Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique les concepts d’intégration de votre environnement Azure Container Apps à Pare-feu Azure à l’aide d’itinéraires définis par l’utilisateur (UDR). En utilisant des UDR, vous pouvez contrôler la façon dont le trafic est routé au sein de votre réseau virtuel.
Vous pouvez router tout le trafic sortant à partir de vos applications conteneur via Pare-feu Azure, qui fournit un point central pour surveiller le trafic et appliquer des stratégies de sécurité. Cette configuration permet de protéger vos applications conteneur contre les menaces potentielles. Il vous aide également à répondre aux exigences de conformité en fournissant des journaux détaillés et des fonctionnalités de supervision.
Itinéraires définis par l’utilisateur
Les UDR et les sorties contrôlées via Azure NAT Gateway ne sont prises en charge que dans un environnement de profil de charge de travail.
Utilisez un UDR pour restreindre le trafic sortant de votre application conteneur via Pare-feu Azure ou d’autres appliances réseau. Pour plus d’informations, consultez Contrôle du trafic sortant dans Azure Container Apps avec des itinéraires définis par l’utilisateur.
Vous configurez un UDR en dehors de l’étendue de l’environnement Container Apps.
Azure crée une table de routage par défaut pour vos réseaux virtuels lorsque vous créez ces réseaux. En implémentant une table de routage définie par l’utilisateur, vous pouvez contrôler comment le trafic est routé au sein de votre réseau virtuel. Par exemple, vous pouvez créer un UDR qui limite le trafic sortant de votre application conteneur en le acheminant vers Pare-feu Azure.
Lorsque vous utilisez un UDR avec Pare-feu Azure dans Azure Container Apps, ajoutez des règles d’application ou de réseau à la liste d’autorisation de votre pare-feu, en fonction des ressources que vous utilisez.
Remarque
Configurez des règles d’application ou des règles réseau, en fonction des exigences de votre système. La configuration des deux en même temps n’est pas nécessaire.
Règles d’application
Les règles d’application autorisent ou refusent le trafic en fonction de la couche Application. Les règles d’application de pare-feu sortantes suivantes et leurs noms de domaine complets (FQDN) sont nécessaires, en fonction du scénario.
| Scénarios | Noms de domaine complets | Descriptif |
|---|---|---|
| Tous les scénarios |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Container Apps utilise ces noms de domaine pleinement qualifiés pour Microsoft Artifact Registry. Lorsque vous utilisez Container Apps avec Pare-feu Azure, ajoutez soit ces règles d’application, soit les règles réseau pour Artifact Registry à la liste d’autorisation. |
| Tous les scénarios |
packages.aks.azure.com, acs-mirror.azureedge.net |
Le cluster Azure Kubernetes Service (AKS) sous-jacent nécessite ces noms de domaine complets (FQDN) pour télécharger et installer les fichiers binaires de Kubernetes et d’Azure Container Network Interface (CNI). Lorsque vous utilisez Container Apps avec Pare-feu Azure, ajoutez les règles d’application suivantes ou les règles réseau pour Artifact Registry à la liste d’autorisation. Pour plus d’informations, consultez FQDN et règles d’application requis pour Global Azure. |
| Azure Container Registry (Service d'enregistrement de conteneurs Azure) |
<your-Container-Registry-address>, *.blob.core.windows.netlogin.microsoft.com |
Ces noms de domaine complets sont requis lorsque vous utilisez Container Apps avec Container Registry et Pare-feu Azure. |
| Azure Key Vault |
<your-Key-Vault-address>, login.microsoft.com |
Ces noms de domaine complets sont requis en plus de l’étiquette de service requise pour la règle de réseau pour Key Vault. |
| Identité gérée |
*.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com, *.login.microsoft.com |
Ces noms de domaine complets sont requis lorsque vous utilisez une identité managée avec Pare-feu Azure dans Container Apps. |
| Azure Service Bus | *.servicebus.windows.net |
Ces noms de domaine complets sont requis lorsque vos applications conteneur communiquent avec Service Bus (files d’attente, rubriques ou abonnements) via Pare-feu Azure. |
| Tableau de bord Aspire | https://<YOUR-CONTAINER-APP-REGION>.ext.azurecontainerapps.dev |
Ce nom de domaine complet est requis lorsque vous utilisez le tableau de bord Aspire dans un environnement configuré avec un réseau virtuel. Mettez à jour le nom de domaine complet avec la région de votre application conteneur. |
