Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt uitgelegd hoe u uw Azure Container Apps-omgeving integreert met Azure Firewall met behulp van door de gebruiker gedefinieerde routes (UDR). Met behulp van UDR kunt u bepalen hoe verkeer binnen uw virtuele netwerk wordt gerouteerd. U kunt al het uitgaande verkeer van uw container-apps routeren via Azure Firewall, dat een centraal punt biedt voor het bewaken van verkeer en het toepassen van beveiligingsbeleid. Met deze installatie kunt u uw container-apps beschermen tegen mogelijke bedreigingen. Het helpt u ook om te voldoen aan nalevingsvereisten door gedetailleerde logboeken en bewakingsmogelijkheden te bieden.
Door de gebruiker gedefinieerde routes (UDR)
Door de gebruiker gedefinieerde routes (UDR) en gecontroleerde uitgaande verbindingen via NAT Gateway worden alleen ondersteund in een omgeving met workloadprofielen.
Gebruik UDR om uitgaand verkeer van uw container-app te beperken via Azure Firewall of andere netwerkapparaten. Zie Controle van uitgaand verkeer in Azure Container Apps met door de gebruiker gedefinieerde routes voor meer informatie.
U configureert UDR buiten het bereik van de Container Apps-omgeving.
Azure maakt een standaardroutetabel voor uw virtuele netwerken wanneer u deze maakt. Door een door de gebruiker gedefinieerde routetabel te implementeren, kunt u bepalen hoe verkeer binnen uw virtuele netwerk wordt gerouteerd. U kunt bijvoorbeeld een UDR maken waarmee uitgaand verkeer van uw container-app wordt beperkt door deze te routeren naar Azure Firewall.
Wanneer u UDR gebruikt met Azure Firewall in Azure Container Apps, voegt u de volgende toepassings- of netwerkregels toe aan de acceptatielijst voor uw firewall, afhankelijk van de resources die u gebruikt.
Opmerking
U hoeft alleen toepassingsregels of netwerkregels te configureren, afhankelijk van de vereisten van uw systeem. Het configureren van beide tegelijk is niet nodig.
Toepassingsregels
Toepassingsregels staan verkeer toe of weigeren op basis van de toepassingslaag. De volgende regels voor uitgaande firewalltoepassingen zijn vereist op basis van het scenario.
| Scenariën | FQDN's | Beschrijving |
|---|---|---|
| Alle scenario's |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Azure Container Apps gebruikt deze FQDN's voor Microsoft Container Registry (MCR). Wanneer u Azure Container Apps gebruikt met Azure Firewall, voegt u deze toepassingsregels of de netwerkregels voor MCR toe aan de acceptatielijst. |
| Alle scenario's |
packages.aks.azure.com, acs-mirror.azureedge.net |
Voor het onderliggende AKS-cluster zijn deze FQDN's nodig om Kubernetes- en Azure CNI-binaries te downloaden en te installeren. Wanneer u Azure Container Apps gebruikt met Azure Firewall, voegt u deze toepassingsregels of de netwerkregels voor MCR toe aan de acceptatielijst. Zie voor meer informatie de Azure Global vereiste FQDN/toepassingsregels. |
| Azure Container Registry (ACR) |
Uw ACR-adres, *.blob.core.windows.netlogin.microsoft.com |
Deze FQDN's zijn vereist bij het gebruik van Azure Container Apps met ACR en Azure Firewall. |
| Azure Key Vault |
Your-Azure-Key-Vault-address, login.microsoft.com |
Deze FQDN's zijn vereist naast de servicetag die is vereist voor de netwerkregel voor Azure Key Vault. |
| Beheerde identiteit |
*.identity.azure.net,login.microsoftonline.com,*.login.microsoftonline.com,*.login.microsoft.com |
Deze FQDN's zijn vereist bij het gebruik van een beheerde identiteit met Azure Firewall in Azure Container Apps. |
| Azure Service Bus | *.servicebus.windows.net |
Deze FQDN's zijn vereist wanneer uw container-apps communiceren met Azure Service Bus (wachtrijen, onderwerpen of abonnementen) via Azure Firewall. |
| Aspire-dashboard | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Deze FQDN is vereist bij het gebruik van het Dashboard van Aspire in een omgeving die is geconfigureerd met een virtueel netwerk. Werk de FQDN bij met de regio van uw container-app. |
