Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du integrerar din Azure Container Apps miljö med Azure Firewall med hjälp av användardefinierade vägar (UDR). Genom att använda UDR kan du styra hur trafiken dirigeras i ditt virtuella nätverk. Du kan dirigera all utgående trafik från dina containerappar via Azure Firewall, vilket ger en central punkt för att övervaka trafik och tillämpa säkerhetsprinciper. Den här konfigurationen hjälper dig att skydda dina containerappar mot potentiella hot. Det hjälper dig också att uppfylla efterlevnadskraven genom att tillhandahålla detaljerade loggar och övervakningsfunktioner.
Användardefinierade vägar (UDR)
Användardefinierade vägar (UDR) och kontrollerad utgående trafik via NAT Gateway stöds endast i en miljö för arbetsbelastningsprofiler.
Använd UDR för att begränsa utgående trafik från containerappen via Azure Firewall eller andra nätverksinstallationer. Mer information finns i Kontrollera utgående trafik i Azure Container Apps med användardefinierade rutter.
Du konfigurerar UDR utanför Container Apps-miljöomfånget.
Azure skapar en standardrutttabell för dina virtuella nätverk när du skapar dem. Genom att implementera en användardefinierad routningstabell kan du styra hur trafiken dirigeras i det virtuella nätverket. Du kan till exempel skapa en UDR som begränsar utgående trafik från containerappen genom att dirigera den till Azure Firewall.
När du använder UDR med Azure Firewall i Azure Container Apps lägger du till följande program- eller nätverksregler i listan över tillåtna för brandväggen, beroende på vilka resurser du använder.
Anmärkning
Du behöver bara konfigurera programregler eller nätverksregler, beroende på systemets krav. Det är inte nödvändigt att konfigurera båda samtidigt.
Ansökningsregler
Programregler tillåter eller nekar trafik baserat på programskiktet. Följande regler för utgående brandväggsprogram krävs baserat på scenariot.
| Scenarier | FQDN | Beskrivning |
|---|---|---|
| Alla scenarier |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Azure Container Apps använder dessa FQDN:er för Microsoft Container Registry (MCR). När du använder Azure Container Apps med Azure Firewall lägger du till antingen dessa programregler eller nätverksreglerna för MCR i listan över tillåtna program. |
| Alla scenarier |
packages.aks.azure.com, acs-mirror.azureedge.net |
Det underliggande AKS-klustret kräver att dessa FQDN:er laddar ned och installerar Kubernetes och Azure CNI-binärfiler. När du använder Azure Container Apps med Azure Firewall lägger du till antingen dessa programregler eller nätverksreglerna för MCR i listan över tillåtna program. Mer information finns i Azure Global obligatoriska FQDN/programregler. |
| Azure Container Registry (ACR) |
Your-ACR-address, *.blob.core.windows.net, login.microsoft.com |
Dessa FQDN krävs när du använder Azure Container Apps med ACR och Azure Firewall. |
| Azure Key Vault |
Your-Azure-Key-Vault-address, login.microsoft.com |
Dessa FQDN krävs utöver tjänsttaggen som krävs för nätverksregeln för Azure Key Vault. |
| Hanterad identitet |
*.identity.azure.net, login.microsoftonline.com, , *.login.microsoftonline.com*.login.microsoft.com |
Dessa FQDN krävs när du använder hanterad identitet med Azure Firewall i Azure Container Apps. |
| Azure Service Bus | *.servicebus.windows.net |
Dessa FQDN krävs när dina containerappar kommunicerar med Azure Service Bus (köer, ämnen eller prenumerationer) via Azure Firewall. |
| Aspire Kontrollpanel | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Det här fullständiga domännamnet krävs när du använder Aspire-instrumentpanelen i en miljö som konfigurerats med ett virtuellt nätverk. Uppdatera FQDN med containerappens region. |
| Docker Hub Registry |
hub.docker.com
registry-1.docker.io
production.cloudflare.docker.com
|
Om du använder Docker Hub-registret och vill komma åt det via brandväggen lägger du till dessa FQDN i brandväggen. |
| Azure Service Bus | *.servicebus.windows.net |
Det här fullständiga domännamnet krävs när du använder Azure Service Bus med Azure Container Apps och Azure Firewall. |
| Azure Kina: MCR |
mcr.azure.cn, *.data.mcr.azure.cn |
Dessa Microsoft MCR-slutpunkter (Container Registry) används för att hämta containeravbildningar i Azure Kina-miljön. |
| Azure Kina: AKS-infrastruktur |
mcr.azk8s.cn, mirror.azk8s.cn |
Dessa Kina-specifika AKS-speglar används för att ladda ned Kubernetes-binärfiler och containeravbildningar. |
| Azure Kina: ACR | *.azurecr.cn |
Krävs när du använder Azure Container Registry i miljön Azure Kina. |
| Azure Kina: Hanterad identitet |
*.identity.azure.cn
login.chinacloudapi.cn
*.login.chinacloudapi.cn
|
Dessa FQDN krävs när du använder hanterad identitet i Azure Kina-miljön. |
| Azure Kina: Key Vault |
*.vault.azure.cn, login.chinacloudapi.cn |
Krävs när du använder Azure Key Vault i miljön Azure Kina. |
| Azure Kina: Azure Management |
management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn |
Krävs för Azure Resource Manager API-anrop och plattformshanterade lagringskonton i miljön Azure Kina. |
| Azure Kina: Övervakning |
*.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn |
Krävs för plattformsövervakning och telemetriinmatning i miljön Azure Kina. |
| Azure Kina: Plattform för containerappar |
*.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn |
Krävs för det regionala kontrollplanet för Container Apps och tilläggs-API:et i miljön Azure Kina. |
| Azure Kina: Aspire-instrumentpanel | *.azurecontainerapps.cn |
Krävs när du använder Aspire Dashboard eller app-FQDN:er i miljön Azure Kina. |
Anmärkning
De Azure Kina FQDN som anges tidigare gäller endast för Azure Kina-miljön. Docker Hub FQDN är desamma globalt, men åtkomsten från Kina kan vara otillförlitlig. Överväg att spegla bilder till Azure Container Registry (*.azurecr.cn) i stället.
Nätverksregler
Nätverksregler tillåter eller nekar trafik baserat på nätverks- och transportskiktet. När du använder UDR med Azure Firewall i Azure Container Apps lägger du till följande regler för utgående brandväggsnätverk baserat på scenariot.
| Scenarier | Servicekod | Beskrivning |
|---|---|---|
| Alla scenarier |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Azure Container Apps använder dessa tjänsttaggar för Microsoft Container Registry (MCR). Om du vill tillåta Azure Container Apps att använda MCR lägger du till antingen dessa nätverksregler eller programreglerna för MCR i listan över tillåtna när du använder Azure Container Apps med Azure Firewall. |
| Azure Container Registry (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
När du använder ACR med Azure Container Apps konfigurerar du de här nätverksreglerna som används av Azure Container Registry. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Dessa tjänsttaggar krävs utöver FQDN för nätverksregeln för Azure Key Vault. |
| Hanterad identitet | AzureActiveDirectory |
När du använder Hanterad identitet med Azure Container Apps konfigurerar du de här nätverksreglerna som används av hanterad identitet. |
| Azure Service Bus | ServiceBus |
Krävs när dina containerappar får åtkomst till Azure Service Bus med hjälp av Azure Firewall- och tjänsttaggar. |
Anmärkning
Information om Azure resurser som du använder med Azure Firewall som inte finns med i den här artikeln finns i dokumentationen servicetaggar.