| Registre Docker Hub |
hub.docker.com, registry-1.docker.ioproduction.cloudflare.docker.com |
Si vous utilisez un registre Docker Hub et souhaitez y accéder via le pare-feu, ajoutez ces noms de domaine complets au pare-feu. |
| Azure Service Bus | *.servicebus.windows.net |
Ce nom de domaine complet est requis lorsque vous utilisez Service Bus avec Container Apps et Pare-feu Azure. |
| Azure géré par 21Vianet (Azure en Chine) : registre d’artefacts Microsoft |
mcr.azure.cn, *.data.mcr.azure.cn |
Ces points de terminaison Artifact Registry sont utilisés pour extraire des images conteneur dans l’environnement Azure en Chine. |
| Azure en Chine : infrastructure AKS |
mcr.azk8s.cn, mirror.azk8s.cn |
Ces miroirs AKS spécifiques à la Chine sont utilisés pour télécharger des fichiers binaires Kubernetes et des images conteneur. |
| Azure en Chine : Azure Container Registry | *.azurecr.cn |
Ce nom de domaine complet est requis lorsque vous utilisez Container Registry dans l'environnement Azure en Chine. |
| Azure en Chine : identité managée |
*.identity.azure.cn, login.chinacloudapi.cn*.login.chinacloudapi.cn |
Ces noms de domaine complets sont requis lorsque vous utilisez une identité managée dans l'environnement Azure en Chine. |
| Azure en Chine : Azure Key Vault |
*.vault.azure.cn, login.chinacloudapi.cn |
Ces noms de domaine complets sont requis lorsque vous utilisez Key Vault dans l'environnement Azure en Chine. |
| Azure en Chine : gestion Azure |
management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn |
Ces noms de domaine complets (FQDN) sont requis pour les appels d’API à Azure Resource Manager et pour les comptes de stockage gérés par la plateforme dans l’environnement Azure en Chine. |
| Azure en Chine : surveillance |
*.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn |
Ces noms de domaine complets sont requis pour la surveillance de la plateforme et l’ingestion de télémétrie dans l’environnement Azure en Chine. |
| Azure en Chine : plateforme Container Apps |
*.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn |
Ces noms de domaine complets sont requis pour le plan de contrôle régional et l’API d’extensions Container Apps dans l’environnement Azure en Chine. |
| Azure en Chine : tableau de bord Aspire | *.azurecontainerapps.cn |
Ces noms de domaine complets sont requis lorsque vous utilisez le tableau de bord Aspire ou les noms de domaine complets de l'application dans l'environnement Azure en Chine. |
Remarque
Les noms de domaine complets (FQDN) d’Azure en Chine s’appliquent uniquement à l’environnement Azure en Chine. Docker Hub FQDNs sont les mêmes à l'échelle mondiale, mais l'accès depuis la Chine peut être peu fiable. Envisagez plutôt de mettre en miroir des images dans Container Registry (*.azurecr.cn).
Règles réseau
Les règles réseau autorisent ou refusent le trafic en fonction de la couche de transport et réseau. Lorsque vous utilisez un UDR avec Pare-feu Azure dans Container Apps, ajoutez les règles de réseau de pare-feu sortantes suivantes en fonction du scénario.
| Scénarios | Balises de service | Descriptif |
|---|---|---|
| Tous les scénarios |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Container Apps utilise ces balises de service pour Microsoft Registre d’artefacts. Pour autoriser Container Apps à utiliser Artifact Registry, ajoutez à la liste d’autorisation soit ces règles réseau, soit les règles d’application pour Artifact Registry lorsque vous utilisez Container Apps avec Pare-feu Azure. |
| Azure Container Registry (Service d'enregistrement de conteneurs Azure) |
AzureContainerRegistry, AzureActiveDirectory |
Lorsque vous utilisez Container Registry avec Container Apps, configurez ces règles réseau utilisées par Container Registry. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Ces balises de service sont requises en plus du nom de domaine complet pour la règle de réseau pour Key Vault. |
| Identité gérée | AzureActiveDirectory |
Lorsque vous utilisez une identité managée avec Container Apps, configurez ces règles réseau que l’identité managée utilise. |
| Azure Service Bus | ServiceBus |
Cette balise de service est requise lorsque vos applications conteneur accèdent Service Bus à l’aide de Pare-feu Azure et de balises de service. |
Remarque
Pour les ressources Azure que vous utilisez avec le pare-feu Azure qui ne sont pas répertoriées dans cet article, consultez la documentation des balises service.