Nätverk för Azure Container Apps – Accelerator för landningszon

Container Apps ansvarar för att ta hand om OS-uppdateringar, skalning, redundansprocesser och resursallokering i en så kallad Container Apps-miljö. Miljöer kapslar in en eller flera containerappar eller jobb genom att skapa en säker gräns via ett virtuellt nätverk (VNet).

Som standard skapas ett virtuellt nätverk automatiskt för din Container App-miljö. Men om du vill ha mer detaljerad kontroll över nätverket kan du använda ett befintligt virtuellt nätverk när du skapar din containerappmiljö.

Miljöer kan acceptera externa begäranden eller låsas till endast interna begäranden.

Externa miljöer exponerar containerappar med hjälp av en virtuell IP-adress som är tillgänglig via det offentliga Internet. Alternativt kan interna miljöer exponera sina containerappar på en IP-adress i ditt virtuella nätverk. Du kan begränsa trafiken antingen i containerappmiljön eller via det virtuella nätverket. Mer information finns i Säkerhetsöverväganden för Azure Container Apps Landing Zone Accelerator.

Att tänka på

• Krav för undernät:

  • Ett dedikerat undernät krävs för en miljö i det virtuella nätverket. CIDR för undernätet ska vara /23 eller större för användning endast miljöer eller /27 större för arbetsbelastningsprofiler miljöer.

• IP-adresshantering:

  • En bas på 60 IP-adresser är reserverad i ditt virtuella nätverk. Det här beloppet kan öka när containermiljön skalas när varje apprevision hämtar en IP-adress från undernätet. Utgående IP-adresser kan ändras med tiden.

  • Endast IPv4-adresser stöds (IPv6 stöds inte).

  • En hanterad offentlig IP-resurs hanterar utgående begäranden och hanteringstrafik, oavsett om du har en extern eller intern miljö.

• Nätverkssäkerhet:

  • Du kan låsa ett nätverk via nätverkssäkerhetsgrupper (NSG) med mer restriktiva regler än de standardregler för nätverkssäkerhet som styr all inkommande och utgående trafik för en miljö.

• Proxy och kryptering:

  • Container Apps använder en Envoy-proxy som en EDGE HTTP-proxy. Alla HTTP-begäranden omdirigeras automatiskt till HTTP:er. Envoy avslutar TLS (Transport Layer Security) efter att ha korsat gränsen. Säkerhet på ömsesidigt transportlager (mTLS) är endast tillgängligt när du använder Dapr. Men eftersom Envoy avslutar mTLS krypteras inte inkommande anrop från Envoy till Dapr-aktiverade containerappar.

• DNS-överväganden:

  • När en miljö distribueras utför Container Apps många DNS-sökningar. Vissa av dessa sökningar refererar till interna Azure-domäner. Om du tvingar DNS-trafik via din anpassade DNS-lösning konfigurerar du DNS-servern för att vidarebefordra olösta DNS-frågor till Azure DNS.

  • För program som körs internt i Container Apps förlitar sig systemet på Azure Privat DNS Zones för att matcha DNS-namnet till den interna IP-adressen. I den Privat DNS zonen kan du peka en jokerteckenpost (*) A på ip-adressen för den interna lastbalanseraren.

• Utgående trafikhantering:

  • Utgående nätverkstrafik (utgående trafik) ska dirigeras via ett virtuellt Azure-brandväggs- eller nätverksinstallationskluster.

• Belastningsutjämning mellan miljöer:

  • Om du vill köra ditt program i flera Container Apps-miljöer av återhämtnings- eller närhetsskäl bör du överväga att använda en global belastningsutjämningstjänst som Azure Traffic Manager eller Azure Front Door.

• Nätverkssäkerhet:

  • Använd nätverkssäkerhetsgrupper (NSG) för att skydda nätverket och blockera onödig inkommande och utgående trafik.

  • Använd Azure DDoS Protection för Azure Container Apps-miljön.

  • Använd Private Link för säkra nätverksanslutningar och privat IP-baserad anslutning till andra hanterade Azure-tjänster.

  • Se till att alla slutpunkter för lösningen (interna och externa) endast accepterar TLS-krypterade anslutningar (HTTPS).

  • Använd en brandvägg för webbprogram med HTTPS/TCP-ingressen för internetuppkopplade och säkerhetskritiska, interna webbprogram.

  • I vissa scenarier kanske du vill exponera ett Container Apps-webbprogram direkt på Internet och skydda det med CDN-/WAF-tjänster från tredje part.

Rekommendationer

• Nätverkskonfiguration: Distribuera dina containerappar i ett anpassat virtuellt nätverk för att få mer kontroll över nätverkskonfigurationen.

• Säker inkommande anslutning: När du publicerar internetriktade tjänster använder du Azure Application Gateway (WAF_v2 SKU) eller Azure Front Door (med brandvägg för webbprogram) för att skydda inkommande anslutningar.

• Intern trafikhantering: Använd en intern nätverkskonfiguration för tjänster som Azure Application Gateway eller Azure Front Door, vilket säkerställer att trafik från lastbalanseraren till Azure Container Apps Environment använder en intern anslutning.

• Exponera program: Aktivera ingress för att exponera ditt program via HTTPs eller TCP-port.

Referenser

• Nätverksarkitektur i Azure Container Apps
• Skydda ett anpassat VNET i Azure Container Apps
• Nätverksproxy i Azure Container Apps
• Begränsningar för IP-ingress i Azure Container Apps
• Stöd för användardefinierade vägar
• Konfigurera UDR med Azure Firewall