Řízení odchozího provozu pomocí tras definovaných uživatelem

Poznámka:

Tato funkce je podporovaná pouze pro typ prostředí profilů úloh.

V tomto článku se dozvíte, jak pomocí tras definovaných uživatelem (UDR) se službou Azure Firewall uzamknout odchozí provoz z vašich container Apps do back-endových prostředků Azure nebo jiných síťových prostředků.

Azure vytvoří výchozí směrovací tabulku pro vaše virtuální sítě při vytváření. Implementací směrovací tabulky definované uživatelem můžete řídit směrování provozu ve vaší virtuální síti. V této příručce nastavíte trasu definovanou uživatelem ve virtuální síti Container Apps tak, aby omezovala odchozí provoz pomocí služby Azure Firewall.

Místo služby Azure Firewall můžete použít bránu NAT gateway nebo jiná zařízení třetích stran.

Další informace najdete v konfiguraci trasy definované uživatelem se službou Azure Firewall v sítích v Azure Container Apps .

Požadavky

• Prostředí profilů úloh: Prostředí profilů úloh, které je integrované s vlastní virtuální sítí. Další informace najdete v průvodci vytvořením prostředí aplikace kontejneru v prostředí profilů úloh.

• curl podpora: Vaše aplikace kontejneru musí mít kontejner, který podporuje curl příkazy. V tomto postupu ověříte curl , jestli je aplikace kontejneru správně nasazená. Pokud nemáte nasazenou aplikaci curl kontejneru, můžete nasadit následující kontejner, který podporuje curl, mcr.microsoft.com/k8se/quickstart:latest.

Vytvoření podsítě brány firewall

K nasazení brány firewall do integrované virtuální sítě se vyžaduje podsíť s názvem AzureFirewallSubnet .

1. Otevřete virtuální síť, která je integrovaná s vaší aplikací, na webu Azure Portal.

2. V nabídce vlevo vyberte Podsítě a pak vyberte + Podsíť.

3. Zadejte následující hodnoty:

   Nastavení	Akce
   Název	Zadejte AzureFirewallSubnet.
   Rozsah adres podsítě	Použijte výchozí nebo zadejte rozsah podsítě /26 nebo větší.

4. Zvolte Uložit.

Nasazení brány firewall

1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

2. Vyhledejte bránu firewall.

3. Vyberte bránu firewall.

4. Vyberte Vytvořit.

5. Na stránce Vytvořit bránu firewall nakonfigurujte bránu firewall s následujícím nastavením.

   Nastavení	Akce
   Skupina prostředků	Zadejte stejnou skupinu prostředků jako integrovaná virtuální síť.
   Název	Zadejte název podle svého výběru.
   Oblast	Vyberte stejnou oblast jako integrovaná virtuální síť.
   Zásady brány firewall	Vytvořte ho tak , že vyberete Přidat nový.
   Virtuální síť	Vyberte integrovanou virtuální síť.
   Veřejná IP adresa	Vyberte existující adresu nebo ji vytvořte výběrem možnosti Přidat novou.

6. Vyberte Zkontrolovat a vytvořit. Po dokončení ověření vyberte Vytvořit. Dokončení kroku ověření může trvat několik minut.

7. Po dokončení nasazení vyberte Přejít k prostředku.

8. Na stránce Přehled brány firewall zkopírujte privátní IP adresu brány firewall. Tato IP adresa se používá jako adresa dalšího segmentu směrování při vytváření pravidla směrování pro virtuální síť.

Směrování veškerého provozu do brány firewall

Vaše virtuální sítě v Azure mají při vytváření sítě výchozí směrovací tabulky. Implementací směrovací tabulky definované uživatelem můžete řídit směrování provozu ve vaší virtuální síti. V následujících krocích vytvoříte trasu definovanou uživatelem, která bude směrovat veškerý provoz do služby Azure Firewall.

1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

2. Vyhledejte směrovací tabulky.

3. Vyberte směrovací tabulky.

4. Vyberte Vytvořit.

5. Zadejte následující hodnoty:

   Nastavení	Akce
   Oblast	Jako virtuální síť vyberte oblast.
   Název	Zadejte název.
   Šíření tras brány	Vybrat ne

6. Vyberte Zkontrolovat a vytvořit. Po dokončení ověření vyberte Vytvořit.

7. Po dokončení nasazení vyberte Přejít k prostředku.

8. V nabídce vlevo vyberte Trasy a pak vyberte Přidat a vytvořte novou směrovací tabulku.

9. Nakonfigurujte směrovací tabulku s následujícím nastavením:

   Nastavení	Akce
   Předpona adresy	Zadejte 0.0.0.0/0.
   Typ dalšího segmentu směrování	Výběr virtuálního zařízení
   Adresa dalšího segmentu směrování	Zadejte privátní IP adresu brány firewall, kterou jste uložili v části Nasazení brány firewall.

