Sdílet prostřednictvím


Řízení odchozího provozu v Azure Container Apps pomocí tras definovaných uživatelem

Poznámka:

Tato funkce je podporovaná pouze pro typ prostředí profilů úloh.

V tomto článku se dozvíte, jak pomocí tras definovaných uživatelem (UDR) se službou Azure Firewall uzamknout odchozí provoz z vašich container Apps do back-endových prostředků Azure nebo jiných síťových prostředků.

Azure vytvoří výchozí směrovací tabulku pro vaše virtuální sítě při vytváření. Implementací směrovací tabulky definované uživatelem můžete řídit směrování provozu ve vaší virtuální síti. V této příručce nastavíte trasu definovanou uživatelem ve virtuální síti Container Apps tak, aby omezovala odchozí provoz pomocí služby Azure Firewall.

Místo služby Azure Firewall můžete použít bránu NAT gateway nebo jiná zařízení třetích stran.

Další informace najdete v konfiguraci trasy definované uživatelem se službou Azure Firewall v sítích v Azure Container Apps .

Požadavky

  • Prostředí profilů úloh: Prostředí profilů úloh, které je integrované s vlastní virtuální sítí. Další informace najdete v průvodci vytvořením prostředí aplikace kontejneru v prostředí profilů úloh.

  • curl podpora: Vaše aplikace kontejneru musí mít kontejner, který podporuje curl příkazy. V tomto postupu ověříte curl , jestli je aplikace kontejneru správně nasazená. Pokud nemáte nasazenou aplikaci curl kontejneru, můžete nasadit následující kontejner, který podporuje curl, mcr.microsoft.com/k8se/quickstart:latest.

Vytvoření podsítě brány firewall

K nasazení brány firewall do integrované virtuální sítě se vyžaduje podsíť s názvem AzureFirewallSubnet .

  1. Otevřete virtuální síť, která je integrovaná s vaší aplikací, na webu Azure Portal.

  2. V nabídce vlevo vyberte Podsítě a pak vyberte + Podsíť.

  3. Zadejte následující hodnoty:

    Nastavení Akce
    Název Zadejte AzureFirewallSubnet.
    Rozsah adres podsítě Použijte výchozí nebo zadejte rozsah podsítě /26 nebo větší.
  4. Zvolte Uložit.

Nasazení brány firewall

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Vyhledejte bránu firewall.

  3. Vyberte bránu firewall.

  4. Vyberte Vytvořit.

  5. Na stránce Vytvořit bránu firewall nakonfigurujte bránu firewall s následujícím nastavením.

    Nastavení Akce
    Skupina prostředků Zadejte stejnou skupinu prostředků jako integrovaná virtuální síť.
    Název Zadejte název podle svého výběru.
    Oblast Vyberte stejnou oblast jako integrovaná virtuální síť.
    Zásady brány firewall Vytvořte ho tak , že vyberete Přidat nový.
    Virtuální síť Vyberte integrovanou virtuální síť.
    Veřejná IP adresa Vyberte existující adresu nebo ji vytvořte výběrem možnosti Přidat novou.
  6. Vyberte Zkontrolovat a vytvořit. Po dokončení ověření vyberte Vytvořit. Dokončení kroku ověření může trvat několik minut.

  7. Po dokončení nasazení vyberte Přejít k prostředku.

  8. Na stránce Přehled brány firewall zkopírujte privátní IP adresu brány firewall. Tato IP adresa se používá jako adresa dalšího segmentu směrování při vytváření pravidla směrování pro virtuální síť.

Směrování veškerého provozu do brány firewall

Vaše virtuální sítě v Azure mají při vytváření sítě výchozí směrovací tabulky. Implementací směrovací tabulky definované uživatelem můžete řídit směrování provozu ve vaší virtuální síti. V následujících krocích vytvoříte trasu definovanou uživatelem, která bude směrovat veškerý provoz do služby Azure Firewall.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Vyhledejte směrovací tabulky.

  3. Vyberte směrovací tabulky.

  4. Vyberte Vytvořit.

  5. Zadejte následující hodnoty:

    Nastavení Akce
    Oblast Jako virtuální síť vyberte oblast.
    Název Zadejte název.
    Šíření tras brány Vybrat ne
  6. Vyberte Zkontrolovat a vytvořit. Po dokončení ověření vyberte Vytvořit.

