Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A virtuális hálózatok konfigurálásához szükséges hálózati biztonsági csoportok (NSG-k) szorosan hasonlítanak a Kubernetes által igényelt beállításokhoz.
Az alapértelmezett NSG-szabályoknál szigorúbb szabályokkal védheti a hálózatokat az NSG-ken keresztül, így az előfizetés szintjén szabályozhatja a Azure Container Apps környezet összes bejövő és kimenő forgalmát.
A számítási feladatprofil-környezetben a felhasználó által megadott útvonalak (UDR-ek) és a kimenő forgalom tűzfallal való védelme támogatott. A Tárolóalkalmazásokhoz készült UDR beállításáról a Azure Firewall kimenő forgalom korlátozásához a A kimenő forgalom felügyelete Azure Container Apps felhasználó által megadott útvonalakkal című témakörben olvashat.
Ha külső számítási feladatprofil-környezetet használ, a Container Appsbe irányuló bejövő forgalom a felügyelt erőforráscsoportban található nyilvános IP-címen halad át, nem pedig az alhálózaton keresztül. Ez a korlátozás azt jelenti, hogy a bejövő forgalom NSG-n vagy tűzfalon keresztül történő zárolása nem támogatott egy külső számítási feladatprofil-környezetben.
Az örökölt csak használatalapú környezetben a Azure ExpressRoute nem támogatott, az egyéni UDR-ek pedig korlátozottan támogatottak. A csak használatalapú környezetben elérhető UDR-támogatás szintjéről további információt a gyakori kérdések között talál.
NSG-engedélyezési szabályok
Az alábbi táblázatok bemutatják, hogyan konfigurálhatók az NSG engedélyezési szabályainak gyűjteményei. A szükséges szabályok a környezet típusától függenek.
Bejövő
Feljegyzés
Számítási feladatprofilok használatakor a bejövő NSG-szabályok csak a virtuális hálózaton áthaladó forgalomra vonatkoznak. Ha úgy állítja be a tárolóalkalmazásokat, hogy fogadják a nyilvános internetről érkező forgalmat, a bejövő forgalom a nyilvános végponton halad át a virtuális hálózat helyett.
| Protokoll | Forrás | Forrásportok | Cél | Célportok | Leírás |
|---|---|---|---|---|---|
| TCP | Az ügyfél IP-címeit | * | A tárolóalkalmazás 1. alhálózata |
80, 31080 |
Engedélyezze az ügyfél IP-címeit a Container Apps eléréséhez HTTP használata esetén.
31080 Az a port, amelyen a Container Apps-környezet peremproxyja válaszol a HTTP-forgalomra. A belső terheléselosztó mögött van. |
| TCP | Az ügyfél IP-címeit | * | A tárolóalkalmazás 1. alhálózata |
443, 31443 |
Engedélyezi, hogy az ügyfél IP-címei hozzáférjenek a Container Appshez HTTPS használata esetén.
31443 Az a port, amelyen a Container Apps-környezet peremproxyja válaszol a HTTPS-forgalomra. A belső terheléselosztó mögött van. |
| TCP | Azure Load Balancer | * | A tárolóalkalmazás alhálózata |
30000-32767
2 |
Engedélyezze az Azure Load Balancer számára a háttérkészletek mintavételét. |
| TCP | Az ügyfél IP-címeit | * | A tárolóalkalmazás alhálózata | Közzétett portok és 30000-327672 |
Ez a szabály csak a TCP-alkalmazásokra vonatkozik. HTTP-alkalmazásokhoz nem szükséges. |
1 Ezt a címet paraméterként adja át egy környezet létrehozásakor. Például: 10.0.0.0/21.
2 A tárolóalkalmazások tartományon belüli portként való létrehozásakor a teljes tartományra szüksége van. A tárolóalkalmazások létrehozása után a szükséges portok két nem módosítható, statikus értékből állnak, és frissítheti az NSG-szabályokat.
Kimenő
| Protokoll | Forrás | Forrásportok | Cél | Célportok | Leírás |
|---|---|---|---|---|---|
| TCP | A tárolóalkalmazás alhálózata | * | MicrosoftContainerRegistry |
443 |
Ez a szolgáltatáscímke Microsoft rendszertárolók összetevő-beállításjegyzékét jelöli. |
| TCP | A tárolóalkalmazás alhálózata | * | AzureFrontDoor.FirstParty |
443 |
Ez a szolgáltatáscímke a MicrosoftContainerRegistry szolgáltatáscímke függősége. |
| Bármely | A tárolóalkalmazás alhálózata | * | A tárolóalkalmazás alhálózata | * | Ez a szabály lehetővé teszi az IP-címek közötti kommunikációt a tárolóalkalmazás alhálózatán. |
| TCP | A tárolóalkalmazás alhálózata | * | AzureActiveDirectory |
443 |
Ha felügyelt identitást használ, az szükséges. |
| TCP | A tárolóalkalmazás alhálózata | * | AzureMonitor |
443 |
Ez a szabály csak akkor szükséges, ha Azure Monitor használ. Engedélyezi a kimenő hívásokat Azure Monitor. |
| TCP és UDP | A tárolóalkalmazás alhálózata | * | 168.63.129.16 |
53 |
Ez a szabály lehetővé teszi, hogy a környezet Azure DNS használatával oldja fel a gazdagép nevét. A Azure DNS felé irányuló DNS-kommunikáció csak akkor vonatkozik az NSG-kre, ha az AzurePlatformDNS szolgáltatáscímkén keresztül van megcélzva. A DNS-forgalom letiltásához hozzon létre egy kimenő szabályt a AzurePlatformDNS szolgáltatáscímke felé irányuló forgalom letiltásához. |
| TCP | A tárolóalkalmazás 1. alhálózata | * | A tárolóregisztrációs adatbázis | A tárolóregisztrációs adatbázis portja | Ez a szabály a tárolóregisztrációs adatbázissal való kommunikációhoz szükséges. Ha például Azure Container Registry használ, AzureContainerRegistry és AzureActiveDirectory kell a célhelyhez. A port a tárolóregisztrációs adatbázis portja, hacsak nem privát végpontokat használ. 2 |
| TCP | A tárolóalkalmazás alhálózata | * | Storage.<Region> |
443 |
Ez a szabály csak akkor szükséges, ha tárolóregisztrációs adatbázist használ a rendszerképek üzemeltetéséhez. |
1 Ezt a címet paraméterként adja át egy környezet létrehozásakor. Például: 10.0.0.0/21.
2 Ha a Tárolóregisztrációs adatbázist a virtuális hálózaton konfigurált NSG-kkel használja, hozzon létre egy privát végpontot a tárolóregisztrációs adatbázisban, amely lehetővé teszi a Container Apps számára a rendszerképek lekérését a virtuális hálózaton keresztül. Nem kell NSG-szabályt hozzáadnia a Tárolóregisztrációs adatbázishoz, ha privát végpontokkal van konfigurálva.
Megfontolások
- HA HTTP-kiszolgálókat futtat, előfordulhat, hogy portokat
80kell hozzáadnia és443. - A kimenő NSG-szabályokban ne tiltsa le explicit módon a Azure DNS címet
168.63.129.16. Ha igen, a Container Apps-környezet nem működik.