Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come integrare l'ambiente App contenitore di Azure con Firewall di Azure usando route definite dall'utente. Usando UDR, è possibile controllare come il traffico viene instradato nella vostra rete virtuale. È possibile instradare tutto il traffico in uscita dalle app contenitore tramite Firewall di Azure, che fornisce un punto centrale per il monitoraggio del traffico e l'applicazione dei criteri di sicurezza. Questa configurazione consente di proteggere le app contenitore da potenziali minacce. Consente inoltre di soddisfare i requisiti di conformità fornendo log dettagliati e funzionalità di monitoraggio.
Route definite dall'utente
Le route definite dall'utente e l'uscita controllata tramite il gateway NAT sono supportate solo in un ambiente di profili di carico di lavoro.
È possibile usare la UDR per limitare il traffico in uscita dall'app container tramite Firewall di Azure o altre appliance di rete. Per altre informazioni, vedere Controlre il traffico in uscita in App contenitore di Azure con route definite dall'utente.
La configurazione della route definita dall'utente viene eseguita all'esterno dell'ambito dell'ambiente di App contenitore.
Azure crea una tabella di route predefinita per le reti virtuali al momento della creazione. Implementando una tabella di route definita dall'utente, è possibile controllare il modo in cui il traffico viene instradato all'interno della rete virtuale. Ad esempio, è possibile creare una route definita dall'utente che limita il traffico in uscita dall'app container instradandolo a Firewall di Azure.
Quando si usa la Route Definita dall'Utente (UDR) con Firewall di Azure in App contenitore di Azure, è necessario aggiungere le seguenti regole di applicazione o di rete all'allowlist del firewall, a seconda delle risorse che stai utilizzando.
Annotazioni
È sufficiente configurare le regole dell'applicazione o le regole di rete, a seconda dei requisiti del sistema. La configurazione di entrambi contemporaneamente non è necessaria.
Regole di applicazione
Le regole dell'applicazione consentono o negano il traffico in base al livello dell'applicazione. Le regole dell'applicazione firewall in uscita seguenti sono necessarie in base allo scenario.
| Scenari | FQDN | Descrizione |
|---|---|---|
| Tutti gli scenari |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Questi FQDN per Microsoft Container Registry (MCR) vengono usati da App contenitore di Azure. Queste regole dell'applicazione o le regole di rete per MCR devono essere aggiunte all'elenco consenti quando si usa App contenitore di Azure con Firewall di Azure. |
| Tutti gli scenari |
packages.aks.azure.com, acs-mirror.azureedge.net |
Gli FQDN sono richiesti dal cluster AKS sottostante per scaricare e installare i binari Kubernetes e CNI di Azure. Queste regole dell'applicazione o le regole di rete per MCR devono essere aggiunte all'elenco consenti quando si usa App contenitore di Azure con Firewall di Azure. Per ulteriori informazioni, vedere le regole globali richieste per FQDN / applicazioni di Azure |
| Registro Azure Container (ACR) |
Indirizzo-ACR, *.blob.core.windows.net, login.microsoft.com |
Questi FQDN sono necessari quando si usano App contenitore di Azure con Azure Container Registry e Firewall di Azure. |
| Azure Key Vault |
Your-Azure-Key-Vault-address, login.microsoft.com |
Questi FQDN sono necessari oltre al tag di servizio necessario per la regola di rete per Azure Key Vault. |
| Identità gestita |
*.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com*.login.microsoft.com |
Questi FQDN sono necessari quando si usa l'identità gestita con Firewall di Azure in App contenitore di Azure. |
| bus di servizio di Azure | *.servicebus.windows.net | Questi nomi di dominio completi (FQDN) sono necessari quando le app contenitore comunicano con il bus di servizio di Azure (code, argomenti o sottoscrizioni) tramite Firewall di Azure. |
| Dashboard Aspire | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Questo FQDN (Fully Qualified Domain Name) è necessario quando si usa il dashboard di Aspire in un ambiente configurato con una rete virtuale. Aggiornare in nome di dominio completo con l'area regionale del contenitore di app. |
| Registro di sistema Docker Hub |
hub.docker.com, registry-1.docker.io, production.cloudflare.docker.com |
Se si usa Docker Hub Registro di sistema e si vuole accedervi tramite il firewall, è necessario aggiungere questi FQDN al firewall. |
| bus di servizio di Azure | *.servicebus.windows.net |
Questo nome di dominio completo è necessario quando si usano bus di servizio di Azure con App contenitore di Azure e Firewall di Azure. |
| Azure Cina |
mcr.azure.cn, *.data.mcr.azure.cn |
App contenitore di Azure nell'ambiente Azure Cina usano questi endpoint MCR (Microsoft Container Registry) per scaricare le immagini del contenitore. Quando si usa Firewall di Azure, è necessario consentire le regole dell'applicazione o le regole di rete corrispondenti per MCR. Questo requisito si applica solo all'ambiente Azure Cina. |
Regole di rete
Le regole di rete consentono o negano il traffico in base al livello di rete e trasporto. Quando si utilizza una route definita dall'utente (UDR) con Firewall di Azure in App contenitore di Azure, è necessario aggiungere le seguenti regole di rete del firewall in uscita in base allo scenario.
| Scenari | Tag del servizio | Descrizione |
|---|---|---|
| Tutti gli scenari |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Questi tag del servizio per Microsoft Container Registry (MCR) vengono usati da App contenitore di Azure. Queste regole di rete o le regole dell'applicazione per MCR devono essere aggiunte all'elenco consenti quando si usa App contenitore di Azure con Firewall di Azure. |
| Registro Azure Container (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
Quando si utilizzano Registro Azure Container con App contenitore di Azure, è necessario configurare le regole di rete utilizzate da Registro Azure Container. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Questi tag di servizio sono necessari oltre al nome di dominio completo per la regola di rete per Azure Key Vault. |
| Identità gestita | AzureActiveDirectory |
Quando si usa l'identità gestita con App contenitore di Azure, è necessario configurare queste regole di rete usate dall'identità gestita. |
| bus di servizio di Azure | ServiceBus |
Obbligatorio quando le app del contenitore accedono alle bus di servizio di Azure usando tag di servizio e Firewall di Azure. |
Annotazioni
Per le risorse Azure che stai utilizzando con Firewall di Azure non elencate in questo articolo, consulta la documentazione relativa ai tag di servizio service.