Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica os conceitos para integrar seu ambiente de Aplicativos de Contêiner do Azure com Firewall do Azure usando UDRs (rotas definidas pelo usuário). Usando UDRs, você pode controlar como o tráfego é roteado em sua rede virtual.
Você pode rotear todo o tráfego de saída de seus aplicativos de contêiner por meio de Firewall do Azure, que fornece um ponto central para monitorar o tráfego e aplicar políticas de segurança. Essa configuração ajuda a proteger seus aplicativos de contêiner contra possíveis ameaças. Ele também ajuda você a atender aos requisitos de conformidade fornecendo logs detalhados e recursos de monitoramento.
Rotas definidas pelo usuário
UDRs e saída controlada por meio do Gateway da NAT do Azure têm suporte apenas em um ambiente de perfil de carga de trabalho.
Use uma UDR para restringir o tráfego de saída de seu aplicativo de contêiner por meio de Firewall do Azure ou outros dispositivos de rede. Para obter mais informações, consulte Controle o tráfego de saída em Aplicativos de Contêiner do Azure com rotas definidas pelo usuário.
Você configura uma UDR fora do escopo do ambiente de Aplicativos de Contêiner.
Azure cria uma tabela de rotas padrão para suas redes virtuais ao criar essas redes. Ao implementar uma tabela de rotas definida pelo usuário, você pode controlar como o tráfego é roteado em sua rede virtual. Por exemplo, você pode criar uma UDR que restringe o tráfego de saída do aplicativo de contêiner roteando-o para Firewall do Azure.
Quando você usa uma UDR com Firewall do Azure em Aplicativos de Contêiner, adicione regras de aplicativo ou rede à lista de permissões do firewall, dependendo de quais recursos você está usando.
Observação
Configure regras de aplicativo ou regras de rede, dependendo dos requisitos do sistema. Não é necessário configurar ambos ao mesmo tempo.
Regras do aplicativo
As regras de aplicativo permitem ou negam o tráfego com base na camada do aplicativo. As seguintes regras de aplicativos de firewall de saída e seus FQDNs (nomes de domínio totalmente qualificados) são necessários, com base no cenário.
| Cenários | FQDNs | Descrição |
|---|---|---|
| Todos os cenários |
mcr.microsoft.com, *.data.mcr.microsoft.com |
O Container Apps usa estes FQDNs para o Microsoft Artifact Registry. Quando você estiver usando Aplicativos de Contêiner com Firewall do Azure, adicione essas regras de aplicativo ou as regras de rede do Registro de Artefatos à lista de permissões. |
| Todos os cenários |
packages.aks.azure.com, acs-mirror.azureedge.net |
O cluster de AKS (Serviço de Kubernetes do Azure) subjacente requer que esses FQDNs baixem e instalem binários do Kubernetes e da CNI (Interface de Rede de Contêiner) de Azure. Quando você estiver usando Aplicativos de Contêiner com Firewall do Azure, adicione essas regras de aplicativo ou as regras de rede do Registro de Artefatos à lista de permissões. Para obter mais informações, consulte FQDN / regras de aplicativo necessários do Azure Global. |
| Registro de Contêiner do Azure |
<your-Container-Registry-address>
*.blob.core.windows.net
login.microsoft.com
|
Esses FQDNs são necessários quando você está usando Aplicativos de Contêiner com Registro de Contêiner e Firewall do Azure. |
| Azure Key Vault |
<your-Key-Vault-address>, login.microsoft.com |
Esses FQDNs são necessários além da tag de serviço exigida pela regra de rede do Key Vault. |
| Identidade gerenciada |
*.identity.azure.net, login.microsoftonline.com, , *.login.microsoftonline.com*.login.microsoft.com |
Esses FQDNs são necessários quando você está usando uma identidade gerenciada com Firewall do Azure em Aplicativos de Contêiner. |
| Barramento de Serviço do Azure | *.servicebus.windows.net |
Esses FQDNs são necessários quando seus aplicativos de contêiner se comunicam com o Barramento de Serviço (filas, tópicos ou assinaturas) por meio do Firewall do Azure. |
| Painel do Aspire | https://<YOUR-CONTAINER-APP-REGION>.ext.azurecontainerapps.dev |
Esse FQDN é necessário quando você está usando o painel do Aspire em um ambiente configurado com uma rede virtual. Atualize o FQDN com a região do aplicativo de contêiner. |
