Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Kelompok Keamanan Jaringan (NSG) diperlukan untuk mengonfigurasi jaringan virtual yang sangat menyerupai pengaturan yang diperlukan oleh Kubernetes.
Anda dapat mengunci jaringan melalui NSG dengan aturan yang lebih ketat daripada aturan NSG default untuk mengontrol semua lalu lintas masuk dan keluar untuk lingkungan Container Apps di tingkat langganan.
Di lingkungan profil beban kerja, rute yang ditentukan pengguna (UDR) dan mengamankan lalu lintas keluar dengan firewall didukung.
Catatan
Untuk panduan tentang cara menyiapkan UDR dengan Container Apps untuk membatasi lalu lintas keluar dengan Azure Firewall, kunjungi cara untuk Container Apps dan Azure Firewall.
Saat menggunakan lingkungan profil beban kerja eksternal, lalu lintas masuk ke Azure Container Apps dirutekan melalui IP publik yang ada di grup sumber daya terkelola daripada melalui subnet Anda. Ini berarti bahwa mengunci lalu lintas masuk melalui NSG atau Firewall pada lingkungan profil beban kerja eksternal tidak didukung. Untuk informasi selengkapnya, lihat Mengontrol lalu lintas keluar dengan rute yang ditentukan pengguna.
Di lingkungan khusus Konsumsi warisan, rute ekspres tidak didukung, dan rute khusus yang ditentukan pengguna (UDR) memiliki dukungan terbatas. Untuk informasi selengkapnya tentang tingkat dukungan UDR yang tersedia di lingkungan Khusus konsumsi, lihat FAQ.
Aturan izinkan NSG
Tabel berikut ini menjelaskan cara mengonfigurasi set aturan izinkan NSG. Aturan spesifik yang diperlukan bergantung pada jenis lingkungan Anda.
Masuk
Catatan
Saat menggunakan profil beban kerja, aturan NSG masuk hanya berlaku untuk lalu lintas yang melalui jaringan virtual Anda. Jika aplikasi kontainer Anda diatur untuk menerima lalu lintas dari internet publik, lalu lintas masuk melewati titik akhir publik alih-alih jaringan virtual.
| Protokol | Sumber | Port sumber | Tujuan | Port tujuan | Deskripsi |
|---|---|---|---|---|---|
| PKT | IP klien Anda | * | Subnetaplikasi kontainer Anda 1 |
80, 31080 |
Izinkan IP Klien Anda mengakses Azure Container Apps saat menggunakan HTTP.
31080 adalah port tempat Proksi Azure Container Apps Environment Edge merespons lalu lintas HTTP. Hal ini berada di belakang load balancer internal. |
| PKT | IP klien Anda | * | Subnetaplikasi kontainer Anda 1 |
443, 31443 |
Izinkan IP Klien Anda mengakses Azure Container Apps saat menggunakan HTTPS.
31443 adalah port tempat Proksi Azure Container Apps Environment Edge merespons lalu lintas HTTPS. Hal ini berada di belakang load balancer internal. |
| PKT | Penyeimbang Beban Azure | * | Subnet aplikasi kontainer Anda |
30000-32767
2 |
Izinkan Azure Load Balancer untuk memeriksa kumpulan backend. |
| PKT | IP klien Anda | * | Subnet aplikasi kontainer Anda | Port yang diekspos dan 30000-327672 |
Ini hanya berlaku untuk aplikasi TCP. Ini tidak diperlukan untuk aplikasi HTTP. |
1 Alamat ini diteruskan sebagai parameter saat Anda membuat lingkungan. Contohnya,10.0.0.0/21.
2 Rentang lengkap diperlukan saat membuat Azure Container Apps Anda sebagai port dalam rentang akan dialokasikan secara dinamis. Setelah dibuat, port yang diperlukan adalah dua nilai statis yang tidak dapat diubah, dan Anda dapat memperbarui aturan NSG Anda.
Keluar
| Protokol | Sumber | Port sumber | Tujuan | Port tujuan | Deskripsi |
|---|---|---|---|---|---|
| PKT | Subnet aplikasi kontainer Anda | * | MicrosoftContainerRegistry |
443 |
Ini adalah tag layanan untuk registri kontainer Microsoft untuk kontainer sistem. |
| PKT | Subnet aplikasi kontainer Anda | * | AzureFrontDoor.FirstParty |
443 |
Ini adalah dependensi dari MicrosoftContainerRegistry tag layanan. |
| Mana pun | Subnet aplikasi kontainer Anda | * | Subnet aplikasi kontainer Anda | * | Izinkan komunikasi antara IP di subnet aplikasi kontainer Anda. |
| PKT | Subnet aplikasi kontainer Anda | * | AzureActiveDirectory |
443 |
Jika Anda menggunakan identitas terkelola, identitas tersebut diperlukan. |
| PKT | Subnet aplikasi kontainer Anda | * | AzureMonitor |
443 |
Hanya diperlukan saat menggunakan Azure Monitor. Memungkinkan panggilan keluar ke Azure Monitor. |
| TCP dan UDP | Subnet aplikasi kontainer Anda | * | 168.63.129.16 |
53 |
Memungkinkan lingkungan menggunakan Azure DNS untuk mengatasi nama host. Catatan: Komunikasi DNS ke Azure DNS tidak tunduk pada NSG kecuali ditargetkan menggunakan AzurePlatformDNS tag layanan. Untuk memblokir lalu lintas DNS, buat aturan keluar untuk menolak lalu lintas ke AzurePlatformDNS tag layanan. |
| PKT | Subnetaplikasi kontainer Anda 1 | * | Container Registry Anda | Port registri kontainer Anda | Ini diperlukan untuk berkomunikasi dengan registri kontainer Anda. Misalnya, saat menggunakan ACR, Anda memerlukan AzureContainerRegistry dan AzureActiveDirectory untuk tujuan, dan port adalah port registri kontainer Anda kecuali menggunakan titik akhir privat.2 |
| PKT | Subnet aplikasi kontainer Anda | * | Storage.<Region> |
443 |
Hanya diperlukan saat menggunakan Azure Container Registry untuk menghosting gambar Anda. |
1 Alamat ini diteruskan sebagai parameter saat Anda membuat lingkungan. Contohnya,10.0.0.0/21.
2 Jika Anda menggunakan Azure Container Registry (ACR) dengan NSG yang dikonfigurasi di jaringan virtual Anda, buat titik akhir privat di ACR Anda untuk memungkinkan Azure Container Apps menarik gambar melalui jaringan virtual. Anda tidak perlu menambahkan aturan NSG untuk ACR saat dikonfigurasi dengan titik akhir privat.
Pertimbangan
- Jika Anda menjalankan server HTTP, Anda mungkin perlu menambahkan port
80dan443. - Jangan secara eksplisit menolak alamat
168.63.129.16Azure DNS dalam aturan NSG keluar, atau lingkungan Container Apps Anda tidak berfungsi.