Integração do ambiente Azure Container Apps com Azure Firewall

Este artigo explica conceitos para integrar o seu ambiente Azure Container Apps com o Azure Firewall utilizando rotas definidas pelo utilizador (UDRs). Ao usar UDRs, pode controlar como o tráfego é encaminhado dentro da sua rede virtual.

Pode encaminhar todo o tráfego de saída das suas aplicações container através do Azure Firewall, que fornece um ponto central para monitorizar o tráfego e aplicar políticas de segurança. Essa configuração ajuda a proteger seus aplicativos de contêiner contra ameaças potenciais. Também ajuda a cumprir os requisitos de conformidade ao fornecer registos detalhados e capacidades de monitorização.

Rotas definidas pelo usuário

As UDRs e o tráfego de saída controlado através do Azure NAT Gateway só são suportados num ambiente de perfil de carga de trabalho.

Use um UDR para restringir o tráfego de saída da sua aplicação de contentores através do Azure Firewall ou outros appliances de rede. Para mais informações, veja Controla o tráfego de saída em Azure Container Apps com rotas definidas pelo utilizador.

Configura uma UDR fora do escopo do ambiente do Container Apps.

Diagrama de como uma rota definida pelo utilizador é implementada para Aplicações Container.

O Azure cria uma tabela de rotas padrão para as suas redes virtuais quando cria essas redes. Ao implementar uma tabela de rotas definida pelo usuário, você pode controlar como o tráfego é roteado em sua rede virtual. Por exemplo, pode criar um UDR que restrinja o tráfego de saída da sua aplicação container, encaminhando-o para o Azure Firewall.

Quando usar um UDR com o Azure Firewall em Container Apps, adicione regras de aplicação ou de rede à lista de permissões do seu firewall, dependendo dos recursos que está a usar.

Observação

Configure regras de aplicação ou regras de rede, dependendo dos requisitos do seu sistema. Configurar ambos ao mesmo tempo não é necessário.

Regras de aplicação

As regras de aplicativo permitem ou negam tráfego com base na camada de aplicativo. As seguintes regras de aplicação do firewall de saída e os respetivos nomes de domínio totalmente qualificados (FQDNs) são necessárias, consoante o cenário.

