Azure Container Apps 환경과 Azure Firewall 통합

이 문서에서는 UDR(사용자 정의 경로)을 사용하여 Azure Container Apps 환경을 Azure Firewall 통합하기 위한 개념을 설명합니다. UDR을 사용하면 가상 네트워크 내에서 트래픽이 라우팅되는 방식을 제어할 수 있습니다.

트래픽을 모니터링하고 보안 정책을 적용하기 위한 중심점을 제공하는 Azure Firewall 통해 컨테이너 앱의 모든 아웃바운드 트래픽을 라우팅할 수 있습니다. 이 설정은 잠재적인 위협으로부터 컨테이너 앱을 보호하는 데 도움이 됩니다. 또한 자세한 로그 및 모니터링 기능을 제공하여 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.

사용자 정의 경로

UDR 및 Azure NAT 게이트웨이 통한 제어 송신은 워크로드 프로필 환경에서만 지원됩니다.

UDR을 사용하여 컨테이너 앱에서 Azure Firewall 또는 기타 네트워크 어플라이언스를 통해 아웃바운드 트래픽을 제한합니다. 자세한 내용은 사용자 정의 경로를 사용하여 Azure Container Apps 아웃바운드 트래픽을 제어 참조하세요.

Container Apps 환경 범위 외부에서 UDR을 구성합니다.

Container Apps에 대해 사용자 정의 경로를 구현하는 방법의 다이어그램

Azure 해당 네트워크를 만들 때 가상 네트워크에 대한 기본 경로 테이블을 만듭니다. 사용자 정의 경로 테이블을 구현하여 가상 네트워크 내에서 트래픽이 라우팅되는 방식을 제어할 수 있습니다. 예를 들어 컨테이너 앱에서 Azure Firewall 라우팅하여 아웃바운드 트래픽을 제한하는 UDR을 만들 수 있습니다.

Container Apps에서 Azure Firewall UDR을 사용하는 경우 사용 중인 리소스에 따라 방화벽의 허용 목록에 애플리케이션 또는 네트워크 규칙을 추가합니다.

비고

시스템의 요구 사항에 따라 애플리케이션 규칙 또는 네트워크 규칙을 구성합니다. 둘 다 동시에 구성할 필요는 없습니다.

애플리케이션 규칙

애플리케이션 규칙은 애플리케이션 레이어를 기준으로 트래픽을 허용하거나 거부합니다. 시나리오에 따라 다음 아웃바운드 방화벽 애플리케이션 규칙과 FQDN(정규화된 도메인 이름)이 필요합니다.

