Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo explica como integrar o seu ambiente Azure Container Apps com o Azure Firewall utilizando rotas definidas pelo utilizador (UDR). Ao usar UDR, pode controlar como o tráfego é encaminhado dentro da sua rede virtual. Pode encaminhar todo o tráfego de saída das suas aplicações container através do Azure Firewall, que fornece um ponto central para monitorizar o tráfego e aplicar políticas de segurança. Essa configuração ajuda a proteger seus aplicativos de contêiner contra ameaças potenciais. Também ajuda a cumprir os requisitos de conformidade ao fornecer registos detalhados e capacidades de monitorização.
Rotas definidas pelo utilizador (UDR)
Rotas definidas pelo utilizador (UDR) e saídas controladas através do NAT Gateway são suportadas apenas num ambiente de perfis de carga de trabalho.
Use o UDR para restringir o tráfego de saída da sua aplicação container através do Azure Firewall ou outros appliances de rede. Para mais informações, consulte Controla o tráfego de saída em Azure Container Apps com rotas definidas pelo utilizador.
Configuras o UDR fora do âmbito do ambiente das Aplicações de Container.
O Azure cria uma tabela de rotas padrão para as suas redes virtuais quando as cria. Ao implementar uma tabela de rotas definida pelo usuário, você pode controlar como o tráfego é roteado em sua rede virtual. Por exemplo, pode criar um UDR que restrinja o tráfego de saída da sua aplicação container, encaminhando-o para o Azure Firewall.
Quando usar UDR com Azure Firewall no Azure Container Apps, adicione as seguintes regras de aplicação ou rede à lista de permissões do seu firewall, dependendo dos recursos que está a usar.
Observação
Você só precisa configurar regras de aplicativo ou regras de rede, dependendo dos requisitos do seu sistema. Configurar ambos ao mesmo tempo não é necessário.
Regras de aplicação
As regras de aplicativo permitem ou negam tráfego com base na camada de aplicativo. As seguintes regras de aplicativo de firewall de saída são necessárias com base no cenário.
| Cenários | FQDNs (Nomes de Domínio Totalmente Qualificados) | Descrição |
|---|---|---|
| Todos os cenários |
mcr.microsoft.com, *.data.mcr.microsoft.com |
O Azure Container Apps utiliza estes FQDNs para o Microsoft Container Registry (MCR). Ao usar Azure Container Apps com Azure Firewall, adicione estas regras de aplicação ou as regras de rede do MCR à lista de permisos. |
| Todos os cenários |
packages.aks.azure.com, acs-mirror.azureedge.net |
O cluster AKS subjacente requer que estes FQDNs descarreguem e instalem os binários Kubernetes e Azure CNI. Ao usar Azure Container Apps com Azure Firewall, adicione estas regras de aplicação ou as regras de rede do MCR à lista de permisos. Para mais informações, consulte as regras obrigatórias de FQDN / aplicação do Azure Global. |
| Azure Container Registry (ACR) |
O seu-ACR-endereço, *.blob.core.windows.net, login.microsoft.com |
Estes FQDNs são necessários ao utilizar Azure Container Apps com ACR e Azure Firewall. |
| Azure Key Vault |
Seu-Endereço-Azure-Key-Vault, login.microsoft.com |
Estes FQDNs são obrigatórios para além da tag de serviço exigida para a regra de rede do Azure Key Vault. |
| Identidade gerenciada |
*.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com, *.login.microsoft.com |
Estes FQDNs são necessários quando se utiliza identidade gerida com o Azure Firewall no Azure Container Apps. |
| Azure Service Bus | *.servicebus.windows.net |
Estes FQDNs são necessários quando as suas aplicações de contêiner comunicam com o Azure Service Bus (filas, tópicos ou subscrições) através do Azure Firewall. |
| Painel de Controlo do Aspire | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Este FQDN é necessário quando se utiliza o painel do Aspire num ambiente configurado com uma rede virtual. Atualiza o FQDN com a região da tua app container. |
| Registro do Docker Hub |
hub.docker.com, registry-1.docker.io, production.cloudflare.docker.com |
Se estiver a usar o registo do Docker Hub e quiser aceder através do firewall, adicione estes FQDNs ao firewall. |
| Azure Service Bus | *.servicebus.windows.net |
Este FQDN é necessário ao utilizar Azure Service Bus com Azure Container Apps e Azure Firewall. |
| Azure China: MCR |
mcr.azure.cn, *.data.mcr.azure.cn |
Estes endpoints do Microsoft Container Registry (MCR) são usados para extrair imagens de contentores no ambiente Azure China. |
| Azure China: Infraestrutura AKS |
mcr.azk8s.cn, mirror.azk8s.cn |
Estes espelhos AKS específicos para a China são usados para descarregar binários e imagens de contentores do Kubernetes. |
| Azure China: ACR | *.azurecr.cn |
Obrigatório ao usar o Azure Container Registry no ambiente Azure China. |
| Azure China: Identidade Gerida |
*.identity.azure.cn, login.chinacloudapi.cn, *.login.chinacloudapi.cn |
Estas FQDNs são necessárias quando se utiliza identidade gerida no ambiente Azure China. |
| Azure China: Key Vault |
*.vault.azure.cn, login.chinacloudapi.cn |
É obrigatório ao usar o Azure Key Vault no ambiente Azure China. |
| Azure China: Azure Management |
management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn |
Necessário para chamadas API do Azure Resource Manager e contas de armazenamento geridas pela plataforma no ambiente Azure China. |
| Azure China: Monitorização |
*.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn |
Necessário para monitorização de plataforma e ingestão de telemetria no ambiente Azure China. |
| Azure China: Plataforma de Aplicações de Contentores |
*.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn |
Necessário para a plataforma de controlo regional e API de extensões do Container Apps no ambiente Azure China. |
| Azure China: Aspire Dashboard | *.azurecontainerapps.cn |
É obrigatório ao usar o Aspire Dashboard ou os FQDNs da aplicação no ambiente Azure China. |
Observação
Os FQDNs do Azure China listados anteriormente aplicam-se apenas ao ambiente Azure China. Os FQDNs do Docker Hub são iguais a nível global, mas o acesso a partir da China pode ser pouco fiável. Considere espelhar imagens para Azure Container Registry (*.azurecr.cn) em vez disso.
Regras de rede
As regras de rede permitem ou negam tráfego com base na camada de rede e transporte. Quando usar UDR com Azure Firewall no Azure Container Apps, adicione as seguintes regras de firewall de saída com base no cenário.
| Cenários | Etiqueta de serviço | Descrição |
|---|---|---|
| Todos os cenários |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Azure Container Apps utiliza estas etiquetas de serviço para o Microsoft Container Registry (MCR). Para permitir que o Azure Container Apps utilize o MCR, adicione estas regras de rede ou as regras de aplicação do MCR à lista de permissões ao usar o Azure Container Apps com Azure Firewall. |
| Azure Container Registry (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
Quando usar ACR com Azure Container Apps, configure estas regras de rede usadas pelo Azure Container Registry. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Estas etiquetas de serviço são necessárias para além do FQDN para a regra de rede do Azure Key Vault. |
| Identidade gerenciada | AzureActiveDirectory |
Quando usar Identidade Gerida com Azure Container Apps, configure estas regras de rede usadas pela Identidade Gerida. |
| Azure Service Bus | ServiceBus |
É necessário quando as suas aplicações container acedem ao Azure Service Bus usando o Azure Firewall e etiquetas de serviço. |
Observação
Para os recursos Azure que utiliza com o Azure Firewall e que não estão listados neste artigo, consulte a documentação tags de serviço.