Grupos de seguridad de red para configurar una red virtual en Azure Container Apps

Los grupos de seguridad de red (NSG) que necesita para configurar redes virtuales se asemejan mucho a la configuración que requiere Kubernetes.

Puede ayudar a proteger una red a través de grupos de seguridad de red con reglas más restrictivas que las reglas de NSG predeterminadas para controlar todo el tráfico entrante y saliente del entorno de Azure Container Apps en el nivel de suscripción.

En el entorno de perfil de carga de trabajo, se admiten las rutas definidas por el usuario (UDR) y la protección del tráfico saliente con un firewall . Para obtener una guía sobre cómo configurar una UDR para Aplicaciones de contenedor para restringir el tráfico saliente con Azure Firewall, consulte Control del tráfico saliente en Azure Container Apps con rutas definidas por el usuario.

Cuando se usa un entorno de perfil de carga de trabajo externo, el tráfico entrante a las rutas de Container Apps a través de la dirección IP pública que existe en el grupo de recursos administrado en lugar de a través de la subred. Esta limitación significa que no se admite el bloqueo del tráfico entrante a través de NSG o firewall en un entorno de perfil de carga de trabajo externo.

En el entorno heredado de solo consumo, no se admite Azure ExpressRoute y las UDR personalizadas tienen compatibilidad limitada. Para obtener más información sobre el nivel de compatibilidad con UDR disponible en un entorno de solo consumo, consulte las preguntas más frecuentes.

Reglas de permisos de NSG

En las tablas siguientes se describe cómo configurar una colección de reglas de permisos de NSG. Las reglas específicas que necesita dependen del tipo de entorno.

Nota:

Cuando se usan perfiles de carga de trabajo, las reglas de NSG entrantes solo se aplican al tráfico que pasa por la red virtual. Si establece las aplicaciones de contenedor para que acepten el tráfico de la red pública de Internet, el tráfico entrante pasa por el punto de conexión público en lugar de la red virtual.

Protocolo	Origen	Puertos de origen	Destino	Puertos de destino	Descripción
TCP	Direcciones IP de cliente	*	Subred 1 de la aplicación contenedora	`80`, `31080`	Permitir que las direcciones IP del cliente accedan a Container Apps cuando se usa HTTP. `31080` es el puerto en el que el proxy perimetral del entorno de Container Apps responde al tráfico HTTP. Está detrás del equilibrador de carga interno.
TCP	Direcciones IP de cliente	*	Subred 1 de la aplicación contenedora	`443`, `31443`	Permitir que las direcciones IP del cliente accedan a Container Apps cuando use HTTPS. `31443` es el puerto en el que el proxy perimetral del entorno de Container Apps responde al tráfico HTTPS. Está detrás del equilibrador de carga interno.
TCP	Azure Load Balancer (Equilibrador de carga de Azure)	*	Subred de la aplicación contenedora	`30000-32767` ²	Permitir que Azure Load Balancer sondee los grupos de back-end.
TCP	Direcciones IP de cliente	*	Subred de la aplicación contenedora	Puertos expuestos y `30000-32767`²	Esta regla solo se aplica a las aplicaciones TCP. No es necesario para las aplicaciones HTTP.

Protocolo	Origen	Puertos de origen	Destino	Puertos de destino	Descripción
TCP	Direcciones IP de cliente	*	Subred 1 de la aplicación contenedora	`80`, `443`	Permitir que las direcciones IP del cliente accedan a Container Apps. Use el puerto `80` para HTTP y `443` para HTTPS.
TCP	Direcciones IP de cliente	*	Valor `staticIP` del entorno de Container Apps	`80`, `443`	Permitir que las direcciones IP del cliente accedan a Container Apps. Use el puerto `80` para HTTP y `443` para HTTPS.
TCP	Azure Load Balancer (Equilibrador de carga de Azure)	*	Subred de la aplicación contenedora	`30000-32767` ²	Permitir que Azure Load Balancer sondee los grupos de back-end.
TCP	Subred de la aplicación contenedora	*	Subred de la aplicación contenedora	*	Esta regla es necesaria para permitir que el sidecar de Envoy de la aplicación contenedor se conecte al servicio Envoy.

¹ Esta dirección se pasa como parámetro al crear un entorno. Por ejemplo, 10.0.0.0/21.

² Necesita el intervalo completo al crear las aplicaciones de contenedor como un puerto dentro del intervalo se asigna dinámicamente. Después de crear las aplicaciones de contenedor, los puertos necesarios son dos valores inmutables, estáticos y puede actualizar las reglas de NSG.

Salida

Entorno de perfil de carga de trabajo
Entorno de solo consumo

Protocolo	Origen	Puertos de origen	Destino	Puertos de destino	Descripción
TCP	Subred de la aplicación contenedora	*	`MicrosoftContainerRegistry`	`443`	Esta etiqueta de servicio representa Microsoft Registro de artefactos para contenedores del sistema.
TCP	Subred de la aplicación contenedora	*	`AzureFrontDoor.FirstParty`	`443`	Esta etiqueta de servicio es una dependencia de la `MicrosoftContainerRegistry` etiqueta de servicio.
Cualquiera	Subred de la aplicación contenedora	*	Subred de la aplicación contenedora	*	Esta regla permite la comunicación entre direcciones IP en la subred de la aplicación contenedora.
TCP	Subred de la aplicación contenedora	*	`AzureActiveDirectory`	`443`	Si usa una identidad administrada, es necesario.
TCP	Subred de la aplicación contenedora	*	`AzureMonitor`	`443`	Esta regla solo es necesaria cuando se usa Azure Monitor. Permite llamadas salientes a Azure Monitor.
TCP y UDP	Subred de la aplicación contenedora	*	`168.63.129.16`	`53`	Esta regla permite que el entorno use Azure DNS para resolver el nombre de host. La comunicación DNS con Azure DNS no está sujeta a NSG a menos que se dirija a través de la etiqueta de servicio `AzurePlatformDNS`. Para bloquear el tráfico DNS, cree una regla de salida para denegar el tráfico a la etiqueta de `AzurePlatformDNS` servicio.
TCP	Subred 1 de la aplicación contenedora	*	Registro de contenedor	Puerto del registro de contenedor	Esta regla es necesaria para comunicarse con el registro de contenedor. Por ejemplo, al usar Azure Container Registry, necesita `AzureContainerRegistry` y `AzureActiveDirectory` para el destino. El puerto es el puerto del registro de contenedor, a menos que use puntos de conexión privados. ²
TCP	Subred de la aplicación contenedora	*	`Storage.<Region>`	`443`	Esta regla solo es necesaria cuando se usa Container Registry para hospedar las imágenes.

Nota:

Cuando se usan entornos de solo consumo, la aplicación de contenedor también necesita todos los puertos de outbound que Azure Kubernetes Service (AKS) requiere.

Protocolo	Origen	Puertos de origen	Destino	Puertos de destino	Descripción
TCP	Subred de la aplicación contenedora	*	`MicrosoftContainerRegistry`	`443`	Esta etiqueta de servicio representa Microsoft Registro de artefactos para contenedores del sistema.
TCP	Subred de la aplicación contenedora	*	`AzureFrontDoor.FirstParty`	`443`	Esta etiqueta de servicio es una dependencia de la `MicrosoftContainerRegistry` etiqueta de servicio.
UDP	Subred de la aplicación contenedora	*	`AzureCloud.<REGION>`	`1194`	Esta regla es necesaria para una conexión segura de AKS interna entre los nodos subyacentes y el plano de control. Reemplace `<REGION>` con la región en la que está implementada la aplicación de contenedor.
TCP	Subred de la aplicación contenedora	*	`AzureCloud.<REGION>`	`9000`	Esta regla es necesaria para una conexión segura de AKS interna entre los nodos subyacentes y el plano de control. Reemplace `<REGION>` con la región en la que está implementada la aplicación de contenedor.
TCP	Subred de la aplicación contenedora	*	`AzureCloud`	`443`	Permitir todo el saliente en el puerto `443` proporciona una manera de permitir todas las dependencias de salida basadas en FQDN que no tienen una dirección IP estática.
TCP	Subred de la aplicación contenedora	*	`EventHub.<REGION>`	`5671`, `5672`	Esta regla es necesaria para el registro de diagnóstico interno en entornos de solo consumo. Reemplace `<REGION>` con la región en la que está implementada la aplicación de contenedor.
UDP	Subred de la aplicación contenedora	*	*	`123`	Esta regla es para el servidor de Protocolo de tiempo de red (NTP).
Cualquiera	Subred de la aplicación contenedora	*	Subred de la aplicación contenedora	*	Esta regla permite la comunicación entre direcciones IP en la subred de la aplicación contenedora.
TCP y UDP	Subred de la aplicación contenedora	*	`168.63.129.16`	`53`	Esta regla permite que el entorno use Azure DNS para resolver el nombre de host. La comunicación DNS con Azure DNS no está sujeta a NSG a menos que se dirija a través de la etiqueta de servicio `AzurePlatformDNS`. Para bloquear el tráfico DNS, cree una regla de salida para denegar el tráfico a la etiqueta de `AzurePlatformDNS` servicio.
TCP	Subred 1 de la aplicación contenedora	*	Registro de contenedor	Puerto del registro de contenedor	Esta regla es necesaria para comunicarse con el registro de contenedor. Por ejemplo, al usar Azure Container Registry, necesita `AzureContainerRegistry` y `AzureActiveDirectory` para el destino. El puerto es el puerto del registro de contenedor, a menos que use puntos de conexión privados. ²
TCP	Subred de la aplicación contenedora	*	`Storage.<Region>`	`443`	Esta regla solo es necesaria cuando se usa Container Registry para hospedar las imágenes.
TCP	Subred de la aplicación contenedora	*	`AzureMonitor`	`443`	Esta regla solo es necesaria cuando se usa Azure Monitor. Permite llamadas salientes a Azure Monitor.

¹ Esta dirección se pasa como parámetro al crear un entorno. Por ejemplo, 10.0.0.0/21.

² Si usa Container Registry con grupos de seguridad de red configurados en la red virtual, cree un punto de conexión privado en el registro de contenedor para permitir que Container Apps extraiga imágenes a través de la red virtual. No es necesario agregar una regla de NSG para Container Registry cuando está configurada con puntos de conexión privados.

Consideraciones

Si ejecuta servidores HTTP, es posible que tenga que agregar puertos 80 y 443.
No deniegue explícitamente la dirección de Azure DNS 168.63.129.16 en las reglas de NSG salientes. Si lo hace, el entorno de Container Apps no funciona.

Use un punto de conexión privado con un entorno de Azure Container Apps

Comentarios

Resultoulle útil esta páxina?

Last updated on 2026-05-26