시나리오 FQDN 설명
모든 시나리오 mcr.microsoft.com, *.data.mcr.microsoft.com Container Apps는 이러한 FQDN을 Microsoft 아티팩트 레지스트리에 사용합니다. Azure Firewall Container Apps를 사용하는 경우 이러한 애플리케이션 규칙 또는 아티팩트 레지스트리에 대한 네트워크 규칙을 허용 목록에 추가합니다.
모든 시나리오 packages.aks.azure.com, acs-mirror.azureedge.net 기본 AKS(Azure Kubernetes Service) 클러스터를 사용하려면 이러한 FQDN이 Kubernetes 및 Azure CNI(Container Network Interface) 이진 파일을 다운로드하여 설치해야 합니다. Azure Firewall Container Apps를 사용하는 경우 이러한 애플리케이션 규칙 또는 아티팩트 레지스트리에 대한 네트워크 규칙을 허용 목록에 추가합니다. 자세한 내용은 Azure Global 필수 FQDN/애플리케이션 규칙 참조하세요.
Azure Container Registry (애저 컨테이너 레지스트리) <your-Container-Registry-address>, *.blob.core.windows.netlogin.microsoft.com 이러한 FQDN은 Container Registry 및 Azure Firewall Container Apps를 사용하는 경우에 필요합니다.
Azure Key Vault <your-Key-Vault-address>, login.microsoft.com 이러한 FQDN은 Key Vault 네트워크 규칙에 필요한 서비스 태그 외에 필요합니다.
관리형 아이덴티티 *.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com*.login.microsoft.com 이러한 FQDN은 Container Apps에서 Azure Firewall 관리 ID를 사용하는 경우에 필요합니다.
Azure Service Bus *.servicebus.windows.net 이러한 FQDN은 컨테이너 앱이 Azure Firewall 통해 Service Bus(큐, 토픽 또는 구독)와 통신할 때 필요합니다.
Aspire 대시보드 https://<YOUR-CONTAINER-APP-REGION>.ext.azurecontainerapps.dev 가상 네트워크로 구성된 환경에서 Aspire 대시보드를 사용하는 경우 이 FQDN이 필요합니다. 컨테이너 앱의 지역으로 FQDN을 업데이트합니다.
Docker Hub 레지스트리 hub.docker.com, registry-1.docker.ioproduction.cloudflare.docker.com Docker Hub 레지스트리를 사용하고 방화벽을 통해 액세스하려는 경우 이러한 FQDN을 방화벽에 추가합니다.
Azure Service Bus *.servicebus.windows.net 이 FQDN은 Container Apps 및 Azure Firewall Service Bus 사용하는 경우에 필요합니다.
21Vianet에서 운영하는 Azure(중국 Azure): Microsoft 아티팩트 레지스트리 mcr.azure.cn, *.data.mcr.azure.cn 이러한 아티팩트 레지스트리 엔드포인트는 중국 환경의 Azure 컨테이너 이미지를 끌어오는 데 사용됩니다.
중국의 Azure: AKS 인프라 mcr.azk8s.cn, mirror.azk8s.cn 이러한 중국별 AKS 미러는 Kubernetes 이진 파일 및 컨테이너 이미지를 다운로드하는 데 사용됩니다.
중국의 Azure: Azure Container Registry *.azurecr.cn 이 FQDN은 중국 환경의 Azure Container Registry를 사용하는 경우에 필요합니다.
중국의 Azure: 관리 ID *.identity.azure.cn, login.chinacloudapi.cn*.login.chinacloudapi.cn 이러한 FQDN은 중국 환경의 Azure 관리 ID를 사용하는 경우에 필요합니다.
중국의 Azure: Azure Key Vault *.vault.azure.cn, login.chinacloudapi.cn 이러한 FQDN은 중국 환경의 Azure Key Vault 사용하는 경우에 필요합니다.
중국의 Azure: Azure 관리 management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn 이러한 FQDN은 중국 환경의 Azure Azure Resource Manager API 호출 및 플랫폼 관리 스토리지 계정에 필요합니다.
중국의 Azure: 모니터링 *.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn 이러한 FQDN은 중국 환경의 Azure 플랫폼 모니터링 및 원격 분석 수집에 필요합니다.
중국의 Azure: Container Apps 플랫폼 *.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn 이러한 FQDN은 중국 환경의 Azure Container Apps 지역 제어 평면 및 확장 API에 필요합니다.
중국 내 Azure: Aspire 대시보드 *.azurecontainerapps.cn 이러한 FQDN은 중국 환경의 Azure Aspire 대시보드 또는 앱 FQDN을 사용하는 경우에 필요합니다.

비고

중국의 Azure FQDN은 Azure in China environment에만 적용됩니다. Docker Hub FQDN은 전 세계적으로 동일하지만 중국의 액세스는 신뢰할 수 없을 수 있습니다. 대신 컨테이너 레지스트리(*.azurecr.cn)에 이미지를 미러링하는 것이 좋습니다.

네트워크 규칙

네트워크 규칙은 네트워크 및 전송 레이어를 기준으로 트래픽을 허용하거나 거부합니다. Container Apps에서 Azure Firewall UDR을 사용하는 경우 시나리오에 따라 다음 아웃바운드 방화벽 네트워크 규칙을 추가합니다.

시나리오 서비스 태그 설명
모든 시나리오 MicrosoftContainerRegistry, AzureFrontDoorFirstParty Container Apps는 이러한 서비스 태그를 Microsoft 아티팩트 레지스트리에 사용합니다. Container Apps에서 아티팩트 레지스트리를 사용하도록 허용하려면 Azure Firewall Container Apps를 사용할 때 아티팩트 레지스트리에 대한 이러한 네트워크 규칙 또는 애플리케이션 규칙을 허용 목록에 추가합니다.
Azure Container Registry (애저 컨테이너 레지스트리) AzureContainerRegistry, AzureActiveDirectory Container Apps에서 Container Registry를 사용하는 경우 Container Registry에서 사용하는 이러한 네트워크 규칙을 구성합니다.
Azure Key Vault AzureKeyVault, AzureActiveDirectory 이러한 서비스 태그는 Key Vault 네트워크 규칙에 대한 FQDN 외에 필요합니다.
관리형 아이덴티티 AzureActiveDirectory Container Apps에서 관리 ID를 사용하는 경우 관리 ID에서 사용하는 이러한 네트워크 규칙을 구성합니다.
Azure Service Bus ServiceBus 이 서비스 태그는 컨테이너 앱이 Azure Firewall 및 서비스 태그를 사용하여 Service Bus 액세스할 때 필요합니다.

비고

이 문서에 나열되지 않은 Azure Firewall 함께 사용하는 Azure 리소스는 서비스 태그 설명서 참조하세요.

다음 단계