| Docker Hub Registry |
hub.docker.com, registry-1.docker.ioproduction.cloudflare.docker.com |
Als u Docker Hub register gebruikt en deze wilt openen via de firewall, voegt u deze FQDN's toe aan de firewall. |
| Azure Service Bus | *.servicebus.windows.net |
Deze FQDN is vereist bij het gebruik van Azure Service Bus met Azure Container Apps en Azure Firewall. |
| Azure China: MCR |
mcr.azure.cn, *.data.mcr.azure.cn |
Deze Microsoft Container Registry (MCR) eindpunten worden gebruikt om containerafbeeldingen te downloaden in de Azure-omgeving voor China. |
| Azure China: AKS-infrastructuur |
mcr.azk8s.cn, mirror.azk8s.cn |
Deze China-specifieke AKS-spiegels worden gebruikt om binaire Kubernetes-bestanden en containerinstallatiekopieën te downloaden. |
| Azure China: ACR | *.azurecr.cn |
Vereist bij het gebruik van Azure Container Registry in de Azure China-omgeving. |
| Azure China: Beheerde identiteit |
*.identity.azure.cn, login.chinacloudapi.cn*.login.chinacloudapi.cn |
Deze FQDN's zijn vereist bij het gebruik van een beheerde identiteit in de Azure China-omgeving. |
| Azure China: Key Vault (sleutelkluis) |
*.vault.azure.cn, login.chinacloudapi.cn |
Vereist bij gebruik van Azure Key Vault in de Azure China-omgeving. |
| Azure China: Azure Management |
management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn |
Vereist voor Azure Resource Manager API-aanroepen en door platform beheerde opslagaccounts in de Azure China-omgeving. |
| Azure China: monitoring |
*.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn |
Vereist voor platformbewaking en telemetrieopname in de Azure China-omgeving. |
| Azure China: Container Apps Platform |
*.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn |
Vereist voor het regionale besturingsvlak en de API voor uitbreidingen van Container Apps in de Azure-omgeving in China. |
| Azure China: Aspire Dashboard | *.azurecontainerapps.cn |
Vereist bij het gebruik van Aspire Dashboard of app FQDN's in de Azure China-omgeving. |
Opmerking
De eerder vermelde Azure China-FQDN's zijn alleen van toepassing op de Azure China-omgeving. Docker Hub FQDN's zijn wereldwijd hetzelfde, maar de toegang vanuit China is mogelijk onbetrouwbaar. U kunt in plaats daarvan afbeeldingen spiegelen naar Azure Container Registry (*.azurecr.cn).
Netwerkregels
Netwerkregels staan verkeer toe of weigeren op basis van de netwerk- en transportlaag. Wanneer u UDR gebruikt met Azure Firewall in Azure Container Apps, voegt u de volgende uitgaande firewallnetwerkregels toe op basis van het scenario.
| Scenariën | Servicetag | Beschrijving |
|---|---|---|
| Alle scenario's |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Azure Container Apps gebruikt deze servicetags voor Microsoft Container Registry (MCR). Als u wilt toestaan dat Azure Container Apps MCR kunt gebruiken, voegt u deze netwerkregels of de toepassingsregels voor MCR toe aan de acceptatielijst wanneer u Azure Container Apps gebruikt met Azure Firewall. |
| Azure Container Registry (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
Wanneer u ACR met Azure Container Apps gebruikt, configureert u deze netwerkregels die door Azure Container Registry worden gebruikt. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Deze servicetags zijn vereist naast de FQDN voor de netwerkregel voor Azure Key Vault. |
| Beheerde identiteit | AzureActiveDirectory |
Wanneer u Beheerde identiteit gebruikt met Azure Container Apps, configureert u deze netwerkregels die worden gebruikt door Beheerde identiteit. |
| Azure Service Bus | ServiceBus |
Vereist wanneer uw container-apps toegang hebben tot Azure Service Bus met behulp van Azure Firewall en servicetags. |
Opmerking
Zie de documentatie servicetags voor Azure resources die u gebruikt met Azure Firewall die niet worden vermeld in dit artikel.