Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como integrar seu ambiente de Aplicativos de Contêiner do Azure com Firewall do Azure usando UDR (rotas definidas pelo usuário). Usando udr, você pode controlar como o tráfego é roteado em sua rede virtual. Você pode rotear todo o tráfego de saída de seus aplicativos de contêiner por meio de Firewall do Azure, que fornece um ponto central para monitorar o tráfego e aplicar políticas de segurança. Essa configuração ajuda a proteger seus aplicativos de contêiner contra possíveis ameaças. Ele também ajuda você a atender aos requisitos de conformidade fornecendo logs detalhados e recursos de monitoramento.
UDR (rotas definidas pelo usuário)
As UDR (rotas definidas pelo usuário) e a saída controlada por meio do Gateway de NAT têm suporte apenas em um ambiente de perfis de carga de trabalho.
Use a UDR para restringir o tráfego de saída de seu aplicativo de contêiner por meio de Firewall do Azure ou outros dispositivos de rede. Para obter mais informações, consulte Controle o tráfego de saída em Aplicativos de Contêiner do Azure com rotas definidas pelo usuário.
Configure a UDR fora do escopo do ambiente de Aplicativos de Contêiner.
Azure cria uma tabela de rotas padrão para suas redes virtuais ao criá-las. Ao implementar uma tabela de rotas definida pelo usuário, você pode controlar como o tráfego é roteado em sua rede virtual. Por exemplo, você pode criar uma UDR que restringe o tráfego de saída do aplicativo de contêiner roteando-o para Firewall do Azure.
Ao usar a UDR com Firewall do Azure em Aplicativos de Contêiner do Azure, adicione as seguintes regras de aplicativo ou rede à lista de permissões do firewall, dependendo de quais recursos você está usando.
Observação
Você só precisa configurar regras de aplicativo ou regras de rede, dependendo dos requisitos do sistema. Não é necessário configurar ambos ao mesmo tempo.
Regras do aplicativo
As regras de aplicativo permitem ou negam o tráfego com base na camada do aplicativo. As seguintes regras de aplicativo de firewall de saída são necessárias com base no cenário.
| Cenários | FQDNs | Descrição |
|---|---|---|
| Todos os cenários |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Aplicativos de Contêiner do Azure usa esses FQDNs para o MCR (Registro de Contêiner Microsoft). Ao usar Aplicativos de Contêiner do Azure com Firewall do Azure, adicione essas regras de aplicativo ou as regras de rede para MCR à lista de permissões. |
| Todos os cenários |
packages.aks.azure.com, acs-mirror.azureedge.net |
O cluster base do AKS requer que esses FQDNs sejam usados para baixar e instalar os binários do Kubernetes e do CNI do Azure. Ao usar Aplicativos de Contêiner do Azure com Firewall do Azure, adicione essas regras de aplicativo ou as regras de rede para MCR à lista de permissões. Para obter mais informações, consulte o FQDN Global exigido pelo Azure e regras de aplicativo. |
| Registro de Contêiner do Azure (ACR) |
Seu endereço ACR, *.blob.core.windows.netlogin.microsoft.com |
Esses FQDNs são necessários ao usar Aplicativos de Contêiner do Azure com ACR e Firewall do Azure. |
| Azure Key Vault |
Seu endereço do Azure-Key-Vault, login.microsoft.com |
Esses FQDNs são necessários além da marca de serviço necessária para a regra de rede do Azure Key Vault. |
| Identidade Gerenciada |
*.identity.azure.net, login.microsoftonline.com, , *.login.microsoftonline.com*.login.microsoft.com |
Esses FQDNs são necessários ao usar a identidade gerenciada com Firewall do Azure em Aplicativos de Contêiner do Azure. |
| Barramento de Serviço do Azure | *.servicebus.windows.net |
Esses FQDNs são necessários quando seus aplicativos de contêiner se comunicam com o Barramento de Serviço do Azure (filas, tópicos ou assinaturas) por meio do Firewall do Azure. |
| Painel do Aspire | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Esse FQDN é necessário ao usar o painel do Aspire em um ambiente configurado com uma rede virtual. Atualize o FQDN com a região do aplicativo de contêiner. |
