Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Skupiny zabezpečení sítě (NSG), které potřebujete nakonfigurovat, se podobají nastavení vyžadovaným Kubernetes.
Síť můžete uzamknout prostřednictvím skupin zabezpečení sítě s přísnějšími pravidly než výchozí pravidla NSG, která řídí veškerý příchozí a odchozí provoz pro prostředí Container Apps na úrovni předplatného.
V prostředí profilů úloh se podporují trasy definované uživatelem a zabezpečení odchozího provozu pomocí brány firewall .
Poznámka:
Pokyny k nastavení trasy definované uživatelem pomocí container Apps pro omezení odchozího provozu pomocí služby Azure Firewall najdete v tématu věnovaném kontejnerovým aplikacím a bráně Azure Firewall.
Pokud používáte prostředí externích profilů úloh, příchozí provoz do Azure Container Apps směruje přes veřejnou IP adresu, která existuje ve spravované skupině prostředků , a ne prostřednictvím vaší podsítě. Toto omezení znamená, že uzamčení příchozího provozu přes skupinu zabezpečení sítě nebo bránu firewall v prostředí externích profilů úloh se nepodporuje. Další informace najdete v tématu Řízení odchozího provozu pomocí tras definovaných uživatelem.
Ve starší verzi prostředí Consumption se nepodporují expresní trasy a vlastní trasy definované uživatelem mají omezenou podporu. Další informace o úrovni podpory definovanou uživatelem dostupnou v prostředí jen pro spotřebu najdete v nejčastějších dotazech.
Pravidla povolení NSG
Následující tabulky popisují, jak nakonfigurovat kolekci pravidel povolení NSG. Konkrétní požadovaná pravidla závisí na typu vašeho prostředí.
Příchozí
Poznámka:
Při použití profilů úloh se příchozí pravidla NSG vztahují pouze na provoz procházející vaší virtuální sítí. Pokud nastavíte kontejnerové aplikace tak, aby přijímaly provoz z veřejného internetu, příchozí provoz prochází přes veřejný koncový bod místo virtuální sítě.
| Protokol | Zdroj | Zdrojové porty | Cíl | Cílové porty | Popis |
|---|---|---|---|---|---|
| protokol TCP | IP adresy klienta | * | Podsíťvaší aplikace kontejneru 1 |
80, 31080 |
Povolte IP adresám klientů přístup ke službě Azure Container Apps při použití protokolu HTTP.
31080 je port, na kterém proxy aplikace Container Apps Environment Edge reaguje na provoz HTTP. Je za interním nástrojem pro vyrovnávání zatížení. |
| protokol TCP | IP adresy klienta | * | Podsíťvaší aplikace kontejneru 1 |
443, 31443 |
Povolte IP adresám klientů přístup ke službě Azure Container Apps při použití protokolu HTTPS.
31443 je port, na kterém proxy aplikace Container Apps Environment Edge reaguje na provoz HTTPS. Je za interním nástrojem pro vyrovnávání zatížení. |
| protokol TCP | Vyvažovač zatížení Azure | * | Podsíť vaší aplikace kontejneru |
30000-32767
2 |
Povolte službě Azure Load Balancer testovat back-endové fondy. |
| protokol TCP | IP adresy klienta | * | Podsíť vaší aplikace kontejneru | Vystavené porty a 30000-327672 |
Toto pravidlo platí jenom pro aplikace TCP. Toto pravidlo není vyžadováno pro aplikace HTTP. |
1 Tuto adresu předáte jako parametr při vytváření prostředí. Například 10.0.0.0/21.
2 Při vytváření azure Container Apps potřebujete úplný rozsah jako port v rámci rozsahu, který se dynamicky přiděluje. Po vytvoření jsou požadované porty dvě neměnné, statické hodnoty a můžete aktualizovat pravidla NSG.
Odchozí
| Protokol | Zdroj | Zdrojové porty | Cíl | Cílové porty | Popis |
|---|---|---|---|---|---|
| protokol TCP | Podsíť vaší aplikace kontejneru | * | MicrosoftContainerRegistry |
443 |
Tato značka služby představuje registr kontejneru Microsoftu pro systémové kontejnery. |
| protokol TCP | Podsíť vaší aplikace kontejneru | * | AzureFrontDoor.FirstParty |
443 |
Tato značka služby je závislost značky MicrosoftContainerRegistry služby. |
| Všechny | Podsíť vaší aplikace kontejneru | * | Podsíť vaší aplikace kontejneru | * | Umožňuje komunikaci mezi IP adresami v podsíti vaší aplikace kontejneru. |
| protokol TCP | Podsíť vaší aplikace kontejneru | * | AzureActiveDirectory |
443 |
Pokud používáte spravovanou identitu, je to povinné. |
| protokol TCP | Podsíť vaší aplikace kontejneru | * | AzureMonitor |
443 |
Vyžaduje se pouze při použití služby Azure Monitor. Umožňuje odchozí volání do služby Azure Monitor. |
| TCP a UDP | Podsíť vaší aplikace kontejneru | * | 168.63.129.16 |
53 |
Umožňuje prostředí používat Azure DNS k překladu názvu hostitele. Poznámka: Komunikace DNS s Azure DNS není předmětem skupin zabezpečení sítě, pokud není cílem použít AzurePlatformDNS značku služby. Pokud chcete blokovat provoz DNS, vytvořte odchozí pravidlo, které zakáže provoz na AzurePlatformDNS značku služby. |
| protokol TCP | Podsíťvaší aplikace kontejneru 1 | * | Váš registr kontejnerů | Port registru kontejneru | Toto pravidlo se vyžaduje ke komunikaci s registrem kontejneru. Pokud například používáte ACR, potřebujete AzureContainerRegistry a AzureActiveDirectory pro cíl a port je port registru kontejneru, pokud nepoužíváte privátní koncové body.2 |
| protokol TCP | Podsíť vaší aplikace kontejneru | * | Storage.<Region> |
443 |
Vyžaduje se pouze při použití Azure Container Registry k hostování imagí. |
1 Tuto adresu předáte jako parametr při vytváření prostředí. Například 10.0.0.0/21.
2 Pokud používáte Službu Azure Container Registry (ACR) se skupinami zabezpečení sítě nakonfigurovanými ve vaší virtuální síti, vytvořte ve službě ACR privátní koncový bod, který službě Azure Container Apps umožní přetahovat image přes virtuální síť. Při konfiguraci s privátními koncovými body nemusíte přidávat pravidlo NSG pro ACR.
Důležité informace
- Pokud používáte servery HTTP, možná budete muset přidat porty
80a443. - Nezamítejte explicitně adresu
168.63.129.16Azure DNS v odchozích pravidlech NSG nebo vaše prostředí Container Apps nefunguje.