Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo explica conceitos para integrar o seu ambiente Azure Container Apps com o Azure Firewall utilizando rotas definidas pelo utilizador (UDRs). Ao usar UDRs, pode controlar como o tráfego é encaminhado dentro da sua rede virtual.
Pode encaminhar todo o tráfego de saída das suas aplicações container através do Azure Firewall, que fornece um ponto central para monitorizar o tráfego e aplicar políticas de segurança. Essa configuração ajuda a proteger seus aplicativos de contêiner contra ameaças potenciais. Também ajuda a cumprir os requisitos de conformidade ao fornecer registos detalhados e capacidades de monitorização.
Rotas definidas pelo usuário
As UDRs e o tráfego de saída controlado através do Azure NAT Gateway só são suportados num ambiente de perfil de carga de trabalho.
Use um UDR para restringir o tráfego de saída da sua aplicação de contentores através do Azure Firewall ou outros appliances de rede. Para mais informações, veja Controla o tráfego de saída em Azure Container Apps com rotas definidas pelo utilizador.
Configura uma UDR fora do escopo do ambiente do Container Apps.
O Azure cria uma tabela de rotas padrão para as suas redes virtuais quando cria essas redes. Ao implementar uma tabela de rotas definida pelo usuário, você pode controlar como o tráfego é roteado em sua rede virtual. Por exemplo, pode criar um UDR que restrinja o tráfego de saída da sua aplicação container, encaminhando-o para o Azure Firewall.
Quando usar um UDR com o Azure Firewall em Container Apps, adicione regras de aplicação ou de rede à lista de permissões do seu firewall, dependendo dos recursos que está a usar.
Observação
Configure regras de aplicação ou regras de rede, dependendo dos requisitos do seu sistema. Configurar ambos ao mesmo tempo não é necessário.
Regras de aplicação
As regras de aplicativo permitem ou negam tráfego com base na camada de aplicativo. As seguintes regras de aplicação do firewall de saída e os respetivos nomes de domínio totalmente qualificados (FQDNs) são necessárias, consoante o cenário.
| Cenários | FQDNs (Nomes de Domínio Totalmente Qualificados) | Descrição |
|---|---|---|
| Todos os cenários |
mcr.microsoft.com, *.data.mcr.microsoft.com |
A Container Apps utiliza estes FQDNs para o Microsoft Artifact Registry. Quando estiver a usar Aplicações Container com Azure Firewall, adicione estas regras de aplicação ou as regras de rede do Registo de Artefactos à lista de permissões. |
| Todos os cenários |
packages.aks.azure.com, acs-mirror.azureedge.net |
O cluster subjacente Azure Kubernetes Service (AKS) requer que estes FQDNs descarreguem e instalem os binários Kubernetes e Azure Container Network Interface (CNI). Quando estiver a usar Aplicações Container com Azure Firewall, adicione estas regras de aplicação ou as regras de rede do Registo de Artefactos à lista de permissões. Para mais informações, consulte Azure Global FQDN obrigatórios / regras de aplicação. |
| Azure Container Registry |
<your-Container-Registry-address>, *.blob.core.windows.net, login.microsoft.com |
Estes FQDNs são necessários quando usas Aplicações de Container com Container Registry e Azure Firewall. |
| Azure Key Vault |
<your-Key-Vault-address>, login.microsoft.com |
Estes FQDNs são obrigatórios além da etiqueta de serviço exigida para a regra de rede do Key Vault. |
| Identidade gerenciada |
*.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com, *.login.microsoft.com |
Estes FQDNs são obrigatórios quando usas uma identidade gerida com o Azure Firewall em Container Apps. |
| Azure Service Bus | *.servicebus.windows.net |
Estes FQDNs são necessários quando as aplicações em contentores comunicam com o Service Bus (filas, tópicos ou subscrições) através do Azure Firewall. |
| Painel de Controlo Aspire | https://<YOUR-CONTAINER-APP-REGION>.ext.azurecontainerapps.dev |
Este FQDN é necessário quando se utiliza o dashboard do Aspire num ambiente configurado com uma rede virtual. Atualiza o FQDN com a região da tua app container. |
