Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo informa como integrar seu ambiente de Aplicativos de Contêiner do Azure com Firewall do Azure usando UDR (rotas definidas pelo usuário). Usando a UDR, você pode controlar como o tráfego é roteado em sua rede virtual. Você pode rotear todo o tráfego de saída de seus aplicativos de contêiner por meio de Firewall do Azure, que fornece um ponto central para monitorar o tráfego e aplicar políticas de segurança. Essa configuração ajuda a proteger seus aplicativos de contêiner contra possíveis ameaças. Ele também ajuda a atender aos requisitos de conformidade fornecendo logs detalhados e recursos de monitoramento.
UDR (rotas definidas pelo usuário)
As UDR (Rotas Definidas pelo Usuário) e a saída controlada por meio do Gateway de NAT têm suporte apenas em um ambiente de perfis de carga de trabalho.
Você pode usar a UDR para restringir o tráfego de saída de seu aplicativo de contêiner por meio de Firewall do Azure ou outros dispositivos de rede. Para obter mais informações, consulte Controle o tráfego de saída em Aplicativos de Contêiner do Azure com rotas definidas pelo usuário.
A configuração da UDR é feita fora do escopo do ambiente de Aplicativos de Contêiner.
Azure cria uma tabela de rotas padrão para suas redes virtuais após a criação. Ao implementar uma tabela de rotas definida pelo usuário, você pode controlar como o tráfego é roteado em sua rede virtual. Por exemplo, você pode criar uma UDR que restringe o tráfego de saída do aplicativo de contêiner roteando-o para Firewall do Azure.
Ao usar a UDR com Firewall do Azure em Aplicativos de Contêiner do Azure, você deve adicionar as seguintes regras de aplicativo ou rede à lista de permissões do firewall, dependendo de quais recursos você está usando.
Observação
Você só precisa configurar regras de aplicativo ou regras de rede, dependendo dos requisitos do sistema. Não é necessário configurar ambos ao mesmo tempo.
Regras do aplicativo
As regras de aplicativo permitem ou negam o tráfego com base na camada do aplicativo. As seguintes regras de aplicativo de firewall de saída são necessárias com base no cenário.
| Cenários | FQDNs | Descrição |
|---|---|---|
| Todos os cenários |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Esses FQDNs para MCR (Registro de Contêiner Microsoft) são usados por Aplicativos de Contêiner do Azure. Essas regras de aplicativo ou as regras de rede para MCR devem ser adicionadas à lista de permissões ao usar Aplicativos de Contêiner do Azure com Firewall do Azure. |
| Todos os cenários |
packages.aks.azure.com, acs-mirror.azureedge.net |
Esses FQDNs são exigidos pelo cluster AKS subjacente para baixar e instalar os binários do Kubernetes e do Azure CNI. Essas regras de aplicativo ou as regras de rede para MCR devem ser adicionadas à lista de permissões ao usar Aplicativos de Contêiner do Azure com Firewall do Azure. Para obter mais informações, consulte as regras de aplicação/FQDN necessário do Azure Global |
| Registro de Contêiner do Azure (ACR) |
Seu endereço ACR, *.blob.core.windows.netlogin.microsoft.com |
Esses FQDNs são necessários ao usar Aplicativos de Contêiner do Azure com ACR e Firewall do Azure. |
| Azure Key Vault |
Your-Azure-Key-Vault-address, login.microsoft.com |
Esses FQDNs são necessários além da marca de serviço necessária para a regra de rede do Azure Key Vault. |
| Identidade Gerenciada |
*.identity.azure.net, login.microsoftonline.com, , *.login.microsoftonline.com*.login.microsoft.com |
Esses FQDNs são necessários ao usar a identidade gerenciada com Firewall do Azure em Aplicativos de Contêiner do Azure. |
| Barramento de Serviço do Azure | *.servicebus.windows.net | Esses FQDNs são necessários quando seus aplicativos de contêiner se comunicam com o Barramento de Serviço do Azure (filas, tópicos ou assinaturas) por meio do Firewall do Azure. |
| Painel do Aspire | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Esse FQDN é necessário ao usar o painel do Aspire em um ambiente configurado com uma rede virtual. Atualize o FQDN com a região do aplicativo de contêiner. |
| Registro de Docker Hub |
hub.docker.com
registry-1.docker.io
production.cloudflare.docker.com
|
Se você estiver usando Docker Hub Registro e quiser acessá-lo por meio do firewall, precisará adicionar esses FQDNs ao firewall. |
| Barramento de Serviço do Azure | *.servicebus.windows.net |
Esse FQDN é necessário ao usar Barramento de Serviço do Azure com Aplicativos de Contêiner do Azure e Firewall do Azure. |
| Azure China |
mcr.azure.cn, *.data.mcr.azure.cn |
Aplicativos de Contêiner do Azure no ambiente Azure China usam esses endpoints do Microsoft Container Registry (Registro de Contêiner Microsoft) para puxar imagens de contêiner. Ao usar Firewall do Azure, você deve permitir as regras de aplicativo correspondentes ou as regras de rede para MCR. Esse requisito se aplica apenas ao ambiente Azure China. |
Regras de rede
As regras de rede permitem ou negam o tráfego com base na camada de rede e transporte. Ao usar udr com Firewall do Azure em Aplicativos de Contêiner do Azure, você deve adicionar as seguintes regras de rede de firewall de saída com base no cenário.
| Cenários | Etiqueta de serviço | Descrição |
|---|---|---|
| Todos os cenários |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Essas marcas de serviço para o MCR (Registro de Contêiner Microsoft) são usadas por Aplicativos de Contêiner do Azure. Essas regras de rede ou as regras de aplicativo para MCR devem ser adicionadas à lista de permissões ao usar Aplicativos de Contêiner do Azure com Firewall do Azure. |
| Registro de Contêiner do Azure (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
Ao usar o ACR com Aplicativos de Contêiner do Azure, você precisa configurar essas regras de rede usadas pelo Registro de Contêiner do Azure. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Essas marcas de serviço são necessárias além do FQDN para a regra de rede para Azure Key Vault. |
| Identidade Gerenciada | AzureActiveDirectory |
Ao usar a Identidade Gerenciada com Aplicativos de Contêiner do Azure, você precisará configurar essas regras de rede usadas pela Identidade Gerenciada. |
| Barramento de Serviço do Azure | ServiceBus |
Necessário quando seus aplicativos de contêiner acessam Barramento de Serviço do Azure usando Firewall do Azure e marcas de serviço. |
Observação
Para os recursos do Azure que você está usando com o Firewall do Azure não listados neste artigo, consulte a documentação sobre service tags.