Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come integrare l'ambiente App contenitore di Azure con Firewall di Azure usando route definite dall'utente . Usando UDR, è possibile controllare il modo in cui il traffico viene instradato all'interno della rete virtuale. È possibile instradare tutto il traffico in uscita dalle app contenitore tramite Firewall di Azure, che fornisce un punto centrale per il monitoraggio del traffico e l'applicazione dei criteri di sicurezza. Questa configurazione consente di proteggere le app contenitore da potenziali minacce. Consente inoltre di soddisfare i requisiti di conformità fornendo log dettagliati e funzionalità di monitoraggio.
Route definite dall'utente
Le route definite dall'utente e l'uscita controllata tramite il gateway NAT sono supportate solo in un ambiente di profili di carico di lavoro.
Usare UDR (User-Defined Route) per limitare il traffico in uscita dall'app contenitore tramite Firewall di Azure o altre appliance di rete. Per altre informazioni, vedere Controlre il traffico in uscita in App contenitore di Azure con route definite dall'utente.
La configurazione della UDR viene effettuata al di fuori dell'ambito dell'ambiente di app contenitore.
Azure crea una tabella di route predefinita per le reti virtuali quando vengono create. Implementando una tabella di route definita dall'utente, è possibile controllare il modo in cui il traffico viene instradato all'interno della rete virtuale. Ad esempio, è possibile creare una route definita dall'utente che limita il traffico in uscita dall'app container instradandolo a Firewall di Azure.
Quando usi UDR con Firewall di Azure in App contenitore di Azure, aggiungi le seguenti regole applicative o di rete all'elenco di elementi consentiti del tuo firewall, in base alle risorse che stai utilizzando.
Annotazioni
È sufficiente configurare le regole dell'applicazione o le regole di rete, a seconda dei requisiti del sistema. La configurazione di entrambi contemporaneamente non è necessaria.
Regole di applicazione
Le regole dell'applicazione consentono o negano il traffico in base al livello dell'applicazione. Le regole dell'applicazione firewall in uscita seguenti sono necessarie in base allo scenario.
| Scenari | FQDN | Descrizione |
|---|---|---|
| Tutti gli scenari |
mcr.microsoft.com, *.data.mcr.microsoft.com |
App contenitore di Azure usa questi FQDN per Microsoft Container Registry (MCR). Quando si usa App contenitore di Azure con Firewall di Azure, aggiungere queste regole dell'applicazione o le regole di rete per MCR all'elenco elementi consentiti. |
| Tutti gli scenari |
packages.aks.azure.com, acs-mirror.azureedge.net |
Il cluster AKS sottostante richiede che questi FQDN scarichino e installino i file binari di Kubernetes e i file binari CNI di Azure. Quando si usa App contenitore di Azure con Firewall di Azure, aggiungere queste regole dell'applicazione o le regole di rete per MCR all'elenco elementi consentiti. *** Per ulteriori informazioni, consultare le Regole richieste per FQDN/applicazione globali di Azure. |
| Registro Azure Container (ACR) |
Indirizzo-ACR, *.blob.core.windows.net, login.microsoft.com |
Questi FQDN sono necessari quando si usano App contenitore di Azure con Azure Container Registry e Firewall di Azure. |
| Azure Key Vault |
Your-Azure-Key-Vault-address, login.microsoft.com |
Questi FQDN sono necessari oltre al tag di servizio necessario per la regola di rete per Azure Key Vault. |
| Identità gestita |
*.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com*.login.microsoft.com |
Questi FQDN sono necessari quando si usa l'identità gestita con Firewall di Azure in App contenitore di Azure. |
| bus di servizio di Azure | *.servicebus.windows.net |
Questi nomi di dominio completi (FQDN) sono necessari quando le app contenitore comunicano con il bus di servizio di Azure (code, argomenti o sottoscrizioni) tramite Firewall di Azure. |
| Dashboard Aspire | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Questo FQDN (Fully Qualified Domain Name) è necessario quando si usa il dashboard di Aspire in un ambiente configurato con una rete virtuale. Aggiorna il FQDN con la regione della tua app contenitore. |
