إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
مجموعات أمان الشبكة (NSGs) التي تحتاجها لتكوين الشبكات الظاهرية تشبه بشكل وثيق الإعدادات المطلوبة من قبل Kubernetes.
يمكنك تأمين شبكة عبر مجموعات أمان الشبكة بقواعد أكثر تقييدا من قواعد NSG الافتراضية للتحكم في جميع حركة المرور الواردة والصادرة لبيئة تطبيقات الحاوية على مستوى الاشتراك.
في بيئة ملفات تعريف حمل العمل، يتم دعم المسارات المعرفة من قبل المستخدم (UDRs) وتأمين نسبة استخدام الشبكة الصادرة باستخدام جدار حماية .
إشعار
للحصول على دليل حول كيفية إعداد UDR مع Container Apps لتقييد نسبة استخدام الشبكة الصادرة باستخدام Azure Firewall، تفضل بزيارة كيفية تطبيقات الحاوية وجدار حماية Azure.
عند استخدام بيئة ملفات تعريف حمل العمل الخارجية، توجه نسبة استخدام الشبكة الواردة إلى Azure Container Apps عبر IP العام الموجود في مجموعة الموارد المدارة بدلا من الشبكة الفرعية. يعني هذا القيد أن تأمين نسبة استخدام الشبكة الواردة عبر NSG أو جدار الحماية على بيئة ملفات تعريف حمل العمل الخارجية غير مدعوم. لمزيد من المعلومات، راجع التحكم في حركة المرور الصادرة باستخدام المسارات المعرفة من قبل المستخدم.
في بيئة الاستهلاك فقط القديمة، لا يتم دعم المسارات السريعة، كما أن التوجيهات المخصصة المعرفة من قبل المستخدم (UDRs) لها دعم محدود. لمزيد من المعلومات حول مستوى دعم UDR المتوفر في بيئة الاستهلاك فقط، راجع الأسئلة المتداولة.
قواعد سماح NSG
تصف الجداول التالية كيفية تكوين مجموعة من قواعد سماح NSG. تعتمد القواعد المحددة المطلوبة على نوع البيئة الخاصة بك.
وارد
إشعار
عند استخدام ملفات تعريف حمل العمل، تنطبق قواعد NSG الواردة فقط على حركة المرور التي تمر عبر شبكتك الظاهرية. إذا قمت بتعيين تطبيقات الحاوية لقبول نسبة استخدام الشبكة من الإنترنت العام، فإن نسبة استخدام الشبكة الواردة تمر عبر نقطة النهاية العامة بدلا من الشبكة الظاهرية.
| البروتوكول | المصدر | منافذ المصدر | الوجهة | منافذ الوجهة | الوصف |
|---|---|---|---|---|---|
| TCP | عناوين IP للعميل | * | الشبكةالفرعية 1 لتطبيق الحاوية |
80، 31080 |
اسمح لعناوين IP للعميل بالوصول إلى Azure Container Apps عند استخدام HTTP.
31080 هو المنفذ الذي يستجيب عليه وكيل Container Apps Environment Edge لحركة مرور HTTP. إنه خلف موازن التحميل الداخلي. |
| TCP | عناوين IP للعميل | * | الشبكةالفرعية 1 لتطبيق الحاوية |
443، 31443 |
السماح لعناوين IP للعميل بالوصول إلى Azure Container Apps عند استخدام HTTPS.
31443 هو المنفذ الذي يستجيب عليه وكيل Container Apps Environment Edge لحركة مرور HTTPS. إنه خلف موازن التحميل الداخلي. |
| TCP | AzureLoadBalancer | * | الشبكة الفرعية لتطبيق الحاوية |
30000-32767
2 |
السماح ل Azure Load Balancer بالتحقيق في تجمعات الواجهة الخلفية. |
| TCP | عناوين IP للعميل | * | الشبكة الفرعية لتطبيق الحاوية | المنافذ المكشوفة 30000-32767 |
تنطبق هذه القاعدة فقط على تطبيقات TCP. هذه القاعدة غير مطلوبة لتطبيقات HTTP. |
1 يمكنك تمرير هذا العنوان كمعلمة عند إنشاء بيئة. على سبيل المثال، 10.0.0.0/21
2 تحتاج إلى النطاق الكامل عند إنشاء Azure Container Apps كمنفذ داخل النطاق يتم تخصيصه ديناميكيا. بمجرد الإنشاء، تكون المنافذ المطلوبة قيمتين ثابتتين وغير قابلتين للتغيير، ويمكنك تحديث قواعد NSG الخاصة بك.
