Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo explica-lhe como integrar o seu ambiente Azure Container Apps com o Azure Firewall usando rotas definidas pelo utilizador (UDR). Usando UDR, você pode controlar como o tráfego é roteado dentro de sua rede virtual. Pode encaminhar todo o tráfego de saída das suas aplicações container através do Azure Firewall, que fornece um ponto central para monitorizar o tráfego e aplicar políticas de segurança. Essa configuração ajuda a proteger seus aplicativos de contêiner contra ameaças potenciais. Ele também ajuda a atender aos requisitos de conformidade, fornecendo logs detalhados e recursos de monitoramento.
Rotas definidas pelo usuário (UDR)
As Rotas Definidas pelo Usuário (UDR) e a saída controlada por meio do Gateway NAT são suportadas apenas em um ambiente de perfis de carga de trabalho.
Pode usar o UDR para restringir o tráfego de saída da sua aplicação container através do Azure Firewall ou outros appliances de rede. Para mais informações, consulte Controla o tráfego de saída em Azure Container Apps com rotas definidas pelo utilizador.
A configuração de UDR é feita fora do âmbito do ambiente Container Apps.
O Azure cria uma tabela de rotas padrão para as tuas redes virtuais ao criar. Ao implementar uma tabela de rotas definida pelo usuário, você pode controlar como o tráfego é roteado em sua rede virtual. Por exemplo, pode criar um UDR que restrinja o tráfego de saída da sua aplicação container, encaminhando-o para o Azure Firewall.
Ao usar UDR com Azure Firewall no Azure Container Apps, deve adicionar as seguintes regras de aplicação ou rede à lista de permisos do seu firewall, dependendo dos recursos que está a utilizar.
Observação
Você só precisa configurar regras de aplicativo ou regras de rede, dependendo dos requisitos do seu sistema. Não é necessário configurar ambos ao mesmo tempo.
Regras de aplicação
As regras de aplicativo permitem ou negam tráfego com base na camada de aplicativo. As seguintes regras de aplicativo de firewall de saída são necessárias com base no cenário.
| Cenários | FQDNs (Nomes de Domínio Totalmente Qualificados) | Descrição |
|---|---|---|
| Todos os cenários |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Estes FQDNs para o Microsoft Container Registry (MCR) são usados pelo Azure Container Apps. Estas regras de aplicação ou as regras de rede para MCR devem ser adicionadas à lista de permissos ao utilizar Azure Container Apps com Azure Firewall. |
| Todos os cenários |
packages.aks.azure.com, acs-mirror.azureedge.net |
Estes FQDNs são exigidos pelo cluster AKS subjacente para descarregar e instalar os binários Kubernetes e Azure CNI. Estas regras de aplicação ou as regras de rede para MCR devem ser adicionadas à lista de permissos ao utilizar Azure Container Apps com Azure Firewall. Para mais informações, consulte as regras obrigatórias de FQDN do Azure Global / regras de aplicação |
| Azure Container Registry (ACR) |
O seu-ACR-endereço, *.blob.core.windows.net, login.microsoft.com |
Estes FQDNs são necessários ao utilizar Azure Container Apps com ACR e Azure Firewall. |
| Azure Key Vault |
Seu-Endereço-Azure-Key-Vault, login.microsoft.com |
Estes FQDNs são obrigatórios para além da tag de serviço exigida para a regra de rede do Azure Key Vault. |
| Identidade gerenciada |
*.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com, *.login.microsoft.com |
Estes FQDNs são necessários quando se utiliza identidade gerida com o Azure Firewall no Azure Container Apps. |
| Azure Service Bus | *.servicebus.windows.net | Estes FQDNs são necessários quando as suas aplicações de contêiner comunicam com o Azure Service Bus (filas, tópicos ou subscrições) através do Azure Firewall. |
| Painel de Controlo do Aspire | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Este FQDN é necessário quando se utiliza o painel do Aspire num ambiente configurado com uma rede virtual. Atualize o FQDN com a região do seu aplicativo de contêiner. |
| Docker Hub Registry |
hub.docker.com, registry-1.docker.io, production.cloudflare.docker.com |
Se estiveres a usar Docker Hub registo e quiseres aceder a ele através do firewall, precisas de adicionar estes FQDNs ao firewall. |
| Azure Service Bus | *.servicebus.windows.net |
Este FQDN é necessário ao utilizar Azure Service Bus com Azure Container Apps e Azure Firewall. |
| Azure China |
mcr.azure.cn, *.data.mcr.azure.cn |
As Azure Container Apps no ambiente Azure China utilizam estes endpoints do Microsoft Container Registry (MCR) para extrair imagens de contentores. Ao usar o Azure Firewall, terá de permitir as regras de aplicação correspondentes ou as de rede para o MCR. Este requisito aplica-se apenas ao ambiente Azure da China. |
Regras de rede
As regras de rede permitem ou negam tráfego com base na camada de rede e transporte. Ao usar UDR com Azure Firewall no Azure Container Apps, deve adicionar as seguintes regras de firewall de saída com base no cenário.
| Cenários | Etiqueta de serviço | Descrição |
|---|---|---|
| Todos os cenários |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Estas Etiquetas de Serviço para o Microsoft Container Registry (MCR) são usadas pelo Azure Container Apps. Estas regras de rede ou as regras de aplicação para MCR devem ser adicionadas à lista de permissos ao usar Azure Container Apps com Azure Firewall. |
| Azure Container Registry (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
Ao usar ACR com Azure Container Apps, é necessário configurar estas regras de rede usadas pelo Azure Container Registry. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Estas etiquetas de serviço são necessárias para além do FQDN para a regra de rede do Azure Key Vault. |
| Identidade gerenciada | AzureActiveDirectory |
Ao usar Identidade Gerida com Azure Container Apps, terá de configurar estas regras de rede usadas pela Identidade Gerida. |
| Azure Service Bus | ServiceBus |
É necessário quando as suas aplicações container acedem ao Azure Service Bus usando o Azure Firewall e etiquetas de serviço. |
Observação
Para os recursos do Azure que está a usar com o Azure Firewall não listados neste artigo, consulte, por favor, a documentação das tags de serviço .