Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
mit Azure Container Apps können Sie eingehenden Datenverkehr auf Ihre Container-App beschränken, indem Sie IP-Eingangsbeschränkungen konfigurieren.
Es gibt zwei Arten von Einschränkungen:
- Zulassen: Eingehenden Datenverkehr nur aus den Adressbereichen zulassen, die Sie in den Zulassungsregeln angeben.
- Verweigern: Verweigern Sie den gesamten eingehenden Datenverkehr aus Adressbereichen, die Sie in Deny-Regeln angeben.
Wenn Sie keine IP-Einschränkungsregeln definieren, ist der gesamte eingehende Datenverkehr zulässig.
Regeln für IP-Einschränkungen weisen die folgenden Eigenschaften auf:
| Eigenschaft | Wert | Beschreibung |
|---|---|---|
| Name | Zeichenfolge | Der Name der Regel. |
| Beschreibung | Zeichenfolge | Eine Beschreibung der Regel. |
| ipAddressRange | IP-Adressbereich im CIDR-Format | Der IP-Adressbereich in CIDR-Schreibweise. |
| action | Zulassen oder Verweigern | Die Aktion, die für die Regel ausgeführt werden soll. |
Der ipAddressRange-Parameter akzeptiert IPv4-Adressen. Definieren Sie jeden IPv4-Adressblock in CIDR-Notation (Classless Inter-Domain Routing).
Hinweis
Alle Regeln müssen denselben Typ aufweisen. Sie können Zulassungsregeln und Verweigerungsregeln nicht kombinieren.
Verwalten von IP-Eingangsbeschränkungen
Sie können Regeln für IP-Zugriffsbeschränkungen über das Azure-Portal oder die Azure-Befehlszeilenschnittstelle verwalten.
Hinzufügen von Regeln
Wechseln Sie im Azure-Portal zu Ihrer Container-App.
Wählen Sie im linken Menü Netzwerk>Ingress aus.
Unter IP-Einschränkungen können Sie den Datenverkehr aus den angegebenen IP-Adressbereichen zulassen oder verweigern. Wählen Sie in diesem Beispiel die Option "Datenverkehr von IPs zulassen" aus, die unten konfiguriert sind, und verweigern Sie den gesamten anderen Datenverkehr.
Wählen Sie Hinzufügen aus, um die Regel zu erstellen.
Geben Sie Werte für die folgenden Felder ein:
Feld Beschreibung IPv4-Adresse oder Bereich Geben Sie die IP-Adresse oder den Bereich der IP-Adressen in der CIDR-Schreibweise ein. Um beispielsweise den Zugriff von einer einzelnen IP-Adresse zuzulassen, verwenden Sie das folgende Format: 10.200.10.2/32. Name Geben Sie einen Namen für die Regel ein. Beschreibung Geben Sie eine Beschreibung für die Regel ein. Wählen Sie Hinzufügen.
Wiederholen Sie die Schritte 4 bis 6, um weitere Regeln hinzuzufügen.
Wenn Sie mit dem Hinzufügen von Regeln fertig sind, wählen Sie "Speichern" aus.
Aktualisieren einer Regel
- Wechseln Sie im Azure-Portal zu Ihrer Container-App.
- Wählen Sie im linken Menü Netzwerk>Ingress aus.
- Wählen Sie die Regel aus, die Sie aktualisieren möchten.
- Ändern Sie die Regeleinstellungen.
- Wählen Sie Speichern aus, um die Updates zu speichern.
- Wählen Sie auf der Seite " Eingangs " die Option "Speichern" aus, um die aktualisierten Regeln zu speichern.
Löschen einer Regel
- Wechseln Sie im Azure-Portal zu Ihrer Container-App.
- Wählen Sie im linken Menü Netzwerk>Ingress aus.
- Wählen Sie das Löschsymbol neben der Regel aus, die Sie löschen möchten.
- Wählen Sie Speichern.
Sie können IP-Zugriffsbeschränkungen mithilfe der az containerapp ingress access-restriction-Befehlsgruppe verwalten. Diese Befehlsgruppe verfügt über die folgenden Optionen:
-
set: Erstellen oder Aktualisieren einer Regel. -
remove: Löschen einer Regel. -
list: Listet alle Regeln auf.
Erstellen oder Aktualisieren von Regeln
Sie können IP-Einschränkungen mithilfe des az containerapp ingress access-restriction set-Befehls erstellen oder aktualisieren.