صادر
| البروتوكول | المصدر | منافذ المصدر | الوجهة | منافذ الوجهة | الوصف |
|---|---|---|---|---|---|
| TCP | الشبكة الفرعية لتطبيق الحاوية | * | MicrosoftContainerRegistry |
443 |
تمثل علامة الخدمة هذه سجل حاويات Microsoft لحاويات النظام. |
| TCP | الشبكة الفرعية لتطبيق الحاوية | * | AzureFrontDoor.FirstParty |
443 |
علامة الخدمة هذه هي تبعية لعلامة MicrosoftContainerRegistry الخدمة. |
| أي | الشبكة الفرعية لتطبيق الحاوية | * | الشبكة الفرعية لتطبيق الحاوية | * | يسمح بالاتصال بين عناوين IP في الشبكة الفرعية لتطبيق الحاوية. |
| TCP | الشبكة الفرعية لتطبيق الحاوية | * | AzureActiveDirectory |
443 |
إذا كنت تستخدم هوية مدارة، فهي مطلوبة. |
| TCP | الشبكة الفرعية لتطبيق الحاوية | * | AzureMonitor |
443 |
مطلوب فقط عند استخدام Azure Monitor. يُسمَح باستدعاءات صادرة إلى Azure Monitor. |
| TCP وUDP | الشبكة الفرعية لتطبيق الحاوية | * | 168.63.129.16 |
53 |
تمكين البيئة من استخدام Azure DNS لحل اسم المضيف. ملاحظة: لا يخضع اتصال DNS إلى Azure DNS لمجموعة أمان الشبكة ما لم يتم استهدافه باستخدام AzurePlatformDNS علامة الخدمة. لحظر حركة مرور DNS، قم بإنشاء قاعدة صادرة لرفض نسبة استخدام الشبكة إلى AzurePlatformDNS علامة الخدمة. |
| TCP | الشبكةالفرعية 1 لتطبيق الحاوية | * | سجل الحاوية الخاص بك | منفذ سجل الحاوية | هذه القاعدة مطلوبة للاتصال بسجل الحاوية. على سبيل المثال، عند استخدام ACR، تحتاج و AzureContainerRegistryAzureActiveDirectory للوجهة، والمنفذ هو منفذ سجل الحاوية الخاص بك ما لم يتم استخدام نقاط النهاية الخاصة.2 |
| TCP | الشبكة الفرعية لتطبيق الحاوية | * | Storage.<Region> |
443 |
مطلوب فقط عند استخدام Azure Container Registry لاستضافة صورك. |
1 يمكنك تمرير هذا العنوان كمعلمة عند إنشاء بيئة. على سبيل المثال، 10.0.0.0/21
2 إذا كنت تستخدم Azure Container Registry (ACR) مع مجموعات أمان الشبكة المكونة على شبكتك الظاهرية، فأنشئ نقطة نهاية خاصة على ACR للسماح لتطبيقات حاويات Azure بسحب الصور عبر الشبكة الظاهرية. لا تحتاج إلى إضافة قاعدة NSG ل ACR عند تكوينها بنقاط نهاية خاصة.
الاعتبارات
- إذا كنت تقوم بتشغيل خوادم HTTP، فقد تحتاج إلى إضافة منافذ
80و443. - لا ترفض صراحة عنوان
168.63.129.16Azure DNS في قواعد NSG الصادرة، أو أن بيئة تطبيقات الحاوية لا تعمل.