Cenários FQDNs (Nomes de Domínio Totalmente Qualificados) Descrição
Todos os cenários mcr.microsoft.com, *.data.mcr.microsoft.com A Container Apps utiliza estes FQDNs para o Microsoft Artifact Registry. Quando estiver a usar Aplicações Container com Azure Firewall, adicione estas regras de aplicação ou as regras de rede do Registo de Artefactos à lista de permissões.
Todos os cenários packages.aks.azure.com, acs-mirror.azureedge.net O cluster subjacente Azure Kubernetes Service (AKS) requer que estes FQDNs descarreguem e instalem os binários Kubernetes e Azure Container Network Interface (CNI). Quando estiver a usar Aplicações Container com Azure Firewall, adicione estas regras de aplicação ou as regras de rede do Registo de Artefactos à lista de permissões. Para mais informações, consulte Azure Global FQDN obrigatórios / regras de aplicação.
Azure Container Registry <your-Container-Registry-address>, *.blob.core.windows.net, login.microsoft.com Estes FQDNs são necessários quando usas Aplicações de Container com Container Registry e Azure Firewall.
Azure Key Vault <your-Key-Vault-address>, login.microsoft.com Estes FQDNs são obrigatórios além da etiqueta de serviço exigida para a regra de rede do Key Vault.
Identidade gerenciada *.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com, *.login.microsoft.com Estes FQDNs são obrigatórios quando usas uma identidade gerida com o Azure Firewall em Container Apps.
Azure Service Bus *.servicebus.windows.net Estes FQDNs são necessários quando as aplicações em contentores comunicam com o Service Bus (filas, tópicos ou subscrições) através do Azure Firewall.
Painel de Controlo Aspire https://<YOUR-CONTAINER-APP-REGION>.ext.azurecontainerapps.dev Este FQDN é necessário quando se utiliza o dashboard do Aspire num ambiente configurado com uma rede virtual. Atualiza o FQDN com a região da tua app container.
Registo Docker Hub hub.docker.com, registry-1.docker.io, production.cloudflare.docker.com Se estiveres a usar um registo Docker Hub e quiseres aceder a ele através do firewall, adiciona estes FQDNs ao firewall.
Azure Service Bus *.servicebus.windows.net Este FQDN é necessário quando está a usar Service Bus com Container Apps e Azure Firewall.
Azure operado pela 21Vianet (Azure na China): Microsoft Artifact Registry mcr.azure.cn, *.data.mcr.azure.cn Estes endpoints do Registo de Artefactos são usados para extrair imagens de contentores no ambiente Azure in China.
Azure na China: infraestrutura AKS mcr.azk8s.cn, mirror.azk8s.cn Estes espelhos AKS específicos para a China são usados para descarregar binários e imagens de contentores do Kubernetes.
Azure na China: Azure Container Registry *.azurecr.cn Este FQDN é necessário quando se utiliza o Container Registry no ambiente Azure na China.
Azure na China: identidade gerida *.identity.azure.cn, login.chinacloudapi.cn, *.login.chinacloudapi.cn Estes FQDNs são necessários quando se usa uma identidade gerida no ambiente Azure na China.
Azure na China: Azure Key Vault *.vault.azure.cn, login.chinacloudapi.cn Estes FQDNs são obrigatórios quando utilizas o Key Vault no ambiente Azure na China.
Azure na China: gestão do Azure management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn Estes FQDNs são necessários para chamadas API do Azure Resource Manager e contas de armazenamento geridas pela plataforma no ambiente Azure na China.
Azure na China: monitorização *.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn Estes FQDNs são necessários para monitorização de plataforma e ingestão de telemetria no ambiente Azure na China.
Azure na China: Plataforma Container Apps *.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn Estes FQDNs são necessários para o plano de controlo regional do Container Apps e a API de extensões no ambiente Azure na China.
Azure na China: dashboard do Aspire *.azurecontainerapps.cn Estes FQDNs são necessários quando se usa o dashboard Aspire ou os FQDNs da aplicação no ambiente Azure na China.

Observação

Os FQDNs do Azure na China aplicam-se apenas ao ambiente do Azure na China. Os FQDNs do Docker Hub são iguais a nível global, mas o acesso a partir da China pode ser pouco fiável. Considere espelhar imagens no Container Registry (*.azurecr.cn) em vez disso.

Regras de rede

As regras de rede permitem ou negam tráfego com base na camada de rede e transporte. Quando usar um UDR com Azure Firewall em Container Apps, adicione as seguintes regras de rede de firewall de saída com base no cenário.

Cenários Etiquetas de serviço Descrição
Todos os cenários MicrosoftContainerRegistry, AzureFrontDoorFirstParty A Container Apps utiliza estas etiquetas de serviço para o Microsoft Artifact Registry. Para permitir que as Aplicações Container usem o Registo de Artefactos, adicione estas regras de rede ou as regras de aplicação do Registo de Artefactos à lista de permissões quando estiver a usar Aplicações Container com o Azure Firewall.
Azure Container Registry AzureContainerRegistry, AzureActiveDirectory Quando usar o Container Registry com Container Apps, configure estas regras de rede que o Container Registry utiliza.
Azure Key Vault AzureKeyVault, AzureActiveDirectory Estas etiquetas de serviço são necessárias para além do FQDN para a regra de rede do Key Vault.
Identidade gerenciada AzureActiveDirectory Quando usar uma identidade gerida com Aplicações Container, configure estas regras de rede que a identidade gerida utiliza.
Azure Service Bus ServiceBus Esta etiqueta de serviço é necessária quando as suas aplicações container acedem ao Service Bus usando o Azure Firewall e as etiquetas de serviço.

Observação

Para os recursos Azure que utiliza com o Azure Firewall e que não estão listados neste artigo, consulte a documentação tags de serviço.

Passo seguinte