إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
مجموعات أمان الشبكة (NSGs) اللازمة لتكوين الشبكات الظاهرية تشبه إلى حد وثيق الإعدادات المطلوبة من قبل Kubernetes.
يمكنك تأمين شبكة عبر مجموعات أمان الشبكة بقواعد أكثر تقييدا من قواعد NSG الافتراضية للتحكم في جميع حركة المرور الواردة والصادرة لبيئة تطبيقات الحاوية على مستوى الاشتراك.
في بيئة ملفات تعريف حمل العمل، يتم دعم المسارات المعرفة من قبل المستخدم (UDRs) وتأمين نسبة استخدام الشبكة الصادرة باستخدام جدار حماية .
إشعار
للحصول على دليل حول كيفية إعداد UDR مع Container Apps لتقييد نسبة استخدام الشبكة الصادرة باستخدام Azure Firewall، تفضل بزيارة كيفية تطبيقات الحاوية وجدار حماية Azure.
عند استخدام بيئة ملفات تعريف حمل العمل الخارجية، يتم توجيه نسبة استخدام الشبكة الواردة إلى Azure Container Apps من خلال IP العام الموجود في مجموعة الموارد المدارة بدلا من الشبكة الفرعية. وهذا يعني أن تأمين حركة المرور الواردة عبر NSG أو جدار الحماية على بيئة ملفات تعريف حمل العمل الخارجية غير مدعوم. لمزيد من المعلومات، راجع التحكم في حركة المرور الصادرة باستخدام المسارات المعرفة من قبل المستخدم.
في بيئة الاستهلاك فقط القديمة، لا يتم دعم المسارات السريعة، كما أن التوجيهات المخصصة المعرفة من قبل المستخدم (UDRs) لها دعم محدود. لمزيد من المعلومات حول مستوى دعم UDR المتوفر في بيئة الاستهلاك فقط، راجع الأسئلة المتداولة.
قواعد سماح NSG
تصف الجداول التالية كيفية تكوين مجموعة من قواعد سماح NSG. تعتمد القواعد المحددة المطلوبة على نوع البيئة الخاصة بك.
وارد
إشعار
عند استخدام ملفات تعريف حمل العمل، تنطبق قواعد NSG الواردة فقط على نسبة استخدام الشبكة التي تمر عبر شبكتك الظاهرية. إذا تم تعيين تطبيقات الحاوية الخاصة بك لقبول نسبة استخدام الشبكة من الإنترنت العام، فإن نسبة استخدام الشبكة الواردة تمر عبر نقطة النهاية العامة بدلا من الشبكة الظاهرية.
| البروتوكول | المصدر | منافذ المصدر | الوجهة | منافذ الوجهة | الوصف |
|---|---|---|---|---|---|
| TCP | عناوين IP للعميل | * | الشبكةالفرعية 1 لتطبيق الحاوية |
80، 31080 |
السماح لعناوين IP للعميل بالوصول إلى Azure Container Apps عند استخدام HTTP.
31080 هو المنفذ الذي يستجيب عليه وكيل Container Apps Environment Edge لحركة مرور HTTP. إنه خلف موازن التحميل الداخلي. |
| TCP | عناوين IP للعميل | * | الشبكةالفرعية 1 لتطبيق الحاوية |
443، 31443 |
السماح لعناوين IP للعميل بالوصول إلى Azure Container Apps عند استخدام HTTPS.