  7. Po dokončení nasazení vyberte Přejít k prostředku.

  8. V nabídce vlevo vyberte Trasy a pak vyberte Přidat a vytvořte novou směrovací tabulku.

  9. Nakonfigurujte směrovací tabulku s následujícím nastavením:

    Nastavení Akce
    Předpona adresy Zadejte 0.0.0.0/0.
    Typ dalšího segmentu směrování Výběr virtuálního zařízení
    Adresa dalšího segmentu směrování Zadejte privátní IP adresu brány firewall, kterou jste uložili v části Nasazení brány firewall.
  10. Vyberte Přidat a vytvořte trasu.

  11. V nabídce na levé straně vyberte Podsítě a pak vyberte Přidružit a přidružit směrovací tabulku k podsíti aplikace kontejneru.

  12. Nakonfigurujte podsíť Přidružit k následujícím hodnotám:

    Nastavení Akce
    Virtuální síť Vyberte virtuální síť pro vaši aplikaci kontejneru.
    Podsíť Vyberte podsíť vaší aplikace kontejneru.
  13. Vyberte OK.

Konfigurace zásad brány firewall

Poznámka:

Při použití trasy definované uživatelem se službou Azure Firewall v Azure Container Apps budete muset do seznamu povolených pro bránu firewall přidat určité značky plně kvalifikovaných názvů domén a služeb. Pokud chcete zjistit, které značky služeb potřebujete, projděte si konfiguraci trasy definované uživatelem pomocí služby Azure Firewall .

Teď se veškerý odchozí provoz z vaší aplikace kontejneru směruje do brány firewall. V současné době brána firewall stále umožňuje veškerý odchozí provoz přes. Pokud chcete spravovat, jaký odchozí provoz je povolený nebo zakázaný, musíte nakonfigurovat zásady brány firewall.

  1. Na stránce Přehled prostředku služby Azure Firewall vyberte zásady brány firewall.

  2. V nabídce na levé straně stránky zásad brány firewall vyberte Pravidla aplikace.

  3. Vyberte Přidat kolekci pravidel.

  4. Zadejte následující hodnoty pro kolekci pravidel:

    Nastavení Akce
    Název Zadejte název kolekce.
    Typ kolekce pravidel Vybrat aplikaci
    Priorita Zadejte prioritu, například 110.
    Akce kolekce pravidel Výběr možnosti Povolit
    Skupina kolekcí pravidel Výběr skupiny DefaultApplicationRuleCollectionGroup
  5. V části Pravidla zadejte následující hodnoty.

    Nastavení Akce
    Název Zadejte název pravidla.
    Typ zdroje Vyberte IP adresu.
    Source Zadejte *
    Protokol Zadejte http:80,https:443.
    Typ cíle Vyberte plně kvalifikovaný název domény.
    Cíl Zadejte mcr.microsoft.com,*.data.mcr.microsoft.com. Pokud používáte ACR, přidejte svoji adresu ACR a *.blob.core.windows.net.
    Akce Výběr možnosti Povolit

    Poznámka:

    Pokud používáte registr Docker Hubu a chcete k němu přistupovat přes bránu firewall, budete muset do cílového seznamu pravidel přidat následující plně kvalifikované názvy domén: hub.docker.com, registry-1.docker.io a production.cloudflare.docker.com.

  6. Vyberte Přidat.

Ověřte, že brána firewall blokuje odchozí provoz.

Pokud chcete ověřit, že je konfigurace brány firewall správně nastavená, můžete použít curl příkaz z konzoly ladění vaší aplikace.

  1. Přejděte do kontejnerové aplikace, která je nakonfigurovaná pomocí služby Azure Firewall.

  2. V nabídce na levé straně vyberte konzolu a pak vyberte kontejner, který podporuje curl příkaz.

  3. V nabídce příkazu Zvolit spuštění vyberte /bin/sh a vyberte Připojit.

  4. V konzole spusťte curl -s https://mcr.microsoft.compříkaz . Při přidání mcr.microsoft.com do seznamu povolených zásad brány firewall by se měla zobrazit úspěšná odpověď.

  5. Spusťte curl -s https://<FQDN_ADDRESS> adresu URL, která neodpovídá žádnému z vašich cílových pravidel, například example.com. Příklad příkazu by byl curl -s https://example.com. Neměla by se zobrazit žádná odpověď, která značí, že brána firewall zablokovala požadavek.

Další kroky