| Registro de Docker Hub |
hub.docker.com
registry-1.docker.io
production.cloudflare.docker.com
|
Se você estiver usando Docker Hub Registro e quiser acessá-lo por meio do firewall, adicione esses FQDNs ao firewall. |
| Barramento de Serviço do Azure | *.servicebus.windows.net |
Esse FQDN é necessário ao usar Barramento de Serviço do Azure com Aplicativos de Contêiner do Azure e Firewall do Azure. |
| Azure China: MCR |
mcr.azure.cn, *.data.mcr.azure.cn |
Esses pontos de extremidade do MCR (Registro de Contêiner) Microsoft são usados para baixar imagens de contêiner no ambiente Azure China. |
| Azure China: Infraestrutura do AKS |
mcr.azk8s.cn, mirror.azk8s.cn |
Esses espelhos AKS específicos da China são usados para baixar binários do Kubernetes e imagens de contêiner. |
| Azure China: ACR | *.azurecr.cn |
Necessário ao usar Registro de Contêiner do Azure no ambiente Azure China. |
| Azure China: Identidade Gerenciada |
*.identity.azure.cn
login.chinacloudapi.cn
*.login.chinacloudapi.cn
|
Esses FQDNs são necessários ao usar a identidade gerenciada no ambiente Azure China. |
| Azure China: Key Vault |
*.vault.azure.cn, login.chinacloudapi.cn |
Necessário ao usar Azure Key Vault no ambiente Azure China. |
| Azure China: Gerenciamento de Azure |
management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn |
Necessário para chamadas de API do Azure Resource Manager e contas de armazenamento gerenciadas pela plataforma no ambiente do Azure na China. |
| Azure China: Monitoramento |
*.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn |
Necessário para monitoramento de plataforma e ingestão de telemetria no ambiente Azure China. |
| Azure China: Plataforma de Aplicativos de Contêiner |
*.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn |
Necessário para o plano de controle regional dos Aplicativos de Contêiner e a API de extensões no ambiente Azure China. |
| Azure China: Aspire Dashboard | *.azurecontainerapps.cn |
Necessário ao usar FQDNs do aplicativo ou do painel do Aspire no ambiente do Azure China. |
Observação
Os FQDNs da China Azure listados anteriormente se aplicam apenas ao ambiente Azure China. Docker Hub FQDNs são os mesmos globalmente, mas o acesso da China pode não ser confiável. Considere espelhar imagens para Registro de Contêiner do Azure (*.azurecr.cn) em vez disso.
Regras de rede
As regras de rede permitem ou negam o tráfego com base na camada de rede e transporte. Ao usar a UDR com Firewall do Azure em Aplicativos de Contêiner do Azure, adicione as seguintes regras de rede de firewall de saída com base no cenário.
| Cenários | Etiqueta de serviço | Descrição |
|---|---|---|
| Todos os cenários |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Aplicativos de Contêiner do Azure usa essas marcas de serviço para o MCR (Registro de Contêiner Microsoft). Para permitir que Aplicativos de Contêiner do Azure usem o MCR, adicione essas regras de rede ou as regras de aplicativo para MCR à lista de permissões ao usar Aplicativos de Contêiner do Azure com Firewall do Azure. |
| Registro de Contêiner do Azure (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
Ao usar o ACR com Aplicativos de Contêiner do Azure, configure essas regras de rede usadas pelo Registro de Contêiner do Azure. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Essas marcas de serviço são necessárias além do FQDN para a regra de rede para Azure Key Vault. |
| Identidade Gerenciada | AzureActiveDirectory |
Ao usar a Identidade Gerenciada com Aplicativos de Contêiner do Azure, configure essas regras de rede usadas pela Identidade Gerenciada. |
| Barramento de Serviço do Azure | ServiceBus |
Necessário quando seus aplicativos de contêiner acessam Barramento de Serviço do Azure usando Firewall do Azure e marcas de serviço. |
Observação
Para Azure recursos que você está usando com Firewall do Azure que não estão listados neste artigo, consulte a documentação service tags.