Redes para Azure Container Apps: acelerador de zonas de aterrizaje

Container Apps es responsable de ocuparse de las actualizaciones del sistema operativo, el escalado, los procesos de conmutación por error y la asignación de recursos en un entorno de Container Apps. Los entornos encapsulan una o varias aplicaciones o trabajos de contenedor mediante la creación de un límite seguro a través de una red virtual (VNet).

De forma predeterminada, se crea automáticamente una red virtual para el entorno de la aplicación contenedora. Sin embargo, si desea un control más detallado sobre la red, puede usar una red virtual existente previamente a medida que crea el entorno de la aplicación de contenedor.

Los entornos pueden aceptar solicitudes externas o solo se pueden bloquear para solicitudes internas.

Los entornos externos exponen aplicaciones de contenedor mediante una dirección IP virtual a la que se puede acceder a través de la red pública de Internet. Como alternativa, los entornos internos exponen sus aplicaciones de contenedor en una dirección IP dentro de la red virtual. Puede restringir el tráfico dentro del entorno de la aplicación contenedora o a través de la red virtual. Para más información, consulte Consideraciones de seguridad para el acelerador de zonas de aterrizaje de Azure Container Apps.

Consideraciones

• Requisitos de subred:

  • Se requiere una subred dedicada para un entorno de la red virtual. El CIDR de la subred debe ser /23 o mayor solo para entornos de consumo, /27 o mayor para entornos de perfiles de carga de trabajo.

• Administración de direcciones IP:

  • Se reserva una base de 60 direcciones IP en la red virtual. Esta cantidad podría aumentar a medida que el entorno de contenedor se escala a medida que cada revisión de la aplicación obtiene una dirección IP de la subred. Las direcciones IP salientes pueden cambiar con el tiempo.

  • Solo se admiten direcciones IPv4 (no se admite IPv6).

  • Un recurso de IP pública administrada controla las solicitudes salientes y el tráfico de administración, independientemente de si tiene un entorno externo o interno.

• Seguridad de red:

  • Puede bloquear una red a través de grupos de seguridad de red (NSG) con reglas más restrictivas que las reglas de NSG predeterminadas que controlan todo el tráfico entrante y saliente para un entorno.

• Proxy y cifrado:

  • Las aplicaciones contenedoras usan un proxy de Envoy como proxy HTTP perimetral. Todas las solicitudes HTTP se redirigen automáticamente a los HTTP. Envoy finaliza la seguridad de la capa de transporte (TLS) después de cruzar su límite. La seguridad mutua de la capa de transporte (mTLS) solo está disponible cuando se usa Dapr. Sin embargo, dado que Envoy finaliza mTLS, las llamadas entrantes de Envoy a las aplicaciones de contenedor habilitadas para Dapr no se cifran.

• Consideraciones de DNS:

  • A medida que se implementa un entorno, Container Apps realiza muchas búsquedas DNS. Algunas de estas búsquedas hacen referencia a dominios internos de Azure. Si fuerza el tráfico DNS a través de la solución DNS personalizada, configure el servidor DNS para reenviar consultas de DNS sin resolver a Azure DNS.

  • En el caso de las aplicaciones que se ejecutan internamente en Container Apps, el sistema se basa en zonas DNS privadas de Azure para resolver el nombre DNS en la dirección IP interna. Dentro de la zona DNS privada, puede apuntar un registro Acomodín (*) a la dirección IP del equilibrador de carga interno.

• Administración del tráfico saliente:

  • El tráfico de red saliente (salida) debe enrutarse a través de un clúster de aplicaciones virtuales de red o Azure Firewall.

• Equilibrio de carga entre entornos:

  • Para ejecutar la aplicación en varios entornos de Container Apps por motivos de resistencia o proximidad, considere la posibilidad de usar un servicio de equilibrio de carga global, como Azure Traffic Manager o Azure Front Door.

• Seguridad de red:

  • Use grupos de seguridad de red (NSG) para proteger la red y bloquear el tráfico entrante y saliente innecesario.

  • Use Azure DDoS Protection para el entorno de Azure Container Apps.

  • Use Private Link para proteger las conexiones de red y la conectividad privada basada en IP a otros servicios administrados de Azure.

  • Asegúrese de que todos los puntos de conexión de la solución (internos y externos) solo aceptan conexiones cifradas TLS (HTTPS).

  • Use un firewall de aplicaciones web con la entrada HTTPS/TCP para aplicaciones web orientadas a Internet y críticas para la seguridad.

  • En algunos escenarios, es posible que desee exponer una aplicación web de Container Apps directamente a Internet y protegerla con servicios CDN o WAF de terceros.

Recomendaciones

• Configuración de red: implemente las aplicaciones de contenedor en una red virtual personalizada para obtener más control sobre la configuración de red.

• Seguridad de la conectividad entrante: al publicar servicios accesibles desde Internet, use Azure Application Gateway (WAF_v2 SKU) o Azure Front Door (con Firewall de aplicaciones web) para proteger la conectividad entrante.

• Administración interna del tráfico: use una configuración de red interna para servicios como Azure Application Gateway o Azure Front Door, lo que garantiza que el tráfico del equilibrador de carga al entorno de Azure Container Apps use una conexión interna.

• Exposición de aplicaciones: habilite la entrada para exponer la aplicación a través de HTTPs o puerto TCP.

Referencias

• Arquitectura de redes de en Azure Container Apps
• Protección de una red virtual personalizada en Azure Container Apps
• Facturación en Azure Container Apps
• Restricciones de entrada de IP en Azure Container Apps
• Compatibilidad con rutas definidas por el usuario
• Configuración de UDR con Azure Firewall