10. Vyberte Přidat a vytvořte trasu.

11. V nabídce na levé straně vyberte Podsítě a pak vyberte Přidružit a přidružit směrovací tabulku k podsíti aplikace kontejneru.

12. Nakonfigurujte podsíť Přidružit k následujícím hodnotám:

    Nastavení	Akce
    Virtuální síť	Vyberte virtuální síť pro vaši aplikaci kontejneru.
    Podsíť	Vyberte podsíť vaší aplikace kontejneru.

13. Vyberte OK.

Konfigurace zásad brány firewall

Poznámka:

Při použití trasy definované uživatelem se službou Azure Firewall v Azure Container Apps budete muset do seznamu povolených pro bránu firewall přidat určité značky plně kvalifikovaných názvů domén a služeb. Pokud chcete zjistit, které značky služeb potřebujete, projděte si konfiguraci trasy definované uživatelem pomocí služby Azure Firewall .

Teď se veškerý odchozí provoz z vaší aplikace kontejneru směruje do brány firewall. V současné době brána firewall stále umožňuje veškerý odchozí provoz přes. Pokud chcete spravovat, jaký odchozí provoz je povolený nebo zakázaný, musíte nakonfigurovat zásady brány firewall.

1. Na stránce Přehled prostředku služby Azure Firewall vyberte zásady brány firewall.

2. V nabídce na levé straně stránky zásad brány firewall vyberte Pravidla aplikace.

3. Vyberte Přidat kolekci pravidel.

4. Zadejte následující hodnoty pro kolekci pravidel:

   Nastavení	Akce
   Název	Zadejte název kolekce.
   Typ kolekce pravidel	Vybrat aplikaci
   Priorita	Zadejte prioritu, například 110.
   Akce kolekce pravidel	Výběr možnosti Povolit
   Skupina kolekcí pravidel	Výběr skupiny DefaultApplicationRuleCollectionGroup

5. V části Pravidla zadejte následující hodnoty.

   Nastavení	Akce
   Název	Zadejte název pravidla.
   Typ zdroje	Vyberte IP adresu.
   Source	Zadejte *
   Protokol	Zadejte http:80,https:443.
   Typ cíle	Vyberte plně kvalifikovaný název domény.
   Cíl	Zadejte mcr.microsoft.com,*.data.mcr.microsoft.com. Pokud používáte ACR, přidejte svoji adresu ACR a *.blob.core.windows.net.
   Akce	Výběr možnosti Povolit

   Poznámka:

   Pokud používáte registr Docker Hubu a chcete k němu přistupovat přes bránu firewall, budete muset do cílového seznamu pravidel přidat následující plně kvalifikované názvy domén: hub.docker.com, registry-1.docker.io a production.cloudflare.docker.com.

6. Vyberte Přidat.

Ověřte, že brána firewall blokuje odchozí provoz.

Pokud chcete ověřit, že je konfigurace brány firewall správně nastavená, můžete použít curl příkaz z konzoly ladění vaší aplikace.

1. Přejděte do kontejnerové aplikace, která je nakonfigurovaná pomocí služby Azure Firewall.

2. V nabídce na levé straně vyberte konzolu a pak vyberte kontejner, který podporuje curl příkaz.

3. V nabídce příkazu Zvolit spuštění vyberte /bin/sh a vyberte Připojení.

4. V konzole spusťte curl -s https://mcr.microsoft.compříkaz . Při přidání mcr.microsoft.com do seznamu povolených zásad brány firewall by se měla zobrazit úspěšná odpověď.

5. Spusťte curl -s https://<FQDN_ADDRESS> adresu URL, která neodpovídá žádnému z vašich cílových pravidel, například example.com. Příklad příkazu by byl curl -s https://example.com. Neměla by se zobrazit žádná odpověď, která značí, že brána firewall zablokovala požadavek.

Další kroky

Ověřování v Azure Container Apps