Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra i concetti per l'integrazione dell'ambiente App contenitore di Azure con Firewall di Azure usando route definite dall'utente . Utilizzando gli UDR, è possibile controllare come viene instradato il traffico all'interno della rete virtuale.
È possibile instradare tutto il traffico in uscita dalle app contenitore tramite Firewall di Azure, che fornisce un punto centrale per il monitoraggio del traffico e l'applicazione dei criteri di sicurezza. Questa configurazione consente di proteggere le app contenitore da potenziali minacce. Consente inoltre di soddisfare i requisiti di conformità fornendo log dettagliati e funzionalità di monitoraggio.
Percorsi definiti dall'utente
Le UDR e l'egress controllato tramite Gateway NAT di Azure sono supportati solo in un ambiente con profilo di carico di lavoro.
Usa un UDR per limitare il traffico in uscita della tua app contenitore tramite Firewall di Azure o altre appliance di rete. Per altre informazioni, vedere Controlre il traffico in uscita in App contenitore di Azure con route definite dall'utente.
Si configura una UDR al di fuori dell'ambito dell'ambiente di Container Apps.
Azure crea una tabella di route predefinita per le reti virtuali quando si creano tali reti. Implementando una tabella di route definita dall'utente, è possibile controllare il modo in cui il traffico viene instradato all'interno della rete virtuale. Ad esempio, è possibile creare una route definita dall'utente che limita il traffico in uscita dall'app container instradandolo a Firewall di Azure.
Quando si usa una route definita dall'utente (UDR) con Firewall di Azure in Container Apps, aggiungere regole dell'applicazione o di rete all'elenco degli elementi consentiti del firewall, a seconda delle risorse che si utilizzano.
Annotazioni
Configurare regole dell'applicazione o regole di rete, a seconda dei requisiti del sistema. La configurazione di entrambi contemporaneamente non è necessaria.
Regole di applicazione
Le regole dell'applicazione consentono o negano il traffico in base al livello dell'applicazione. Sono necessarie le regole dell'applicazione firewall in uscita seguenti e i relativi nomi di dominio completi (FQDN) in base allo scenario.
| Scenari | FQDN | Descrizione |
|---|---|---|
| Tutti gli scenari |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Le app contenitore usano questi FQDN per il Registro artefatti Microsoft. Quando si usano app contenitore con Firewall di Azure, aggiungere queste regole dell'applicazione o le regole di rete per Il Registro artefatti all'elenco elementi consentiti. |
| Tutti gli scenari |
packages.aks.azure.com, acs-mirror.azureedge.net |
Il cluster Servizio Azure Kubernetes (AKS) sottostante richiede questi FQDN per scaricare e installare i file binari di Kubernetes e di Azure Container Network Interface (CNI). Quando si usano app contenitore con Firewall di Azure, aggiungere queste regole dell'applicazione o le regole di rete per Il Registro artefatti all'elenco elementi consentiti. Per altre informazioni, vedere FQDN obbligatori globali di Azure / regole di applicazione. |
| Registro dei container di Azure |
<your-Container-Registry-address>, *.blob.core.windows.net, login.microsoft.com |
Questi FQDN sono necessari quando si usa Container Apps con Container Registry e Firewall di Azure. |
| Azure Key Vault |
<your-Key-Vault-address>, login.microsoft.com |
Questi FQDN sono necessari oltre al tag di servizio necessario per la regola di rete per Key Vault. |
| Identità gestita |
*.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com*.login.microsoft.com |
Questi FQDN sono necessari quando si utilizza un'identità gestita con Firewall di Azure in Container Apps. |
| bus di servizio di Azure | *.servicebus.windows.net |
Questi nomi di dominio completi (FQDN) sono necessari quando le app contenitore comunicano con il bus di servizio (code, argomenti o sottoscrizioni) tramite Firewall di Azure. |
| Aspire Dashboard | https://<YOUR-CONTAINER-APP-REGION>.ext.azurecontainerapps.dev |
Questo FQDN è necessario quando si utilizza il dashboard Aspire in un ambiente configurato con una rete virtuale. Aggiorna il FQDN con la regione della tua app contenitore. |
