Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo integrar el entorno de Azure Container Apps con Azure Firewall mediante rutas definidas por el usuario (UDR). Mediante udR, puede controlar cómo se enruta el tráfico dentro de la red virtual. Puede enrutar todo el tráfico saliente desde las aplicaciones de contenedor a través de Azure Firewall, lo que proporciona un punto central para supervisar el tráfico y aplicar directivas de seguridad. Esta configuración ayuda a proteger las aplicaciones de contenedor frente a posibles amenazas. También le ayuda a cumplir los requisitos de cumplimiento proporcionando registros detallados y funcionalidades de supervisión.
Rutas definidas por el usuario (UDR)
Las rutas definidas por el usuario (UDR) y la salida controlada a través de NAT Gateway solo se admiten en un entorno de perfiles de carga de trabajo.
Use UDR para restringir el tráfico saliente de la aplicación contenedora a través de Azure Firewall u otros dispositivos de red. Para obtener más información, consulte Control del tráfico saliente en Azure Container Apps con rutas definidas por el usuario.
Configuras UDR fuera del ámbito del entorno de aplicaciones de contenedor.
Azure crea una tabla de rutas predeterminada para las redes virtuales al crearlas. Al implementar una tabla de rutas definida por el usuario, puede controlar cómo se enruta el tráfico dentro de la red virtual. Por ejemplo, puede crear una UDR que restrinja el tráfico saliente de la aplicación de contenedor mediante el enrutamiento a Azure Firewall.
Cuando use UDR con Azure Firewall en Azure Container Apps, agregue las siguientes reglas de red o aplicación a la lista de permitidos para el firewall, en función de los recursos que use.
Nota:
Solo tiene que configurar reglas de aplicación o reglas de red, en función de los requisitos del sistema. No es necesario configurar ambos al mismo tiempo.
Reglas de aplicación
Las reglas de aplicación permiten o deniegan el tráfico en función del nivel de aplicación. Las siguientes reglas de aplicación de firewall de salida son necesarias en función del escenario.
| Escenarios | nombre de dominio completo (FQDN) | Descripción |
|---|---|---|
| Todas las situaciones |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Azure Container Apps usa estos FQDN para Microsoft Container Registry (MCR). Al usar Azure Container Apps con Azure Firewall, agregue estas reglas de aplicación o las reglas de red para MCR a la lista de permitidos. |
| Todas las situaciones |
packages.aks.azure.com, acs-mirror.azureedge.net |
El clúster de AKS subyacente requiere estos FQDN para descargar e instalar los archivos binarios de Kubernetes y de Azure CNI. Al usar Azure Container Apps con Azure Firewall, agregue estas reglas de aplicación o las reglas de red para MCR a la lista de permitidos. Para obtener más información, consulte las normas requeridas de FQDN / aplicación de Azure Global. |
| Azure Container Registry (ACR) |
Your-ACR-address, *.blob.core.windows.net, login.microsoft.com |
Estos FQDN son necesarios al usar Azure Container Apps con ACR y Azure Firewall. |
| Azure Key Vault |
Tu dirección de Azure Key Vault, login.microsoft.com |
Los FQDN son necesarios junto con la etiqueta de servicio necesaria para la regla de red de Azure Key Vault. |
| Identidad administrada |
*.identity.azure.net, login.microsoftonline.com, , *.login.microsoftonline.com, *.login.microsoft.com |
Estos FQDN son necesarios cuando se usa la identidad administrada con Azure Firewall en Azure Container Apps. |
| Azure Service Bus | *.servicebus.windows.net |
Estos FQDN son necesarios para que las aplicaciones de contenedores se comuniquen con Azure Service Bus (colas, temas o suscripciones) a través de Azure Firewall. |
| Panel de Aspire | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Este FQDN es necesario cuando se usa el panel Aspire en un entorno configurado con una red virtual. Actualice el FQDN con la región de la aplicación contenedora. |
| Registro de Docker Hub |
hub.docker.com, , registry-1.docker.io, production.cloudflare.docker.com |
Si usa Docker Hub registro y quiere acceder a él a través del firewall, agregue estos FQDN al firewall. |
| Azure Service Bus | *.servicebus.windows.net |
Este FQDN es necesario cuando se usa Azure Service Bus con Azure Container Apps y Azure Firewall. |
| Azure China: MCR |
mcr.azure.cn, *.data.mcr.azure.cn |
Estos puntos de conexión Microsoft Container Registry (MCR) se usan para extraer imágenes de contenedor en el entorno de Azure China. |
| Azure China: infraestructura de AKS |
mcr.azk8s.cn, mirror.azk8s.cn |
Estos espejos de AKS específicos de China se usan para descargar binarios de Kubernetes e imágenes de contenedor. |
| Azure China: ACR | *.azurecr.cn |
Se requiere al usar Azure Container Registry en el entorno de Azure China. |
| Azure China: identidad administrada |
*.identity.azure.cn, , login.chinacloudapi.cn, *.login.chinacloudapi.cn |
Estos FQDN son necesarios cuando se usa la identidad administrada en el entorno de Azure China. |
| Azure China: Key Vault |
*.vault.azure.cn, login.chinacloudapi.cn |
Necesario al usar Azure Key Vault en el entorno de Azure China. |
| Azure China: administración de Azure |
management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn |
Necesario para las llamadas API de Azure Resource Manager y las cuentas de almacenamiento administradas por la plataforma en el entorno de Azure China. |
| Azure China: supervisión |
*.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn |
Necesario para la supervisión de la plataforma y la ingesta de telemetría en el entorno de Azure China. |
| Azure China: Plataforma de aplicaciones de contenedores |
*.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn |
Necesario para el plano de control regional de Container Apps y la API de extensiones en el entorno de Azure China. |
| Azure China: Panel Aspire | *.azurecontainerapps.cn |
Se requiere cuando se usan Nombres de Dominio Completamente Cualificados (FQDN) del Panel o Aplicación Aspire en el entorno de Azure de China. |
Nota:
Los FQDN de China Azure enumerados anteriormente solo se aplican al entorno de Azure China. Docker Hub FQDN son los mismos a nivel global, pero el acceso desde China podría no ser confiable. Considere replicar imágenes en Azure Container Registry (*.azurecr.cn) como alternativa.
Reglas de red
Las reglas de red permiten o deniegan el tráfico en función de la capa de red y transporte. Cuando use UDR con Azure Firewall en Azure Container Apps, agregue las siguientes reglas de red de firewall de salida en función del escenario.
| Escenarios | Etiqueta de servicio | Descripción |
|---|---|---|
| Todas las situaciones |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Azure Container Apps usa estas etiquetas de servicio para Microsoft Container Registry (MCR). Para permitir que Azure Container Apps use MCR, agregue estas reglas de red o las reglas de aplicación para MCR a la lista de permitidos cuando se use Azure Container Apps con Azure Firewall. |
| Azure Container Registry (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
Cuando se usa ACR con Azure Container Apps, configure estas reglas de red usadas por Azure Container Registry. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Estas etiquetas de servicio son necesarias además del FQDN para la regla de red para Azure Key Vault. |
| Identidad administrada | AzureActiveDirectory |
Al usar la identidad administrada con Azure Container Apps, configure estas reglas de red usadas por la identidad administrada. |
| Azure Service Bus | ServiceBus |
Obligatorio cuando las aplicaciones de contenedor acceden a Azure Service Bus mediante etiquetas de servicio y Azure Firewall. |
Nota:
Para los recursos de Azure que estás utilizando con Azure Firewall y que no están listados en este artículo, consulta la documentación de etiquetas de servicio .