31443 هو المنفذ الذي يستجيب عليه وكيل Container Apps Environment Edge لحركة مرور HTTPS. إنه خلف موازن التحميل الداخلي. |
| TCP | AzureLoadBalancer | * | الشبكة الفرعية لتطبيق الحاوية |
30000-32767
2 |
السماح ل Azure Load Balancer بالتحقيق في تجمعات الواجهة الخلفية. |
| TCP | عناوين IP للعميل | * | الشبكة الفرعية لتطبيق الحاوية | المنافذ المكشوفة 30000-32767 |
ينطبق هذا فقط على تطبيقات TCP. هذا غير مطلوب لتطبيقات HTTP. |
1 يتم تمرير هذا العنوان كمعلمة عند إنشاء بيئة. على سبيل المثال، 10.0.0.0/21
2 النطاق الكامل مطلوب عند إنشاء Azure Container Apps كمنفذ ضمن النطاق الذي سيتم تخصيصه ديناميكيا. بمجرد الإنشاء، تكون المنافذ المطلوبة قيمتين ثابتتين وغير قابلتين للتغيير، ويمكنك تحديث قواعد NSG الخاصة بك.
صادر
| البروتوكول | المصدر | منافذ المصدر | الوجهة | منافذ الوجهة | الوصف |
|---|---|---|---|---|---|
| TCP | الشبكة الفرعية لتطبيق الحاوية | * | MicrosoftContainerRegistry |
443 |
هذه هي علامة الخدمة لسجل حاويات Microsoft لحاويات النظام. |
| TCP | الشبكة الفرعية لتطبيق الحاوية | * | AzureFrontDoor.FirstParty |
443 |
هذه تبعية لعلامة MicrosoftContainerRegistry الخدمة. |
| أي | الشبكة الفرعية لتطبيق الحاوية | * | الشبكة الفرعية لتطبيق الحاوية | * | السماح بالاتصال بين عناوين IP في الشبكة الفرعية لتطبيق الحاوية. |
| TCP | الشبكة الفرعية لتطبيق الحاوية | * | AzureActiveDirectory |
443 |
إذا كنت تستخدم هوية مدارة، فهي مطلوبة. |
| TCP | الشبكة الفرعية لتطبيق الحاوية | * | AzureMonitor |
443 |
مطلوب فقط عند استخدام Azure Monitor. يُسمَح باستدعاءات صادرة إلى Azure Monitor. |
| TCP وUDP | الشبكة الفرعية لتطبيق الحاوية | * | 168.63.129.16 |
53 |
تمكين البيئة من استخدام Azure DNS لحل اسم المضيف. ملاحظة: لا يخضع اتصال DNS إلى Azure DNS لمجموعة أمان الشبكة ما لم يتم استهدافه باستخدام AzurePlatformDNS علامة الخدمة. لحظر حركة مرور DNS، قم بإنشاء قاعدة صادرة لرفض نسبة استخدام الشبكة إلى AzurePlatformDNS علامة الخدمة. |
| TCP | الشبكةالفرعية 1 لتطبيق الحاوية | * | سجل الحاوية الخاص بك | منفذ سجل الحاوية | هذا مطلوب للاتصال بسجل الحاوية الخاص بك. على سبيل المثال، عند استخدام ACR، تحتاج و AzureContainerRegistryAzureActiveDirectory للوجهة، والمنفذ هو منفذ سجل الحاوية الخاص بك ما لم يتم استخدام نقاط النهاية الخاصة.2 |
| TCP | الشبكة الفرعية لتطبيق الحاوية | * | Storage.<Region> |
443 |
مطلوب فقط عند استخدام Azure Container Registry لاستضافة صورك. |
1 يتم تمرير هذا العنوان كمعلمة عند إنشاء بيئة. على سبيل المثال، 10.0.0.0/21
2 إذا كنت تستخدم Azure Container Registry (ACR) مع مجموعات أمان الشبكة المكونة على شبكتك الظاهرية، فأنشئ نقطة نهاية خاصة على ACR للسماح لتطبيقات حاويات Azure بسحب الصور عبر الشبكة الظاهرية. لا تحتاج إلى إضافة قاعدة NSG ل ACR عند تكوينها بنقاط نهاية خاصة.
الاعتبارات
- إذا كنت تقوم بتشغيل خوادم HTTP، فقد تحتاج إلى إضافة منافذ
80و443. - لا ترفض صراحة عنوان
168.63.129.16Azure DNS في قواعد NSG الصادرة، أو أن بيئة تطبيقات الحاوية لا تعمل.