| registro Docker Hub |
hub.docker.com
registry-1.docker.io
production.cloudflare.docker.com
|
Se você estiver usando um registro Docker Hub e quiser acessá-lo por meio do firewall, adicione esses FQDNs ao firewall. |
| Barramento de Serviço do Azure | *.servicebus.windows.net |
Esse FQDN é necessário quando você está usando Barramento de Serviço com aplicativos de contêiner e Firewall do Azure. |
| Azure operado pela 21Vianet (Azure na China): Microsoft Registro de Artefatos |
mcr.azure.cn, *.data.mcr.azure.cn |
Esses endpoints do Artifact Registry são usados para fazer download de imagens de contêiner no ambiente do Azure na China. |
| Azure na China: infraestrutura do AKS |
mcr.azk8s.cn, mirror.azk8s.cn |
Esses espelhos AKS específicos da China são usados para baixar binários do Kubernetes e imagens de contêiner. |
| Azure na China: Registro de Contêiner do Azure | *.azurecr.cn |
Esse FQDN é necessário quando você está usando o Registro de Contêiner no Azure no ambiente da China. |
| Azure na China: identidade gerenciada |
*.identity.azure.cn
login.chinacloudapi.cn
*.login.chinacloudapi.cn
|
Esses FQDNs são necessários quando você está usando uma identidade gerenciada no Azure no ambiente da China. |
| Azure na China: Azure Key Vault |
*.vault.azure.cn, login.chinacloudapi.cn |
Esses FQDNs são necessários quando você está usando Key Vault no Azure no ambiente da China. |
| Azure na China: gerenciamento de Azure |
management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn |
Esses FQDNs são necessários para chamadas à API do Azure Resource Manager e contas de armazenamento gerenciadas pela plataforma no ambiente Azure na China. |
| Azure na China: monitoramento |
*.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn |
Esses FQDNs são necessários para monitoramento de plataforma e ingestão de telemetria no Azure no ambiente da China. |
| Azure na China: plataforma de Aplicativos de Contêiner |
*.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn |
Esses FQDNs são necessários para o plano de controle regional dos Aplicativos de Contêiner e a API de extensões no Azure no ambiente da China. |
| Azure na China: dashboard do Aspire | *.azurecontainerapps.cn |
Esses FQDNs são necessários ao usar o painel do Aspire ou os FQDNs do aplicativo no ambiente do Azure na China. |
Observação
Os FQDNs do Azure na China se aplicam apenas ao ambiente Azure na China. Docker Hub FQDNs são os mesmos globalmente, mas o acesso da China pode não ser confiável. Considere espelhar imagens para o Container Registry (*.azurecr.cn) em vez disso.
Regras de rede
As regras de rede permitem ou negam o tráfego com base na camada de rede e transporte. Ao usar uma UDR com Firewall do Azure em Aplicativos de Contêiner, adicione as seguintes regras de rede de firewall de saída com base no cenário.
| Cenários | Etiquetas de serviço | Descrição |
|---|---|---|
| Todos os cenários |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
O Container Apps usa essas tags de serviço para o Microsoft Artifact Registry. Para permitir que os Aplicativos de Contêiner usem o Registro de Artefatos, adicione essas regras de rede ou as regras de aplicativo do Registro de Artefatos à lista de permissões quando você estiver usando Aplicativos de Contêiner com Firewall do Azure. |
| Registro de Contêiner do Azure |
AzureContainerRegistry, AzureActiveDirectory |
Ao usar o Registro de Contêiner com Aplicativos de Contêiner, configure essas regras de rede que o Registro de Contêiner usa. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Essas marcas de serviço são necessárias, além do FQDN, para a regra de rede do Key Vault. |
| Identidade gerenciada | AzureActiveDirectory |
Ao usar uma identidade gerenciada com Aplicativos de Contêiner, configure essas regras de rede que a identidade gerenciada usa. |
| Barramento de Serviço do Azure | ServiceBus |
Essa marca de serviço é necessária quando seus aplicativos de contêiner acessam Barramento de Serviço usando Firewall do Azure e marcas de serviço. |
Observação
Para Azure recursos que você está usando com Firewall do Azure que não estão listados neste artigo, consulte a documentação service tags.