| Registro di sistema Docker Hub |
hub.docker.com, registry-1.docker.io, production.cloudflare.docker.com |
Se si usa un registro Docker Hub e si vuole accedervi tramite il firewall, aggiungere questi FQDN al firewall. |
| bus di servizio di Azure | *.servicebus.windows.net |
Questo nome di dominio completo è necessario quando si usa bus di servizio con App contenitore e Firewall di Azure. |
| Azure gestito da 21Vianet (Azure in Cina): Microsoft Artifact Registry |
mcr.azure.cn, *.data.mcr.azure.cn |
Questi endpoint di Artifact Registry vengono utilizzati per scaricare immagini container nell'ambiente Azure in Cina. |
| Azure in Cina: infrastruttura di AKS |
mcr.azk8s.cn, mirror.azk8s.cn |
Questi mirror AKS specifici per la Cina vengono usati per scaricare i binari di Kubernetes e le immagini del container. |
| Azure in Cina: Registro Azure Container | *.azurecr.cn |
Questo nome di dominio completo è necessario quando si usa registro contenitori nell'ambiente Azure in Cina. |
| Azure in Cina: identità gestita |
*.identity.azure.cn, login.chinacloudapi.cn, *.login.chinacloudapi.cn |
Questi FQDN sono necessari quando si usa un'identità gestita nell'ambiente Azure in Cina. |
| Azure in Cina: Azure Key Vault |
*.vault.azure.cn, login.chinacloudapi.cn |
Questi FQDN sono necessari quando si usa Key Vault nell'ambiente Azure in Cina. |
| Azure in Cina: gestione di Azure |
management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn |
Questi FQDN sono necessari per le chiamate API Azure Resource Manager e gli account di archiviazione gestiti dalla piattaforma nell'ambiente Azure in Cina. |
| Azure in Cina: monitoraggio |
*.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn |
Questi FQDN sono necessari per il monitoraggio della piattaforma e l'inserimento dei dati di telemetria nell'ambiente Azure in Cina. |
| Azure in Cina: piattaforma Container Apps |
*.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn |
Questi FQDN sono necessari per il piano di controllo regionale di Container Apps e per l'API delle estensioni nell'ambiente Azure in Cina. |
| Azure in Cina: Dashboard Aspira | *.azurecontainerapps.cn |
Questi FQDN sono necessari quando si utilizzano i FQDN del dashboard o dell'app di Aspire nell'ambiente Azure in Cina. |
Annotazioni
Gli FQDN di Azure in Cina si applicano solo all'ambiente Azure in Cina. Docker Hub FQDN sono gli stessi a livello globale, ma l'accesso dalla Cina potrebbe non essere affidabile. Valuta invece di replicare le immagini in Container Registry (*.azurecr.cn).
Regole di rete
Le regole di rete consentono o negano il traffico in base al livello di rete e trasporto. Quando utilizzi una UDR con Firewall di Azure in Container Apps, aggiungi le seguenti regole di rete in uscita del firewall in base allo scenario.
| Scenari | Etichette di servizio | Descrizione |
|---|---|---|
| Tutti gli scenari |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Container Apps usa questi tag di servizio per Microsoft Artifact Registry. Per consentire alle app contenitore di usare Il Registro artefatti, aggiungere queste regole di rete o le regole dell'applicazione per Il Registro artefatti all'elenco consenti quando si usano app contenitore con Firewall di Azure. |
| Registro dei container di Azure |
AzureContainerRegistry, AzureActiveDirectory |
Quando si usa Container Registry con Container Apps, configurare le regole di rete usate da Container Registry. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Questi tag di servizio sono necessari oltre al nome di dominio completo per la regola di rete per Key Vault. |
| Identità gestita | AzureActiveDirectory |
Quando si utilizza un'identità gestita con Container Apps, configurare le seguenti regole di rete utilizzate dall'identità gestita. |
| bus di servizio di Azure | ServiceBus |
Questo tag di servizio è necessario quando le app del contenitore accedono bus di servizio usando tag di servizio e Firewall di Azure. |
Annotazioni
Per le risorse di Azure che stai usando con Firewall di Azure e che non sono elencate in questo articolo, vedere la documentazione relativa ai tag di servizio .