Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Skupiny zabezpečení sítě (NSG) potřebné ke konfiguraci virtuálních sítí se podobají nastavení vyžadovaným Kubernetes.
Síť můžete uzamknout prostřednictvím skupin zabezpečení sítě s přísnějšími pravidly než výchozí pravidla NSG, která řídí veškerý příchozí a odchozí provoz pro prostředí Container Apps na úrovni předplatného.
V prostředí profilů úloh se podporují trasy definované uživatelem a zabezpečení odchozího provozu pomocí brány firewall .
Poznámka:
Pokyny k nastavení trasy definované uživatelem pomocí container Apps pro omezení odchozího provozu pomocí služby Azure Firewall najdete v tématu věnovaném kontejnerovým aplikacím a bráně Azure Firewall.
Při použití prostředí externích profilů úloh se příchozí provoz do Azure Container Apps směruje přes veřejnou IP adresu, která existuje ve spravované skupině prostředků, a ne prostřednictvím vaší podsítě. To znamená, že uzamčení příchozího provozu přes skupinu zabezpečení sítě nebo bránu firewall v prostředí externích profilů úloh se nepodporuje. Další informace najdete v tématu Řízení odchozího provozu pomocí tras definovaných uživatelem.
Ve starší verzi prostředí Consumption se nepodporují expresní trasy a vlastní trasy definované uživatelem mají omezenou podporu. Další informace o úrovni podpory definovanou uživatelem dostupnou v prostředí jen pro spotřebu najdete v nejčastějších dotazech.
Pravidla povolení NSG
Následující tabulky popisují, jak nakonfigurovat kolekci pravidel povolení NSG. Konkrétní požadovaná pravidla závisí na typu vašeho prostředí.
Příchozí
Poznámka:
Při použití profilů úloh platí pravidla příchozí skupiny zabezpečení sítě pouze pro provoz procházející vaší virtuální sítí. Pokud jsou vaše aplikace kontejnerů nastavené tak, aby přijímaly provoz z veřejného internetu, příchozí provoz prochází přes veřejný koncový bod místo virtuální sítě.
| Protokol | Zdroj | Zdrojové porty | Cíl | Cílové porty | Popis |
|---|---|---|---|---|---|
| protokol TCP | IP adresy klienta | * | Podsíťvaší aplikace kontejneru 1 |
80, 31080 |
Povolte IP adresám klientů přístup ke službě Azure Container Apps při použití protokolu HTTP.
31080 je port, na kterém proxy aplikace Container Apps Environment Edge reaguje na provoz HTTP. Je za interním nástrojem pro vyrovnávání zatížení. |
| protokol TCP | IP adresy klienta | * | Podsíťvaší aplikace kontejneru 1 |
443, 31443 |
Povolte IP adresám klientů přístup ke službě Azure Container Apps při použití protokolu HTTPS.
31443 je port, na kterém proxy aplikace Container Apps Environment Edge reaguje na provoz HTTPS. Je za interním nástrojem pro vyrovnávání zatížení. |
| protokol TCP | Vyvažovač zatížení Azure | * | Podsíť vaší aplikace kontejneru |
30000-32767
2 |
Povolte službě Azure Load Balancer testovat back-endové fondy. |
| protokol TCP | IP adresy klienta | * | Podsíť vaší aplikace kontejneru | Vystavené porty a 30000-327672 |
To platí jenom pro aplikace TCP. To se nevyžaduje pro aplikace HTTP. |
1 Tato adresa se předává jako parametr při vytváření prostředí. Například 10.0.0.0/21.
2 Při vytváření služby Azure Container Apps jako portu v rámci rozsahu se vyžaduje úplný rozsah, a to dynamicky přiděleným. Po vytvoření jsou požadované porty dvě neměnné, statické hodnoty a můžete aktualizovat pravidla NSG.
Odchozí
| Protokol | Zdroj | Zdrojové porty | Cíl | Cílové porty | Popis |
|---|---|---|---|---|---|
| protokol TCP | Podsíť vaší aplikace kontejneru | * | MicrosoftContainerRegistry |
443 |
Toto je značka služby pro registr kontejnerů Microsoftu pro systémové kontejnery. |
| protokol TCP | Podsíť vaší aplikace kontejneru | * | AzureFrontDoor.FirstParty |
443 |
Jedná se o závislost značky MicrosoftContainerRegistry služby. |
| Všechny | Podsíť vaší aplikace kontejneru | * | Podsíť vaší aplikace kontejneru | * | Povolte komunikaci mezi IP adresami v podsíti vaší aplikace kontejneru. |
| protokol TCP | Podsíť vaší aplikace kontejneru | * | AzureActiveDirectory |
443 |
Pokud používáte spravovanou identitu, je to povinné. |
| protokol TCP | Podsíť vaší aplikace kontejneru | * | AzureMonitor |
443 |
Vyžaduje se pouze při použití služby Azure Monitor. Umožňuje odchozí volání do služby Azure Monitor. |
| TCP a UDP | Podsíť vaší aplikace kontejneru | * | 168.63.129.16 |
53 |
Umožňuje prostředí používat Azure DNS k překladu názvu hostitele. Poznámka: Komunikace DNS s Azure DNS není předmětem skupin zabezpečení sítě, pokud není cílem použít AzurePlatformDNS značku služby. Pokud chcete blokovat provoz DNS, vytvořte odchozí pravidlo, které zakáže provoz na AzurePlatformDNS značku služby. |
| protokol TCP | Podsíťvaší aplikace kontejneru 1 | * | Váš registr kontejnerů | Port registru kontejneru | To se vyžaduje ke komunikaci s registrem kontejneru. Pokud například používáte ACR, potřebujete AzureContainerRegistry a AzureActiveDirectory pro cíl a port je port registru kontejneru, pokud nepoužíváte privátní koncové body.2 |
| protokol TCP | Podsíť vaší aplikace kontejneru | * | Storage.<Region> |
443 |
Vyžaduje se pouze při použití Azure Container Registry k hostování imagí. |
1 Tato adresa se předává jako parametr při vytváření prostředí. Například 10.0.0.0/21.
2 Pokud používáte Službu Azure Container Registry (ACR) se skupinami zabezpečení sítě nakonfigurovanými ve vaší virtuální síti, vytvořte ve službě ACR privátní koncový bod, který službě Azure Container Apps umožní přetahovat image přes virtuální síť. Při konfiguraci s privátními koncovými body nemusíte přidávat pravidlo NSG pro ACR.
Důležité informace
- Pokud používáte servery HTTP, možná budete muset přidat porty
80a443. - Nezamítejte explicitně adresu
168.63.129.16Azure DNS v odchozích pravidlech NSG nebo vaše prostředí Container Apps nefunguje.