Die az containerapp ingress access-restriction set-Befehlsgruppe verwendet die folgenden Parameter.
| Argument | Werte | Beschreibung |
|---|---|---|
--rule-name (erforderlich) |
String | Gibt den Namen der Zugriffseinschränkungsregel an. |
--description |
String | Gibt eine Beschreibung für die Zugriffseinschränkungsregel an. |
--action (erforderlich) |
Zulassen/Verweigern | Gibt an, ob der Zugriff über den angegebenen IP-Adressbereich zugelassen oder verweigert werden soll. |
--ip-address (erforderlich) |
Die IP-Adresse oder der Bereich von IP-Adressen in CIDR-Notation | Gibt den IP-Adressbereich an, der zugelassen oder verweigert werden soll. |
Fügen Sie weitere Regeln hinzu, indem Sie den Befehl mit anderen --rule-name- und --ip-address-Werten wiederholen.
Zulassungsregeln erstellen
Der folgende Beispielbefehl „az containerapp access-restriction set“ erstellt eine Regel, um den eingehenden Zugriff auf einen IP-Adressbereich einzuschränken. Sie müssen alle vorhandenen Ablehnungsregeln löschen, bevor Sie beliebige Zulassungsregeln hinzufügen können.
Ersetzen Sie die Werte im folgenden Beispiel durch ihre eigenen Werte.
az containerapp ingress access-restriction set \
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "my allow rule" \
--description "example of rule allowing access" \
--ip-address 192.168.0.1/28 \
--action Allow
Sie können die Zulassungsregeln erweitern, indem Sie den Befehl mit anderen --ip-address- und --rule-name-Werten wiederholen.
Ablehnungsregeln erstellen
Im folgenden Beispiel des az containerapp access-restriction set-Befehls wird eine Zugriffsregel erstellt, um eingehenden Datenverkehr aus einem angegebenen IP-Bereich zu verweigern. Sie müssen alle vorhandenen Zulassungsregeln löschen, bevor Sie Verweigerungsregeln hinzufügen können.
Ersetzen Sie die Platzhalter im folgenden Beispiel durch eigene Werte.
az containerapp ingress access-restriction set \
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "my deny rule" \
--description "example of rule denying access" \
--ip-address 192.168.0.100/28 \
--action Deny
Sie können die Verweigerungsregeln erweitern, indem Sie den Befehl mit anderen --ip-address- und --rule-name-Werten wiederholen. Wenn Sie einen bereits vorhandenen Regelnamen verwenden, wird die vorhandene Regel aktualisiert.
Aktualisieren einer Regel
Sie können eine Regel mithilfe des az containerapp ingress access-restriction set-Befehls aktualisieren. Sie können den IP-Adressbereich und die Regelbeschreibung ändern, aber nicht den Regelnamen oder die Aktion.
Der --action-Parameter ist erforderlich, aber Sie können die Aktion nicht von „Zulassen“ in „Verweigern“ ändern oder umgekehrt. Wenn Sie den --description-Parameter weglassen, wird die Beschreibung gelöscht.
Im folgenden Beispiel wird der IP-Adressbereich aktualisiert.
az containerapp ingress access-restriction set \
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "my deny rule" \
--ip-address 192.168.0.1/24 \
--description "example of rule denying access" \
--action Deny
Entfernen von Zugriffsbeschränkungen
Mit dem folgenden Beispielbefehl „az containerapp ingress access-restriction remove“ wird eine Regel entfernt.
az containerapp ingress access-restriction remove \
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "<your rule name>"
Liste mit Zugriffseinschränkungen
Im folgenden Beispielbefehl „az containerapp ingress access-restriction list“ werden die IP-Einschränkungsregeln für die Container-App aufgeführt.
az containerapp ingress access-restriction list \
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP>
Problembehandlung
Verwenden Sie die folgenden Informationen, um Ip-bezogene Probleme in Ihrer Container-App zu beheben.
Zugriff verweigert
RBAC: Die an den Client zurückgegebene Meldung "Zugriff verweigert" gibt an, dass der Client durch IP-Einschränkungen aus der Container-App blockiert wird. Um dieses Problem zu beheben, stellen Sie sicher, dass die Client-IP-Adresse, die den Zugriff anfordert, gemäß den allow- oder deny-Regeln zulässig ist.
Wenn Sie einen Adressbereich verwenden, stellen Sie sicher, dass die blockierte IP in einen zulässigen Bereich fällt.