Netwerken voor de Azure Container Apps - Landing Zone Accelerator

Container Apps is verantwoordelijk voor het uitvoeren van updates van het besturingssysteem, schalen, failoverprocessen en resourcetoewijzing in een container-apps-omgeving. Omgevingen bevatten een of meer container-apps of -taken door een veilige grens te maken via een virtueel netwerk (VNet).

Standaard wordt er automatisch een VNet gemaakt voor uw Container App-omgeving. Als u echter meer gedetailleerde controle over uw netwerk wilt, kunt u een bestaand VNet gebruiken tijdens het maken van uw container-app-omgeving.

Omgevingen kunnen externe aanvragen accepteren of kunnen worden vergrendeld tot alleen interne aanvragen.

Externe omgevingen maken container-apps beschikbaar met behulp van een virtueel IP-adres dat toegankelijk is via het openbare internet. Interne omgevingen maken ook de container-apps beschikbaar op een IP-adres in uw virtuele netwerk. U kunt verkeer beperken binnen de container-app-omgeving of via het virtuele netwerk. Zie Beveiligingsoverwegingen voor de Azure Container Apps Landing Zone Accelerator voor meer informatie.

Overwegingen

• Vereisten voor subnetten:

  • Een toegewezen subnet is vereist voor een omgeving in het virtuele netwerk. De CIDR van het subnet moet of groter zijn /23 voor alleen omgevingen voor verbruik of /27 groter voor omgevingen met workloadprofielen.

• IP-adresbeheer:

  • Een basis van 60 IP-adressen is gereserveerd in uw VNet. Dit bedrag kan toenemen naarmate uw containeromgeving wordt geschaald wanneer elke app-revisie een IP-adres ophaalt uit het subnet. Uitgaande IP-adressen kunnen na verloop van tijd veranderen.

  • Alleen IPv4-adressen worden ondersteund (IPv6 wordt niet ondersteund).

  • Een beheerde openbare IP-resource verwerkt uitgaande aanvragen en beheerverkeer, ongeacht of u een externe of interne omgeving hebt.

• Netwerkbeveiliging:

  • U kunt een netwerk vergrendelen via netwerkbeveiligingsgroepen (NSG) met meer beperkende regels dan de standaard NSG-regels waarmee al het inkomende en uitgaande verkeer voor een omgeving wordt beheerd.

• Proxy en versleuteling:

  • Container Apps gebruiken een Envoy-proxy als een Edge HTTP-proxy. Alle HTTP-aanvragen worden automatisch omgeleid naar HTTPs. Envoy beëindigt transport layer security (TLS) na het overschrijden van de grens. Wederzijdse transport layer security (mTLS) is alleen beschikbaar wanneer u Dapr gebruikt. Omdat Envoy echter mTLS beëindigt, worden binnenkomende aanroepen van Envoy naar container-apps met Dapr-functionaliteit niet versleuteld.

• DNS-overwegingen:

  • Als een omgeving wordt geïmplementeerd, voert Container Apps veel DNS-zoekacties uit. Sommige van deze zoekacties verwijzen naar interne Azure-domeinen. Als u DNS-verkeer afdwingen via uw aangepaste DNS-oplossing, configureert u uw DNS-server om niet-opgeloste DNS-query's door te sturen naar Azure DNS.

  • Voor toepassingen die intern worden uitgevoerd op Container Apps, is het systeem afhankelijk van Azure Privé-DNS Zones om de DNS-naam om te leiden naar het interne IP-adres. In de Privé-DNS Zone kunt u een jokerteken (*) A record naar het IP-adres van de interne load balancer wijzen.

• Uitgaand verkeerbeheer:

  • Uitgaand netwerkverkeer (uitgaand verkeer) moet worden gerouteerd via een Azure Firewall- of virtueel netwerkapparaatcluster.

• Taakverdeling tussen omgevingen:

  • Als u uw toepassing wilt uitvoeren in meerdere Container Apps-omgevingen om tolerantie of nabijheidsredenen, kunt u overwegen een globale taakverdelingsservice te gebruiken, zoals Azure Traffic Manager of Azure Front Door.

• Netwerkbeveiliging:

  • Gebruik netwerkbeveiligingsgroepen (NSG) om uw netwerk te beveiligen en onnodig binnenkomend en uitgaand verkeer te blokkeren.

  • Gebruik Azure DDoS Protection voor de Azure Container Apps-omgeving.

  • Gebruik Private Link voor beveiligde netwerkverbindingen en privé-IP-verbindingen met andere beheerde Azure-services.

  • Zorg ervoor dat alle eindpunten voor de oplossing (intern en extern) alleen MET TLS versleutelde verbindingen (HTTPS) accepteren.

  • Gebruik een webtoepassingsfirewall met het HTTPS/TCP-inkomend verkeer voor internetgerichte en beveiligingskritieke, interne webtoepassingen.

  • In sommige scenario's kunt u een Container Apps-webtoepassing rechtstreeks beschikbaar maken op internet en deze beveiligen met CDN-/WAF-services van derden.

Aanbevelingen

• Netwerkconfiguratie: Implementeer uw container-apps in een aangepast virtueel netwerk om meer controle te krijgen over de netwerkconfiguratie.

• Beveiligde binnenkomende connectiviteit: wanneer u internetgerichte services publiceert, gebruikt u Azure-toepassing Gateway (WAF_v2 SKU) of Azure Front Door (met Web Application Firewall) om binnenkomende connectiviteit te beveiligen.

• Intern verkeerbeheer: gebruik een interne netwerkconfiguratie voor services zoals Azure-toepassing Gateway of Azure Front Door, zodat verkeer van de load balancer naar de Azure Container Apps-omgeving een interne verbinding gebruikt.

• Toepassingen beschikbaar maken: schakel inkomend verkeer in om uw toepassing beschikbaar te maken via HTTPs of TCP-poort.

Verwijzingen

• Netwerkarchitectuur in Azure Container Apps
• Een aangepast VNET beveiligen in Azure Container Apps
• Netwerkproxy in Azure Container Apps
• IP-toegangsbeperkingen in Azure Container Apps
• Ondersteuning voor door de gebruiker gedefinieerde routes
• UDR configureren met Azure Firewall