Zabezpieczanie niestandardowej sieci wirtualnej w usłudze Azure Container Apps przy użyciu sieciowych grup zabezpieczeń
Sieciowe grupy zabezpieczeń potrzebne do skonfigurowania sieci wirtualnych dokładnie przypominają ustawienia wymagane przez platformę Kubernetes.
Sieć można zablokować za pośrednictwem sieciowych grup zabezpieczeń z bardziej restrykcyjnymi regułami niż domyślne reguły sieciowej grupy zabezpieczeń w celu kontrolowania całego ruchu przychodzącego i wychodzącego dla środowiska usługi Container Apps na poziomie subskrypcji.
W środowisku profilów obciążeń obsługiwane są trasy zdefiniowane przez użytkownika i zabezpieczanie ruchu wychodzącego za pomocą zapory . W przypadku korzystania ze środowiska profilów obciążeń zewnętrznych ruch przychodzący do usługi Azure Container Apps jest kierowany przez publiczny adres IP, który istnieje w zarządzanej grupie zasobów, a nie za pośrednictwem podsieci. Oznacza to, że blokowanie ruchu przychodzącego za pośrednictwem sieciowej grupy zabezpieczeń lub zapory w środowisku profilów obciążeń zewnętrznych nie jest obsługiwane. Aby uzyskać więcej informacji, zobacz Networking in Azure Container Apps environments (Sieć w środowiskach usługi Azure Container Apps).
W środowisku Tylko zużycie trasy ekspresowe nie są obsługiwane, a niestandardowe trasy zdefiniowane przez użytkownika (UDR) mają ograniczoną obsługę. Aby uzyskać więcej informacji na temat poziomu obsługi trasy zdefiniowanej przez użytkownika dostępnego w środowisku Tylko użycie, zobacz często zadawane pytania.
Reguły zezwalania sieciowej grupy zabezpieczeń
W poniższych tabelach opisano sposób konfigurowania kolekcji reguł zezwalania sieciowej grupy zabezpieczeń. Wymagane reguły zależą od typu środowiska.
Przychodzący
Uwaga
W przypadku korzystania z profilów obciążeń reguły sieciowej grupy zabezpieczeń dla ruchu przychodzącego mają zastosowanie tylko do ruchu przechodzącego przez sieć wirtualną. Jeśli aplikacje kontenera są ustawione tak, aby akceptowały ruch z publicznego Internetu, ruch przychodzący przechodzi przez publiczny punkt końcowy zamiast sieci wirtualnej.
| Protokół | Element źródłowy | Porty źródłowe | Element docelowy | Porty docelowe | opis |
|---|---|---|---|---|---|
| TCP | Adresy IP klienta | * | Podsieć1 aplikacji kontenera | 80, 31080 |
Zezwalaj swoim adresom IP klienta na dostęp do usługi Azure Container Apps podczas korzystania z protokołu HTTP. 31080 to port, na którym serwer proxy usługi Container Apps Environment Edge odpowiada na ruch HTTP. Znajduje się on za wewnętrznym modułem równoważenia obciążenia. |
| TCP | Adresy IP klienta | * | Podsieć1 aplikacji kontenera | 443, 31443 |
Zezwalaj swoim adresom IP klienta na dostęp do usługi Azure Container Apps podczas korzystania z protokołu HTTPS. 31443 to port, na którym serwer proxy usługi Container Apps Environment Edge odpowiada na ruch HTTPS. Znajduje się on za wewnętrznym modułem równoważenia obciążenia. |
| TCP | AzureLoadBalancer | * | Podsieć aplikacji kontenera | 30000-327672 |
Zezwalaj usłudze Azure Load Balancer na sondę pul zaplecza. |
1 Ten adres jest przekazywany jako parametr podczas tworzenia środowiska. Na przykład 10.0.0.0/21.
2 Pełny zakres jest wymagany podczas tworzenia usługi Azure Container Apps jako portu w zakresie przez dynamiczne przydzielanie. Po utworzeniu wymagane porty są dwa niezmienne, statyczne wartości i można zaktualizować reguły sieciowej grupy zabezpieczeń.
Wychodzący
| Protokół | Element źródłowy | Porty źródłowe | Element docelowy | Porty docelowe | opis |
|---|---|---|---|---|---|
| TCP | Podsieć aplikacji kontenera | * | MicrosoftContainerRegistry |
443 |
Jest to tag usługi dla rejestru kontenerów firmy Microsoft dla kontenerów systemowych. |
| TCP | Podsieć aplikacji kontenera | * | AzureFrontDoor.FirstParty |
443 |
Jest to zależność tagu MicrosoftContainerRegistry usługi. |
| Dowolne | Podsieć aplikacji kontenera | * | Podsieć aplikacji kontenera | * | Zezwalaj na komunikację między adresami IP w podsieci aplikacji kontenera. |
| TCP | Podsieć aplikacji kontenera | * | AzureActiveDirectory |
443 |
Jeśli używasz tożsamości zarządzanej, jest to wymagane. |
| TCP | Podsieć aplikacji kontenera | * | AzureMonitor |
443 |
Wymagane tylko w przypadku korzystania z usługi Azure Monitor. Zezwala na wywołania wychodzące do usługi Azure Monitor. |
| TCP i UDP | Podsieć aplikacji kontenera | * | 168.63.129.16 |
53 |
Umożliwia środowisku rozpoznawanie nazwy hosta przy użyciu usługi Azure DNS. |
| TCP | Podsieć1 aplikacji kontenera | * | Rejestr kontenerów | Port rejestru kontenerów | Jest to wymagane do komunikowania się z rejestrem kontenerów. Na przykład w przypadku korzystania z usługi ACR potrzebujesz AzureContainerRegistry i AzureActiveDirectory dla miejsca docelowego, a port będzie portem rejestru kontenerów, chyba że używasz prywatnych punktów końcowych.2 |
| TCP | Podsieć aplikacji kontenera | * | Storage.<Region> |
443 |
Wymagane tylko w przypadku używania Azure Container Registry do hostowania obrazów. |
1 Ten adres jest przekazywany jako parametr podczas tworzenia środowiska. Na przykład 10.0.0.0/21.
2 Jeśli używasz usługi Azure Container Registry (ACR) z sieciowymi grupami zabezpieczeń skonfigurowanymi w sieci wirtualnej, utwórz prywatny punkt końcowy w usłudze ACR, aby umożliwić usłudze Azure Container Apps ściąganie obrazów za pośrednictwem sieci wirtualnej. Nie musisz dodawać reguły sieciowej grupy zabezpieczeń dla usługi ACR podczas konfigurowania z prywatnymi punktami końcowymi.
Kwestie wymagające rozważenia
- Jeśli używasz serwerów HTTP, może być konieczne dodanie portów
80i443. - Nie odrzucaj jawnie adresu
168.63.129.16DNS platformy Azure w wychodzących regułach sieciowej grupy zabezpieczeń lub środowisko usługi Container Apps nie będzie mogło działać.