Mengamankan VNET kustom di Azure Container Apps dengan Grup Keamanan Jaringan
Kelompok Keamanan Jaringan (NSG) diperlukan untuk mengonfigurasi jaringan virtual yang sangat menyerupai pengaturan yang diperlukan oleh Kubernetes.
Anda dapat mengunci jaringan melalui NSG dengan aturan yang lebih ketat daripada aturan NSG default untuk mengontrol semua lalu lintas masuk dan keluar untuk lingkungan Container Apps di tingkat langganan.
Di lingkungan profil beban kerja, rute yang ditentukan pengguna (UDR) dan mengamankan lalu lintas keluar dengan firewall didukung. Saat menggunakan lingkungan profil beban kerja eksternal, lalu lintas masuk ke Azure Container Apps dirutekan melalui IP publik yang ada di grup sumber daya terkelola daripada melalui subnet Anda. Ini berarti bahwa mengunci lalu lintas masuk melalui NSG atau Firewall pada lingkungan profil beban kerja eksternal tidak didukung. Untuk informasi selengkapnya, lihat Jaringan di lingkungan Azure Container Apps.
Di lingkungan Hanya konsumsi, rute khusus yang ditentukan pengguna (UDR) dan ExpressRoutes tidak didukung.
Aturan izinkan NSG
Tabel berikut ini menjelaskan cara mengonfigurasi set aturan izinkan NSG. Aturan spesifik yang diperlukan bergantung pada jenis lingkungan Anda.
Masuk
Catatan
Saat menggunakan profil beban kerja, aturan NSG masuk hanya berlaku untuk lalu lintas yang melalui jaringan virtual Anda. Jika aplikasi kontainer Anda diatur untuk menerima lalu lintas dari internet publik, lalu lintas masuk melewati titik akhir publik alih-alih jaringan virtual.
Protokol | Sumber | Port sumber | Tujuan | Port tujuan | Deskripsi |
---|---|---|---|---|---|
TCP | IP klien Anda | * | Subnetaplikasi kontainer Anda 1 | 80 , 31080 |
Izinkan IP Klien Anda mengakses Azure Container Apps saat menggunakan HTTP. 31080 adalah port tempat Proksi Azure Container Apps Environment Edge merespons lalu lintas HTTP. Hal ini berada di belakang load balancer internal. |
TCP | IP klien Anda | * | Subnetaplikasi kontainer Anda 1 | 443 , 31443 |
Izinkan IP Klien Anda mengakses Azure Container Apps saat menggunakan HTTPS. 31443 adalah port tempat Proksi Azure Container Apps Environment Edge merespons lalu lintas HTTPS. Hal ini berada di belakang load balancer internal. |
TCP | AzureLoadBalancer | * | Subnet aplikasi kontainer Anda | 30000-32767 2 |
Izinkan Azure Load Balancer untuk memeriksa kumpulan backend. |
1 Alamat ini diteruskan sebagai parameter saat Anda membuat lingkungan. Contohnya,10.0.0.0/21
.
2 Rentang lengkap diperlukan saat membuat Azure Container Apps Anda sebagai port dalam rentang akan dialokasikan secara dinamis. Setelah dibuat, port yang diperlukan adalah dua nilai statis yang tidak dapat diubah, dan Anda dapat memperbarui aturan NSG Anda.
Keluar
Protokol | Sumber | Port sumber | Tujuan | Port tujuan | Deskripsi |
---|---|---|---|---|---|
TCP | Subnet aplikasi kontainer Anda | * | MicrosoftContainerRegistry |
443 |
Ini adalah tag layanan untuk registri kontainer Microsoft untuk kontainer sistem. |
TCP | Subnet aplikasi kontainer Anda | * | AzureFrontDoor.FirstParty |
443 |
Ini adalah dependensi dari MicrosoftContainerRegistry tag layanan. |
Mana pun | Subnet aplikasi kontainer Anda | * | Subnet aplikasi kontainer Anda | * | Izinkan komunikasi antara IP di subnet aplikasi kontainer Anda. |
TCP | Subnet aplikasi kontainer Anda | * | AzureActiveDirectory |
443 |
Jika Anda menggunakan identitas terkelola, ini diperlukan. |
TCP | Subnet aplikasi kontainer Anda | * | AzureMonitor |
443 |
Hanya diperlukan saat menggunakan Azure Monitor. Memungkinkan panggilan keluar ke Azure Monitor. |
TCP dan UDP | Subnet aplikasi kontainer Anda | * | 168.63.129.16 |
53 |
Memungkinkan lingkungan menggunakan Azure DNS untuk mengatasi nama host. |
TCP | Subnetaplikasi kontainer Anda 1 | * | Container Registry Anda | Port registri kontainer Anda | Ini diperlukan untuk berkomunikasi dengan registri kontainer Anda. Misalnya, saat menggunakan ACR, Anda memerlukan AzureContainerRegistry dan AzureActiveDirectory untuk tujuan, dan port akan menjadi port registri kontainer Anda kecuali menggunakan titik akhir privat.2 |
TCP | Subnet aplikasi kontainer Anda | * | Storage.<Region> |
443 |
Hanya diperlukan saat menggunakan Azure Container Registry untuk menghosting gambar Anda. |
1 Alamat ini diteruskan sebagai parameter saat Anda membuat lingkungan. Contohnya,10.0.0.0/21
.
2 Jika Anda menggunakan Azure Container Registry (ACR) dengan NSG yang dikonfigurasi di jaringan virtual Anda, buat titik akhir privat di ACR Anda untuk memungkinkan Azure Container Apps menarik gambar melalui jaringan virtual. Anda tidak perlu menambahkan aturan NSG untuk ACR saat dikonfigurasi dengan titik akhir privat.
Pertimbangan
- Jika Anda menjalankan server HTTP, Anda mungkin perlu menambahkan port
80
dan443
. - Jangan secara eksplisit menolak alamat
168.63.128.16
Azure DNS dalam aturan NSG keluar, atau lingkungan Container Apps Anda tidak akan dapat berfungsi.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk