이 문서에서는 UDR(사용자 정의 경로)을 사용하여 Azure Container Apps 환경을 Azure Firewall 통합하는 방법을 설명합니다. UDR을 사용하면 가상 네트워크 내에서 트래픽이 라우팅되는 방식을 제어할 수 있습니다. 트래픽을 모니터링하고 보안 정책을 적용하기 위한 중심점을 제공하는 Azure Firewall 통해 컨테이너 앱의 모든 아웃바운드 트래픽을 라우팅할 수 있습니다. 이 설정은 잠재적인 위협으로부터 컨테이너 앱을 보호하는 데 도움이 됩니다. 또한 자세한 로그 및 모니터링 기능을 제공하여 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.
UDR(사용자 정의 경로)
UDR(사용자 정의 경로) 및 NAT 게이트웨이를 통한 제어 송신은 워크로드 프로필 환경에서만 지원됩니다.
UDR을 사용하여 Azure Firewall 또는 기타 네트워크 어플라이언스를 통해 컨테이너 앱에서 아웃바운드 트래픽을 제한합니다. 자세한 내용은 Azure Container Apps에서 사용자 정의 경로로 아웃바운드 트래픽을 제어하기를 참조하세요.
Container Apps 환경 범위 외부에서 UDR을 구성합니다.
Azure 가상 네트워크를 만들 때 가상 네트워크에 대한 기본 경로 테이블을 만듭니다. 사용자 정의 경로 테이블을 구현하여 가상 네트워크 내에서 트래픽이 라우팅되는 방식을 제어할 수 있습니다. 예를 들어 컨테이너 앱에서 Azure Firewall 라우팅하여 아웃바운드 트래픽을 제한하는 UDR을 만들 수 있습니다.
Azure Container Apps Azure Firewall UDR을 사용하는 경우 사용 중인 리소스에 따라 방화벽의 허용 목록에 다음 애플리케이션 또는 네트워크 규칙을 추가합니다.
비고
시스템 요구 사항에 따라 애플리케이션 규칙이나 네트워크 규칙 중 하나만 구성하면 됩니다. 둘 다 동시에 구성할 필요는 없습니다.
애플리케이션 규칙
애플리케이션 규칙은 애플리케이션 레이어를 기준으로 트래픽을 허용하거나 거부합니다. 시나리오에 따라 다음 아웃바운드 방화벽 애플리케이션 규칙이 필요합니다.
| 시나리오 | FQDN | 설명 |
|---|---|---|
| 모든 시나리오 |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Azure Container Apps MCR(Microsoft Container Registry)에 이러한 FQDN을 사용합니다. Azure Firewall Azure Container Apps 사용하는 경우 이러한 애플리케이션 규칙 또는 MCR에 대한 네트워크 규칙을 허용 목록에 추가합니다. |
| 모든 시나리오 |
packages.aks.azure.com, acs-mirror.azureedge.net |
기본 AKS 클러스터를 사용하려면 Kubernetes 및 Azure CNI 이진 파일을 다운로드하여 설치하려면 이러한 FQDN이 필요합니다. Azure Firewall Azure Container Apps 사용하는 경우 이러한 애플리케이션 규칙 또는 MCR에 대한 네트워크 규칙을 허용 목록에 추가합니다. 자세한 내용은 Azure 전역 필수 FQDN/애플리케이션 규칙 참조하세요. |
| ACR(Azure Container Registry) |
Your-ACR-address, *.blob.core.windows.net, login.microsoft.com |
이러한 FQDN은 ACR 및 Azure Firewall Azure Container Apps 사용할 때 필요합니다. |
| Azure Key Vault |
Your-Azure-Key-Vault-address, login.microsoft.com |
이러한 FQDN은 Azure Key Vault 네트워크 규칙에 필요한 서비스 태그 외에 필요합니다. |
| 관리되는 식별 |
*.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com*.login.microsoft.com |
이러한 FQDN은 Azure Container Apps Azure Firewall 관리 ID를 사용할 때 필요합니다. |
| Azure Service Bus | *.servicebus.windows.net |
이러한 FQDN은 컨테이너 앱이 Azure Firewall 통해 Azure Service Bus(큐, 토픽 또는 구독)와 통신할 때 필요합니다. |
| Aspire 대시보드 | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
가상 네트워크로 구성된 환경에서 Aspire 대시보드를 사용하는 경우 이 FQDN이 필요합니다. 컨테이너 앱의 지역으로 FQDN을 업데이트합니다. |
| Docker Hub 레지스트리 |
hub.docker.com, registry-1.docker.ioproduction.cloudflare.docker.com |
Docker Hub 레지스트리를 사용하고 방화벽을 통해 액세스하려는 경우 이러한 FQDN을 방화벽에 추가합니다. |
| Azure Service Bus | *.servicebus.windows.net |
이 FQDN은 Azure Container Apps 및 Azure Firewall Azure Service Bus 사용할 때 필요합니다. |
| Azure 중국: MCR |
mcr.azure.cn, *.data.mcr.azure.cn |
이러한 Microsoft MCR(Container Registry) 엔드포인트는 Azure 중국 환경에서 컨테이너 이미지를 끌어오는 데 사용됩니다. |
| Azure 중국: AKS 인프라 |
mcr.azk8s.cn, mirror.azk8s.cn |
이러한 중국별 AKS 미러는 Kubernetes 이진 파일 및 컨테이너 이미지를 다운로드하는 데 사용됩니다. |
| Azure 중국: ACR | *.azurecr.cn |
Azure 중국 환경에서 Azure Container Registry 사용할 때 필요합니다. |
| Azure 중국: 관리 ID |
*.identity.azure.cn, login.chinacloudapi.cn*.login.chinacloudapi.cn |
이러한 FQDN은 Azure 중국 환경에서 관리 ID를 사용할 때 필요합니다. |
| Azure 중국: Key Vault |
*.vault.azure.cn, login.chinacloudapi.cn |
Azure 중국 환경에서 Azure Key Vault 사용할 때 필요합니다. |
| 중국 Azure: Azure 관리 |
management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn |
Azure 중국 환경에서 Azure Resource Manager API 호출 및 플랫폼 관리 스토리지 계정에 필요합니다. |
| Azure 중국: 모니터링 |
*.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn |
Azure 중국 환경에서 플랫폼 모니터링 및 원격 분석 수집에 필요합니다. |
| Azure 중국: Container Apps 플랫폼 |
*.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn |
Azure 중국 환경의 Container Apps 지역 제어 평면 및 확장 API에 필요합니다. |
| Azure 중국: Aspire 대시보드 | *.azurecontainerapps.cn |
Azure 중국 환경에서 Aspire 대시보드 또는 앱 FQDN을 사용할 때 필요합니다. |
비고
이전에 나열된 Azure 중국 FQDN은 Azure 중국 환경만 적용됩니다. Docker Hub FQDN은 전 세계적으로 동일하지만 중국의 액세스는 신뢰할 수 없을 수 있습니다. 대신 Azure Container Registry(*.azurecr.cn)에 이미지를 미러링하는 것을 고려하십시오.
네트워크 규칙
네트워크 규칙은 네트워크 및 전송 레이어를 기준으로 트래픽을 허용하거나 거부합니다. Azure Container Apps에서 Azure Firewall과 함께 UDR을 사용할 때, 시나리오에 따라 다음 아웃바운드 네트워크 방화벽 규칙을 추가합니다.
| 시나리오 | 서비스 태그 | 설명 |
|---|---|---|
| 모든 시나리오 |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Azure Container Apps MCR(Microsoft Container Registry)에 이러한 서비스 태그를 사용합니다. Azure Container Apps MCR을 사용할 수 있도록 허용하려면 Azure Firewall Azure Container Apps 사용할 때 MCR에 대한 이러한 네트워크 규칙 또는 애플리케이션 규칙을 허용 목록에 추가합니다. |
| ACR(Azure Container Registry) |
AzureContainerRegistry, AzureActiveDirectory |
Azure Container Apps에서 ACR을 사용할 때 Azure Container Registry의 네트워크 규칙을 구성합니다. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
이러한 서비스 태그는 Azure Key Vault 네트워크 규칙에 대한 FQDN 외에 필요합니다. |
| 관리되는 식별 | AzureActiveDirectory |
Azure Container Apps에서 Managed Identity를 사용할 때, Managed Identity와 관련된 네트워크 규칙을 구성합니다. |
| Azure Service Bus | ServiceBus |
컨테이너 앱이 Azure Firewall 및 서비스 태그를 사용하여 Azure Service Bus 액세스할 때 필요합니다. |
비고
이 문서에 나열되지 않은 Azure Firewall 함께 사용하는 Azure 리소스는 서비스 태그 설명서 참조하세요.