| Registo Docker Hub |
hub.docker.com, registry-1.docker.io, production.cloudflare.docker.com |
Se estiveres a usar um registo Docker Hub e quiseres aceder a ele através do firewall, adiciona estes FQDNs ao firewall. |
| Azure Service Bus | *.servicebus.windows.net |
Este FQDN é necessário quando está a usar Service Bus com Container Apps e Azure Firewall. |
| Azure operado pela 21Vianet (Azure na China): Microsoft Artifact Registry |
mcr.azure.cn, *.data.mcr.azure.cn |
Estes endpoints do Registo de Artefactos são usados para extrair imagens de contentores no ambiente Azure in China. |
| Azure na China: infraestrutura AKS |
mcr.azk8s.cn, mirror.azk8s.cn |
Estes espelhos AKS específicos para a China são usados para descarregar binários e imagens de contentores do Kubernetes. |
| Azure na China: Azure Container Registry | *.azurecr.cn |
Este FQDN é necessário quando se utiliza o Container Registry no ambiente Azure na China. |
| Azure na China: identidade gerida |
*.identity.azure.cn, login.chinacloudapi.cn, *.login.chinacloudapi.cn |
Estes FQDNs são necessários quando se usa uma identidade gerida no ambiente Azure na China. |
| Azure na China: Azure Key Vault |
*.vault.azure.cn, login.chinacloudapi.cn |
Estes FQDNs são obrigatórios quando utilizas o Key Vault no ambiente Azure na China. |
| Azure na China: gestão do Azure |
management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn |
Estes FQDNs são necessários para chamadas API do Azure Resource Manager e contas de armazenamento geridas pela plataforma no ambiente Azure na China. |
| Azure na China: monitorização |
*.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn |
Estes FQDNs são necessários para monitorização de plataforma e ingestão de telemetria no ambiente Azure na China. |
| Azure na China: Plataforma Container Apps |
*.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn |
Estes FQDNs são necessários para o plano de controlo regional do Container Apps e a API de extensões no ambiente Azure na China. |
| Azure na China: dashboard do Aspire | *.azurecontainerapps.cn |
Estes FQDNs são necessários quando se usa o dashboard Aspire ou os FQDNs da aplicação no ambiente Azure na China. |
Observação
Os FQDNs do Azure na China aplicam-se apenas ao ambiente do Azure na China. Os FQDNs do Docker Hub são iguais a nível global, mas o acesso a partir da China pode ser pouco fiável. Considere espelhar imagens no Container Registry (*.azurecr.cn) em vez disso.
Regras de rede
As regras de rede permitem ou negam tráfego com base na camada de rede e transporte. Quando usar um UDR com Azure Firewall em Container Apps, adicione as seguintes regras de rede de firewall de saída com base no cenário.
| Cenários | Etiquetas de serviço | Descrição |
|---|---|---|
| Todos os cenários |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
A Container Apps utiliza estas etiquetas de serviço para o Microsoft Artifact Registry. Para permitir que as Aplicações Container usem o Registo de Artefactos, adicione estas regras de rede ou as regras de aplicação do Registo de Artefactos à lista de permissões quando estiver a usar Aplicações Container com o Azure Firewall. |
| Azure Container Registry |
AzureContainerRegistry, AzureActiveDirectory |
Quando usar o Container Registry com Container Apps, configure estas regras de rede que o Container Registry utiliza. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Estas etiquetas de serviço são necessárias para além do FQDN para a regra de rede do Key Vault. |
| Identidade gerenciada | AzureActiveDirectory |
Quando usar uma identidade gerida com Aplicações Container, configure estas regras de rede que a identidade gerida utiliza. |
| Azure Service Bus | ServiceBus |
Esta etiqueta de serviço é necessária quando as suas aplicações container acedem ao Service Bus usando o Azure Firewall e as etiquetas de serviço. |
Observação
Para os recursos Azure que utiliza com o Azure Firewall e que não estão listados neste artigo, consulte a documentação tags de serviço.