Rete per App contenitore di Azure - Acceleratore della Zona di Atterraggio

App contenitore è responsabile della gestione degli aggiornamenti del sistema operativo, del ridimensionamento, dei processi di failover e dell'allocazione delle risorse in un ambiente di app contenitore. Gli ambienti incapsulano una o più app o processi contenitore creando un limite sicuro tramite una rete virtuale.

Per impostazione predefinita, viene creata automaticamente una rete virtuale per l'ambiente dell'app contenitore. Tuttavia, se si vuole un controllo più dettagliato sulla rete, è possibile usare una rete virtuale preesistente durante la creazione dell'ambiente dell'app contenitore.

Gli ambienti possono accettare richieste esterne o possono essere bloccati solo alle richieste interne .

Gli ambienti esterni espongono app contenitore usando un indirizzo IP virtuale accessibile tramite Internet pubblico. In alternativa, gli ambienti interni espongono le loro app container su un indirizzo IP all'interno della vostra rete virtuale. È possibile limitare il traffico all'interno dell'ambiente dell'app contenitore o tramite la rete virtuale. Per altre informazioni, vedere Considerazioni sulla sicurezza per l'acceleratore di zona di destinazione App contenitore di Azure.

Considerazioni

• Requisiti della subnet:

  • Per un ambiente nella rete virtuale è necessaria una subnet dedicata. Il CIDR della subnet deve essere /23 o più grande per ambienti a consumo, /27 o più grande per ambienti con profili di carico di lavoro.

• Gestione degli indirizzi IP:

  • Una base di 60 INDIRIZZI IP è riservata nella rete virtuale. Questa quantità può aumentare con il ridimensionamento dell'ambiente del contenitore, poiché ogni revisione dell'app ottiene un indirizzo IP dalla subnet. Gli indirizzi IP in uscita potrebbero cambiare nel tempo.

  • Sono supportati solo gli indirizzi IPv4 (IPv6 non è supportato).

  • Una risorsa IP pubblica gestita gestisce le richieste in uscita e il traffico di gestione, indipendentemente dal fatto che si disponga di un ambiente esterno o interno.

• Sicurezza di rete:

  • È possibile bloccare una rete tramite gruppi di sicurezza di rete (NSG) con regole più restrittive rispetto alle regole predefinite del gruppo di sicurezza di rete che controllano tutto il traffico in ingresso e in uscita per un ambiente.

• Proxy e crittografia:

  • Le app contenitore utilizzano un proxy Envoy come proxy perimetrale HTTP. Tutte le richieste HTTP vengono reindirizzate automaticamente a HTTPS. Envoy termina tls (Transport Layer Security) dopo aver superato il limite. La sicurezza a livello di trasporto reciproco (mTLS) è disponibile solo quando si usa Dapr. Tuttavia, poiché Envoy termina mTLS, le chiamate in ingresso da Envoy alle app contenitore abilitate per Dapr non vengono crittografate.

• Considerazioni sul DNS:

  • Durante la distribuzione di un ambiente, Container Apps esegue molte ricerche DNS. Alcune di queste ricerche fanno riferimento a domini Azure interni. Se si forza il traffico DNS tramite la soluzione DNS personalizzata, configurare il server DNS per inoltrare le query DNS non risolte ad DNS di Azure.

  • Per le applicazioni che vengono eseguite internamente su Container Apps, il sistema si basa su Azure DNS privato Zones per risolvere i nomi DNS negli indirizzi IP interni. All'interno della zona DNS privato è possibile puntare un record con caratteri jolly (*) A all'indirizzo IP del servizio di bilanciamento del carico interno.

• Gestione del traffico in uscita:

  • Il traffico di rete in uscita deve essere instradato tramite un Firewall di Azure o un cluster di appliance virtuali di rete.

• Bilanciamento del carico tra ambienti:

  • Per eseguire l'applicazione in più ambienti di App contenitore per motivi di resilienza o prossimità, è consigliabile usare un servizio di bilanciamento del carico globale, ad esempio Gestione traffico di Azure o Frontdoor di Azure.

• Sicurezza di rete:

  • Usare i gruppi di sicurezza di rete (NSG) per proteggere la rete e bloccare il traffico in ingresso e in uscita non necessario.

  • Usare Azure protezione DDoS per l'ambiente App contenitore di Azure.

  • Usare collegamento privato per connessioni di rete sicure e connettività privata basata su IP ad altri servizi di Azure gestiti.

  • Verificare che tutti gli endpoint per la soluzione (interna ed esterna) accettino solo connessioni crittografate TLS (HTTPS).

  • Utilizzare un firewall per applicazioni web con ingresso HTTPS/TCP per applicazioni web esposte a Internet e per applicazioni critiche per la sicurezza rivolte all'interno.

  • In alcuni scenari, è possibile esporre un'applicazione Web app contenitore direttamente a Internet e proteggerla con servizi CDN/WAF di terze parti.

Recommendations

• Configurazione di rete: distribuire le app contenitore in una rete virtuale personalizzata per ottenere un maggiore controllo sulla configurazione di rete.

• Connettività in ingresso sicura: quando si pubblicano servizi con connessione Internet, usare gateway applicazione di Azure (SKU WAF_v2) o Frontdoor di Azure (con Web application firewall) per proteggere la connettività in ingresso.

• Gestione del trafficointernale: usare una configurazione di rete interna per servizi come gateway applicazione di Azure o Frontdoor di Azure, assicurando che il traffico dal servizio di bilanciamento del carico all'ambiente App contenitore di Azure usi una connessione interna.

• Esposizione di applicazioni: abilitare l'ingresso per esporre l'applicazione tramite https o la porta TCP.

References

• architettura Architettura di rete in App contenitore di Azure
• Proteggere una VNET su misura in App contenitore di Azure
• Proxy di rete in App contenitore di Azure
• Restrizioni di ingressi IP in App contenitore di Azure
• Supporto per route definite dall'utente
• Configurare la route definita dall'utente con Firewall di Azure