  • Obsługiwane są tylko adresy IPv4 (protokół IPv6 nie jest obsługiwany).

  • Zarządzany zasób publicznego adresu IP obsługuje żądania wychodzące i ruch zarządzania, niezależnie od tego, czy masz środowisko zewnętrzne, czy wewnętrzne.

• Zabezpieczenia sieci:

  • Sieć można zablokować za pośrednictwem sieciowych grup zabezpieczeń z bardziej restrykcyjnymi regułami niż domyślne reguły sieciowej grupy zabezpieczeń kontrolujące cały ruch przychodzący i wychodzący dla środowiska.

• Serwer proxy i szyfrowanie:

  • Usługa Container Apps używa serwera proxy usługi Envoy jako brzegowego serwera proxy HTTP. Wszystkie żądania HTTP są automatycznie przekierowywane do adresów HTTPs. Wysłannik przerywa zabezpieczenia warstwy transportu (TLS) po przekroczeniu granicy. Zabezpieczenia warstwy transportu wzajemnego (mTLS) są dostępne tylko w przypadku korzystania z języka Dapr. Jednak ze względu na to, że usługa Envoy kończy mTLS, wywołania przychodzące z usługi Envoy do aplikacji kontenera z obsługą języka Dapr nie są szyfrowane.

• Zagadnienia dotyczące systemu DNS:

  • W miarę wdrażania środowiska usługa Container Apps wykonuje wiele wyszukiwań DNS. Niektóre z tych odnośników odnoszą się do wewnętrznych domen platformy Azure. Jeśli wymusisz ruch DNS za pośrednictwem niestandardowego rozwiązania DNS, skonfiguruj serwer DNS do przekazywania nierozwiązanych zapytań DNS do usługi Azure DNS.

  • W przypadku aplikacji działających wewnętrznie w usłudze Container Apps system opiera się na strefach usługi Azure Prywatna strefa DNS w celu rozpoznawania nazwy DNS na wewnętrznym adresie IP. Wewnątrz strefy Prywatna strefa DNS można wskazać rekord wieloznaczny (*) A na wewnętrzny adres IP modułu równoważenia obciążenia.

• Zarządzanie ruchem wychodzącym:

  • Ruch sieciowy wychodzący (wychodzący) powinien być kierowany za pośrednictwem usługi Azure Firewall lub klastra wirtualnego urządzenia sieciowego.

• Równoważenie obciążenia między środowiskami:

  • Aby uruchomić aplikację w wielu środowiskach usługi Container Apps ze względu na odporność lub bliskość, rozważ użycie globalnej usługi równoważenia obciążenia, takiej jak Azure Traffic Manager lub Azure Front Door.

• Zabezpieczenia sieci:

  • Użyj sieciowych grup zabezpieczeń, aby zabezpieczyć sieć i zablokować niepotrzebny ruch przychodzący i wychodzący.

  • Użyj usługi Azure DDoS Protection dla środowiska azure Container Apps.

  • Użyj usługi Private Link do zabezpieczania połączeń sieciowych i prywatnej łączności opartej na adresach IP z innymi zarządzanymi usługami platformy Azure.

  • Upewnij się, że wszystkie punkty końcowe rozwiązania (wewnętrzne i zewnętrzne) akceptują tylko połączenia szyfrowane TLS (HTTPS).

  • Użyj zapory aplikacji internetowej z przychodzącym protokołem HTTPS/TCP dla aplikacji internetowych i aplikacji internetowych o krytycznym znaczeniu dla zabezpieczeń.

  • W niektórych scenariuszach możesz udostępnić aplikację internetową usługi Container Apps bezpośrednio w Internecie i chronić ją za pomocą usług CDN/WAF innych firm.

Zalecenia

• Konfiguracja sieci: wdróż aplikacje kontenera w niestandardowej sieci wirtualnej, aby uzyskać większą kontrolę nad konfiguracją sieci.

• Bezpieczna łączność przychodząca: podczas publikowania usług internetowych użyj usługi aplikacja systemu Azure Gateway (jednostka SKU WAF_v2) lub usługi Azure Front Door (z zaporą aplikacji internetowej), aby zabezpieczyć łączność przychodzącą.

• Wewnętrzne zarządzanie ruchem: użyj wewnętrznej konfiguracji sieci dla usług, takich jak aplikacja systemu Azure Gateway lub Azure Front Door, zapewniając ruch z modułu równoważenia obciążenia do środowiska usługi Azure Container Apps używa połączenia wewnętrznego.

• Uwidacznianie aplikacji: włącz ruch przychodzący, aby uwidocznić aplikację za pośrednictwem portów HTTPs lub TCP.

Odwołania

• Architektura sieci w usłudze Azure Container Apps
• Zabezpieczanie niestandardowej sieci wirtualnej w usłudze Azure Container Apps
• Serwer proxy sieci w usłudze Azure Container Apps
• Ograniczenia ruchu przychodzącego adresów IP w usłudze Azure Container Apps
• Obsługa tras zdefiniowanych przez użytkownika
• Konfigurowanie trasy zdefiniowanej przez użytkownika za pomocą usługi Azure Firewall