Configurar restrições de entrada de IP em Aplicativos de Contêiner do Azure

Aplicativos de Contêiner do Azure permite limitar o tráfego de entrada ao seu aplicativo de contêiner configurando restrições de entrada de IP.

Existem dois tipos de restrições:

  • Permitir: permite o tráfego de entrada somente de intervalos de endereços especificados nas regras de permissão.
  • Negar: negar todo o tráfego de entrada proveniente dos intervalos de endereços especificados nas regras de negação.

Quando você não define nenhuma regra de restrição de IP, todo o tráfego de entrada é permitido.

As regras de restrição de IP contêm as seguintes propriedades:

Propriedade Valor Descrição
nome cadeia O nome da regra.
descrição cadeia Descrição da regra.
ipAddressRange Intervalo de endereços IP no formato CIDR O intervalo de endereços IP na notação CIDR.
ação Permitir ou Negar A ação a ser tomada em relação à regra.

O parâmetro ipAddressRange aceita endereços IPv4. Defina cada bloco de endereços IPv4 na notação CIDR (Classless Inter-Domain Routing).

Observação

Todas as regras devem ser do mesmo tipo. Você não pode combinar regras de permissão e regras de negação.

Gerenciar restrições de entrada IP

Você pode gerenciar as regras de restrição de acesso IP por meio do portal do Azure ou da CLI do Azure.

Adicionar regras

  1. No Azure portal, acesse seu aplicativo de contêiner.

  2. No menu à esquerda, selecione Rede>Ingress.

  3. Em Restrições de IP, você pode optar por permitir ou negar o tráfego dos intervalos de endereços IP especificados. Neste exemplo, selecione Permitir tráfego dos IPs configurados abaixo e negar todo o restante do tráfego.

  4. Selecione Adicionar para criar a regra.

    Captura de tela das configurações de restrição de IP na página entrada do aplicativo de contêiner.

  5. Insira valores nos seguintes campos:

    Campo Descrição
    Endereço ou intervalo IPv4 Insira o endereço IP ou o intervalo de endereços IP na notação CIDR. Por exemplo, para permitir o acesso a partir de um único endereço IP, utilize o seguinte formato: 10.200.10.2/32.
    Nome Insira um nome para a regra.
    Descrição Insira uma descrição para a regra

  6. Selecione Adicionar.

  7. Repita os passos 4 a 6 para adicionar mais regras.

  8. Quando terminar de adicionar regras, selecione Salvar.

Atualizar uma regra

  1. No portal do Azure, acesse seu aplicativo de contêiner.
  2. No menu à esquerda, selecione Rede>Ingress.
  3. Selecione a regra que deseja atualizar.
  4. Alterar as configurações da regra.
  5. Selecione Salvar para salvar as atualizações.
  6. Na página Entrada , selecione Salvar para salvar suas regras atualizadas.

Excluir uma regra

  1. No portal do Azure, acesse seu aplicativo de contêiner.
  2. No menu à esquerda, selecione Rede>Ingress.
  3. Selecione o ícone Excluir ao lado da regra que deseja excluir.
  4. Clique em Salvar.

Você pode gerenciar Restrições de acesso a IP usando o grupo de comandos az containerapp ingress access-restriction. Este grupo de comandos possui as seguintes opções:

  • set: criar ou atualizar uma regra.
  • remove: excluir uma regra.
  • list: listar todas as regras.

Criar ou atualizar regras

Você pode criar ou atualizar restrições de IP usando o comando az containerapp ingress access-restriction set.

O grupo de comandos az containerapp ingress access-restriction set usa os seguintes parâmetros.

Argumento Valores Descrição
--rule-name (obrigatório) String Especifica o nome da regra de restrição de acesso.
--description String Especifica uma descrição para a regra de restrição de acesso.
--action (obrigatório) Permitir/Negar Especifica se o acesso deve ser permitido ou negado a partir do intervalo de endereços IP especificado.
--ip-address (obrigatório) Endereço IP ou intervalo de endereços IP na notação CIDR. Especifica o intervalo de endereços IP a serem permitidos ou negados.

Adicione mais regras repetindo o comando com um valores --rule-name e ---ip-address diferentes.

Criar regras de permissão

O comando de exemplo a seguir az containerapp access-restriction set cria uma regra para restringir o acesso de entrada a um intervalo de endereços IP. Você deve excluir todas as regras de negação existentes antes de adicionar quaisquer regras de permissão.

Substitua os valores no exemplo a seguir pelos seus próprios valores.

az containerapp ingress access-restriction set \
   --name <CONTAINER_APP_NAME> \
   --resource-group <RESOURCE_GROUP> \
   --rule-name "my allow rule" \
   --description "example of rule allowing access" \
   --ip-address 192.168.0.1/28 \
   --action Allow

Você pode adicionar às regras de permissão repetindo o comando com valores diferentes --ip-address e --rule-name.

Criar regras de negação

O exemplo a seguir do comando az containerapp access-restriction set cria uma regra de acesso para negar o tráfego de entrada de um intervalo de IP especificado. Você deve excluir todas as regras de permissão existentes antes de adicionar regras de negação.

Substitua os espaços reservados no exemplo a seguir pelos seus próprios valores.

az containerapp ingress access-restriction set \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "my deny rule" \
  --description "example of rule denying access" \
  --ip-address 192.168.0.100/28 \
  --action Deny

Você pode adicionar às regras de negação repetindo o comando com valores diferentes --ip-address e --rule-name. Se você usar um nome de regra que já existe, a regra existente será atualizada.

Atualizar uma regra

Você pode atualizar uma regra usando o comando az containerapp ingress access-restriction set. Você pode alterar o intervalo de endereços IP e a descrição da regra, mas não o nome ou a ação da regra.

O parâmetro --action é necessário, mas você não pode alterar a ação de Permitir para Negar ou vice-versa. Se você omitir o parâmetro --description, a descrição será excluída.

O exemplo a seguir atualiza o intervalo de endereços IP.

az containerapp ingress access-restriction set \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "my deny rule" \
  --ip-address 192.168.0.1/24 \
  --description "example of rule denying access" \
  --action Deny

Remover restrições de acesso

O comando de exemplo a seguir az containerapp ingress access-restriction remove remove uma regra.

az containerapp ingress access-restriction remove \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "<your rule name>"

Lista de restrições de acesso

O comando de exemplo a seguir az containerapp ingress access-restriction list lista as regras de restrição de IP para o aplicativo de contêiner.

az containerapp ingress access-restriction list \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP>

Resolução de problemas

Use as informações a seguir para ajudá-lo a solucionar problemas relacionados a IP em seu aplicativo de contêiner.

Acesso negado

Uma mensagem RBAC: Acesso Negado retornada ao cliente indica que o cliente está bloqueado por restrições de IP do aplicativo contêiner. Para corrigir esse problema, verifique se o endereço IP do cliente que solicita acesso é permitido com base nas regras de permissão ou negação .

Se estiver usando um intervalo de endereços, verifique se o IP bloqueado está dentro de um intervalo permitido.

Próxima etapa

Configurar a entrada

  • Last updated on