Configurar restrições de entrada de IP em Aplicativos de Contêiner do Azure
Os Aplicativos de Contêiner do Azure permitem limitar o tráfego de entrada ao aplicativo de contêiner configurando restrições de entrada de IP por meio da configuração de entrada.
Há dois tipos de restrições:
- Permitir: permitir o tráfego de entrada somente de intervalos de endereços especificados nas regras de permissão.
- Negar: negar todo o tráfego de entrada somente de intervalos de endereços especificados em regras de negação.
quando nenhuma regra de restrição de IP é definida, todo o tráfego de entrada é permitido.
As regras de restrições de IP contêm as seguintes propriedades:
Propriedade | Valor | Descrição |
---|---|---|
name | string | O nome da regra. |
descrição | string | Descrição da regra. |
ipAddressRange | Intervalo de endereços IP no formato CIDR | O intervalo de endereços IP na notação CIDR. |
ação | Permitir ou Negar | A ação a ser tomada para a regra. |
O parâmetro ipAddressRange
aceita endereços IPv4. Defina cada bloco de endereço IPv4 na notação CIDR (roteamento entre domínios sem classe).
Observação
Todas as regras devem ser do mesmo tipo. Você não pode combinar regras de permissão e regras de recusa.
Gerenciar restrições de entrada de IP
Você pode gerenciar regras de restrições de acesso IP por meio do portal do Azure ou da CLI do Azure.
Adicionar regras
Acesse o aplicativo de contêiner no portal do Azure.
Selecione Entrada no menu do lado esquerdo.
Selecione a alternância do Modo de Restrições de Segurança de IP para habilitar restrições de IP. Você pode optar por permitir ou negar o tráfego dos intervalos de endereços IP especificados.
Selecione Adicionar para criar a regra.
Insira valores nos seguintes campos:
Campo Descrição Intervalo ou endereço IPv4 Insira o endereço IP ou o intervalo de endereços IP na notação CIDR. Por exemplo, para permitir o acesso de um único endereço IP, use o seguinte formato: 10.200.10.2/32. Nome Insira um nome para a regra. Descrição Insira uma descrição para a regra. Selecione Adicionar.
Repita as etapas 4 a 6 para adicionar mais regras.
Quando terminar de adicionar regras, selecione Salvar.
Atualizar uma regra
- Acesse o aplicativo de contêiner no portal do Azure.
- Selecione Entrada no menu do lado esquerdo.
- Selecione a regra que você deseja atualizar.
- Altere as configurações da regra.
- Selecione Salvar para salvar as atualizações.
- Selecione Salvar na página entrada para salvar as regras atualizadas.
Excluir uma regra
- Acesse o aplicativo de contêiner no portal do Azure.
- Selecione Entrada no menu do lado esquerdo.
- Selecione o ícone de exclusão ao lado da regra que você deseja excluir.
- Selecione Salvar.
Você pode gerenciar restrições de acesso a IP usando o grupo de comandos az containerapp ingress access-restriction
. Esse grupo de comandos tem as opções para:
set
: crie ou atualize uma regra.remove
: exclua uma regra.list
: lista todas as regras.
Criar ou atualizar regras
Você pode criar ou atualizar restrições de IP usando o comando az containerapp ingress access-restriction set
.
O grupo de comandos az containerapp ingress access-restriction set
usa os seguintes parâmetros.
Argumento | Valores | Descrição |
---|---|---|
--rule-name (obrigatório) |
String | Especifica o nome da regra de restrição de acesso. |
--description |
String | Especifica uma descrição para a regra de restrição de acesso. |
--action (obrigatório) |
Permitir/Negar | Especifica se o intervalo de endereços IP especificado deve permitir ou negar acesso. |
--ip-address (obrigatório) |
Endereço IP ou intervalo de endereços IP na notação CIDR | Especifica o intervalo de endereços IP para permitir ou negar. |
Adicione mais regras repetindo o comando com valores diferentes --rule-name
e --ip-address
.
Criar regras de permissão
O comando de exemplo az containerapp access-restriction set
a seguir cria uma regra para restringir o acesso de entrada a um intervalo de endereços IP. Você deve excluir todas as regras de negação existentes antes de adicionar qualquer regra de permissão.
Substitua os valores no exemplo a seguir por seus próprios valores.
az containerapp ingress access-restriction set \
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "my allow rule" \
--description "example of rule allowing access" \
--ip-address 192.168.0.1/28 \
--action Allow
Você pode adicionar às regras de permissão repetindo o comando com valores diferentes --ip-address
e --rule-name
.
Criar regras de negação
O exemplo a seguir do comando az containerapp access-restriction set
cria uma regra de acesso para negar o tráfego de entrada de um intervalo de IP especificado. Você deve excluir todas as regras de permissão existentes antes de adicionar regras de negação.
Substitua os espaços reservados no exemplo a seguir por seus próprios valores.
az containerapp ingress access-restriction set \
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "my deny rule" \
--description "example of rule denying access" \
--ip-address 192.168.0.100/28 \
--action Deny
Você pode adicionar às regras de negação repetindo o comando com valores diferentes --ip-address
e --rule-name
. Se você usar um nome de regra que já existe, a regra existente será atualizada.
Atualizar uma regra
Você pode atualizar uma regra usando o comando az containerapp ingress access-restriction set
. Você pode alterar o intervalo de endereços IP e a descrição da regra, mas não o nome ou a ação da regra.
O parâmetro --action
é necessário, mas você não pode alterar a ação de Permitir para Negar ou vice-versa.
Se você omitir o parâmetro ---description
, a descrição será excluída.
O exemplo a seguir atualiza o intervalo de endereços ip.
az containerapp ingress access-restriction set \
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "my deny rule" \
--ip-address 192.168.0.1/24 \
--description "example of rule denying access" \
--action Deny
Remover restrições de acesso
O comando de exemplo az containerapp ingress access-restriction remove
a seguir remove uma regra.
az containerapp ingress access-restriction list
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "<your rule name>"
Listar restrições de acesso
O comando de exemplo az containerapp ingress access-restriction list
a seguir lista as regras de restrição de IP para o aplicativo de contêiner.
az containerapp ingress access-restriction list
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP>