Megosztás a következőn keresztül:

IP-bejövő forgalom korlátozásainak beállítása az Azure Container Appsben

  • Cikk

Az Azure Container Apps lehetővé teszi a tárolóalkalmazás bejövő forgalmának korlátozását az IP-bejövő forgalom korlátozásainak konfigurálásával a bejövő forgalom konfigurálásával.

Kétféle korlátozás létezik:

  • Engedélyezés: Csak az engedélyezési szabályokban megadott címtartományokból engedélyezze a bejövő forgalmat.
  • Megtagadás: Az összes bejövő forgalom megtagadása csak a megtagadási szabályokban megadott címtartományokból.

ha nincs meghatározva IP-korlátozási szabály, az összes bejövő forgalom engedélyezett.

Az IP-korlátozások szabályai a következő tulajdonságokat tartalmazzák:

Tulajdonság Érték Description
név sztring A szabály neve.
leírás sztring A szabály leírása.
ipAddressRange IP-címtartomány CIDR formátumban A CIDR-jelölés IP-címtartománya.
action Engedélyezés vagy megtagadás A szabályhoz végrehajtandó művelet.

A ipAddressRange paraméter elfogadja az IPv4-címeket. Definiálja az egyes IPv4-címblokkokat az osztály nélküli tartományközi útválasztás (CIDR) jelölésében.

Megjegyzés:

Minden szabálynak azonos típusúnak kell lennie. Az engedélyezési és a megtagadási szabályok nem egyesíthetők.

IP-bejövő forgalom korlátozásainak kezelése

Az IP-hozzáférési korlátozások szabályait az Azure Portalon vagy az Azure CLI-vel kezelheti.

Szabályok hozzáadása

  1. Nyissa meg a tárolóalkalmazást az Azure Portalon.

  2. A bal oldali menüből válassza a Bejövő forgalom lehetőséget.

  3. Az IP-korlátozások engedélyezéséhez válassza az IP-biztonsági korlátozások üzemmód kapcsolót. Dönthet úgy, hogy engedélyezi vagy letiltja a forgalmat a megadott IP-címtartományokból.

  4. Válassza a Hozzáadás lehetőséget a szabály létrehozásához.

    Screenshot of IP restriction settings on container app Ingress page.

  5. Adja meg az értékeket a következő mezőkben:

    Mező Description
    IPv4-cím vagy -tartomány Adja meg az IP-címet vagy az IP-címek tartományát a CIDR-jelölésben. Ha például egyetlen IP-címről szeretné engedélyezni a hozzáférést, használja a következő formátumot: 10.200.10.2/32.
    Név Adja meg a szabály nevét.
    Ismertetés Adja meg a szabály leírását.

  6. Select Add.

  7. További szabályok hozzáadásához ismételje meg a 4–6. lépést.

  8. Ha befejezte a szabályok hozzáadását, válassza a Mentés lehetőséget. Screenshot to save IP restrictions on container app Ingress page.

Szabály frissítése

  1. Nyissa meg a tárolóalkalmazást az Azure Portalon.
  2. A bal oldali menüből válassza a Bejövő forgalom lehetőséget.
  3. Válassza ki a frissíteni kívánt szabályt.
  4. Módosítsa a szabály beállításait.
  5. A frissítések mentéséhez válassza a Mentés lehetőséget.
  6. A frissített szabályok mentéséhez válassza a Mentés a bejövő forgalom lapon lehetőséget.

Szabály törlése

  1. Nyissa meg a tárolóalkalmazást az Azure Portalon.
  2. A bal oldali menüből válassza a Bejövő forgalom lehetőséget.
  3. Válassza a törölni kívánt szabály melletti törlés ikont.
  4. Válassza a Mentés parancsot.

Az IP-hozzáférési korlátozásokat a az containerapp ingress access-restriction parancscsoport használatával kezelheti. Ennek a parancscsoportnak a következő lehetőségei vannak:

  • set: Szabály létrehozása vagy frissítése.
  • remove: Szabály törlése.
  • list: Az összes szabály felsorolása.

Szabályok létrehozása vagy frissítése

A parancs használatával az containerapp ingress access-restriction set IP-korlátozásokat hozhat létre vagy frissíthet.

A az containerapp ingress access-restriction set parancscsoport a következő paramétereket használja.

Argumentum Értékek Leírás
--rule-name (kötelező) Sztring Megadja a hozzáférés-korlátozási szabály nevét.
--description Sztring Megadja a hozzáférés-korlátozási szabály leírását.
--action (kötelező) Engedélyezés, megtagadás Megadja, hogy engedélyezi vagy megtagadja-e a hozzáférést a megadott IP-címtartományból.
--ip-address (kötelező) IP-cím vagy IP-címtartomány a CIDR-jelölésben Megadja az engedélyezni vagy megtagadni kívánt IP-címtartományt.

További szabályok hozzáadásához ismételje meg a parancsot egy másik --rule-name és ---ip-address értékkel.

Engedélyezési szabályok létrehozása

Az alábbi példaparancs az containerapp access-restriction set egy szabályt hoz létre egy IP-címtartomány bejövő hozzáférésének korlátozására. Az engedélyezési szabályok hozzáadása előtt törölnie kell a meglévő megtagadási szabályokat.

Cserélje le az alábbi példában szereplő értékeket a saját értékeire.

az containerapp ingress access-restriction set \
   --name <CONTAINER_APP_NAME> \
   --resource-group <RESOURCE_GROUP> \
   --rule-name "my allow rule" \
   --description "example of rule allowing access" \
   --ip-address 192.168.0.1/28 \
   --action Allow

Az engedélyezési szabályokhoz úgy adhat hozzá, hogy a parancsot megismétli egy másik és --rule-name egy másik --ip-address értékkel.

Megtagadási szabályok létrehozása

Az alábbi példa a az containerapp access-restriction set parancsra létrehoz egy hozzáférési szabályt, amely megtagadja a bejövő forgalmat egy megadott IP-címtartományból. A megtagadási szabályok hozzáadása előtt törölnie kell a meglévő engedélyezési szabályokat.

Cserélje le a következő példában szereplő helyőrzőket a saját értékeire.

az containerapp ingress access-restriction set \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "my deny rule" \
  --description "example of rule denying access" \
  --ip-address 192.168.0.100/28 \
  --action Deny

A megtagadási szabályok hozzáadásához ismételje meg a parancsot egy másik és --rule-name egy másik --ip-address értékkel. Ha már létező szabálynevet használ, a meglévő szabály frissül.

Szabály frissítése

A parancs használatával frissíthet egy szabályt az containerapp ingress access-restriction set . Módosíthatja az IP-címtartományt és a szabály leírását, a szabály nevét vagy műveletét azonban nem.

A --action paraméter megadása kötelező, de nem módosíthatja a műveletet az Engedélyezésről a Megtagadásra vagy fordítva lehetőségről.
Ha kihagyja a paramétert ---description , a leírás törlődik.

Az alábbi példa frissíti az IP-címtartományt.

az containerapp ingress access-restriction set \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "my deny rule" \
  --ip-address 192.168.0.1/24 \
  --description "example of rule denying access" \
  --action Deny

Hozzáférési korlátozások eltávolítása

Az alábbi példaparancs az containerapp ingress access-restriction remove eltávolít egy szabályt.

az containerapp ingress access-restriction list
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "<your rule name>"

Hozzáférési korlátozások listázása

Az alábbi példaparancs az containerapp ingress access-restriction list a tárolóalkalmazás IP-korlátozási szabályait sorolja fel.

az containerapp ingress access-restriction list
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP>

Következő lépések

Bejövő forgalom konfigurálása