| Registro di sistema Docker Hub |
hub.docker.com, registry-1.docker.io, production.cloudflare.docker.com |
Se si utilizza il registro Docker Hub e si desidera accedervi tramite il firewall, aggiungere questi FQDN al firewall. |
| bus di servizio di Azure | *.servicebus.windows.net |
Questo nome di dominio completo è necessario quando si usano bus di servizio di Azure con App contenitore di Azure e Firewall di Azure. |
| Azure Cina: MCR |
mcr.azure.cn, *.data.mcr.azure.cn |
Questi endpoint di Microsoft Container Registry (MCR) vengono utilizzati per scaricare immagini container nell'ambiente Azure in Cina. |
| Azure Cina: Infrastruttura AKS |
mcr.azk8s.cn, mirror.azk8s.cn |
Questi mirror AKS specifici per la Cina vengono usati per scaricare i binari di Kubernetes e le immagini del container. |
| Azure Cina: Registro Azure Container | *.azurecr.cn |
Obbligatorio quando si usano Registro Azure Container nell'ambiente Azure Cina. |
| Azure Cina: Identità gestita |
*.identity.azure.cn, login.chinacloudapi.cn, *.login.chinacloudapi.cn |
Questi FQDN sono necessari quando si usa l'identità gestita nell'ambiente Azure Cina. |
| Azure Cina: Key Vault |
*.vault.azure.cn, login.chinacloudapi.cn |
Obbligatorio quando si usa Azure Key Vault nell'ambiente Azure Cina. |
| Azure Cina: Gestione di Azure |
management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn |
Obbligatorio per le chiamate API Azure Resource Manager e gli account di archiviazione gestiti dalla piattaforma nell'ambiente Azure Cina. |
| Azure Cina: Monitoraggio |
*.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn |
Obbligatorio per il monitoraggio della piattaforma e l'inserimento dei dati di telemetria nell'ambiente Azure Cina. |
| Azure Cina: Piattaforma App per i contenitori |
*.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn |
Obbligatorio per il piano di controllo regionale e l'API di estensioni delle App di contenitori nell'ambiente Cina di Azure. |
| Azure Cina: Aspire Dashboard | *.azurecontainerapps.cn |
Obbligatorio quando si usa il Dashboard Aspire o gli FQDN dell'app nell'ambiente Azure in Cina. |
Annotazioni
I nomi di dominio completi Azure Cina elencati in precedenza si applicano solo all'ambiente Azure Cina. Docker Hub FQDN sono gli stessi a livello globale, ma l'accesso dalla Cina potrebbe non essere affidabile. Prendere in considerazione il mirroring delle immagini in Registro Azure Container (*.azurecr.cn).
Regole di rete
Le regole di rete consentono o negano il traffico in base al livello di rete e trasporto. Quando si usa UDR con Firewall di Azure in App contenitore di Azure, aggiungere le seguenti regole di rete del firewall in uscita, in base allo scenario.
| Scenari | Tag del servizio | Descrizione |
|---|---|---|
| Tutti gli scenari |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
App contenitore di Azure usa questi tag di servizio per Microsoft Container Registry (MCR). Per consentire App contenitore di Azure di usare MCR, aggiungere queste regole di rete o le regole dell'applicazione per MCR all'elenco consenti quando si usa App contenitore di Azure con Firewall di Azure. |
| Registro Azure Container (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
Quando si utilizza Registro Azure Container con app contenitore di Azure, configurare le regole di rete utilizzate dal Registro Azure Container. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Questi tag di servizio sono necessari oltre al nome di dominio completo per la regola di rete per Azure Key Vault. |
| Identità gestita | AzureActiveDirectory |
Quando si usa l'identità gestita con app contenitore di Azure, configurare queste regole di rete usate dall'identità gestita. |
| bus di servizio di Azure | ServiceBus |
Obbligatorio quando le app del contenitore accedono alle bus di servizio di Azure usando tag di servizio e Firewall di Azure. |
Annotazioni
Per le risorse di Azure che stai usando con Firewall di Azure e che non sono elencate in questo articolo, vedere la documentazione relativa ai tag di servizio .