Share via

Uitgaand verkeer beheren met door de gebruiker gedefinieerde routes

  • Artikel

Notitie

Deze functie wordt alleen ondersteund voor het omgevingstype workloadprofielen. Door de gebruiker gedefinieerde routes werken alleen met een interne Azure Container Apps-omgeving.

In dit artikel leest u hoe u door de gebruiker gedefinieerde routes (UDR) gebruikt met Azure Firewall om uitgaand verkeer van uw Container Apps naar back-end Azure-resources of andere netwerkbronnen te vergrendelen.

Azure maakt een standaardroutetabel voor uw virtuele netwerken bij het maken. Door een door de gebruiker gedefinieerde routetabel te implementeren, kunt u bepalen hoe verkeer binnen uw virtuele netwerk wordt gerouteerd. In deze handleiding gaat u UDR instellen in het virtuele Container Apps-netwerk om uitgaand verkeer met Azure Firewall te beperken.

U kunt ook een NAT-gateway of andere apparaten van derden gebruiken in plaats van Azure Firewall.

Zie de configuratie van UDR met Azure Firewall in netwerken in Azure Container Apps voor meer informatie.

Vereisten

  • Omgeving voor workloadprofielen: een omgeving met workloadprofielen die is geïntegreerd met een aangepast virtueel netwerk. Zie de handleiding voor het maken van een container-app-omgeving in de omgeving met workloadprofielen voor meer informatie.

  • curl ondersteuning: Uw container-app moet een container hebben die opdrachten ondersteunt curl . In deze procedure gebruikt curl u om te controleren of de container-app correct is geïmplementeerd. Als u geen container-app hebt geïmplementeerd curl , kunt u de volgende container implementeren die ondersteuning biedt voor curl, mcr.microsoft.com/k8se/quickstart:latest.

Het firewallsubnet maken

Een subnet met de naam AzureFirewallSubnet is vereist om een firewall te implementeren in het geïntegreerde virtuele netwerk.

  1. Open het virtuele netwerk dat is geïntegreerd met uw app in Azure Portal.

  2. Selecteer subnetten in het menu aan de linkerkant en selecteer vervolgens + Subnet.

  3. Voer de volgende waarden in:

    Instelling Actie
    Naam Voer AzureFirewallSubnet in.
    Subnetadresbereik Gebruik de standaardinstelling of geef een subnetbereik /26 of groter op.

  4. Selecteer Opslaan

De firewall implementeren

  1. Selecteer een resource maken in het menu van Azure Portal of op de startpagina.

  2. Zoek naar firewall.

  3. Selecteer Firewall.

  4. Selecteer Maken.

  5. Configureer de firewall op de pagina Een firewall maken met de volgende instellingen.

    Instelling Actie
    Resourcegroep Voer dezelfde resourcegroep in als het geïntegreerde virtuele netwerk.
    Naam Voer een naam van uw keuze in
    Regio Selecteer dezelfde regio als het geïntegreerde virtuele netwerk.
    Firewallbeleid Maak er een door nieuwe toevoegen te selecteren.
    Virtueel netwerk Selecteer het geïntegreerde virtuele netwerk.
    Openbaar IP-adres Selecteer een bestaand adres of maak er een door nieuwe toevoegen te selecteren.

  6. Selecteer Controleren + maken. Nadat de validatie is voltooid, selecteert u Maken. Het kan enkele minuten duren voordat de validatiestap is voltooid.

  7. Zodra de implementatie is voltooid, selecteert u Ga naar resource.

  8. Kopieer op de overzichtspagina van de firewall het privé-IP-adres van de firewall. Dit IP-adres wordt gebruikt als het volgende hopadres bij het maken van de routeringsregel voor het virtuele netwerk.

Al het verkeer naar de firewall routeren

Uw virtuele netwerken in Azure bevatten standaardroutetabellen wanneer u het netwerk maakt. Door een door de gebruiker gedefinieerde routetabel te implementeren, kunt u bepalen hoe verkeer binnen uw virtuele netwerk wordt gerouteerd. In de volgende stappen maakt u een UDR om al het verkeer naar uw Azure Firewall te routeren.

  1. Selecteer een resource maken in het menu van Azure Portal of op de startpagina.

  2. Zoek naar routetabellen.

  3. Selecteer Routetabellen.

  4. Selecteer Maken.

  5. Voer de volgende waarden in:

    Instelling Actie
    Regio Selecteer de regio als uw virtuele netwerk.
    Naam Voer een naam in.
    Gatewayroutes doorgeven Selecteer Nee

  6. Selecteer Controleren + maken. Nadat de validatie is voltooid, selecteert u Maken.

  7. Zodra de implementatie is voltooid, selecteert u Ga naar resource.

  8. Selecteer Routes in het menu aan de linkerkant en selecteer Vervolgens Toevoegen om een nieuwe routetabel te maken

  9. Configureer de routetabel met de volgende instellingen:

    Instelling Actie
    Adresvoorvoegsel Voer 0.0.0.0/0 in
    Volgend hoptype Virtueel apparaat selecteren
    Adres van de volgende hop Voer het privé-IP-adres van de firewall in dat u hebt opgeslagen in De firewall implementeren.

  10. Selecteer Toevoegen om de route te maken.

  11. Selecteer subnetten in het menu aan de linkerkant en selecteer Koppelen om uw routetabel te koppelen aan het subnet van de container-app.

  12. Configureer het subnet koppelen aan de volgende waarden:

    Instelling Actie
    Virtueel netwerk Selecteer het virtuele netwerk voor uw container-app.
    Subnet Selecteer het subnet voor de container-app.

  13. Selecteer OK.

Firewallbeleid configureren

Notitie

Wanneer u UDR gebruikt met Azure Firewall in Azure Container Apps, moet u bepaalde FQDN's en servicetags toevoegen aan de acceptatielijst voor de firewall. Raadpleeg het configureren van UDR met Azure Firewall om te bepalen welke servicetags u nodig hebt.

Nu wordt al het uitgaande verkeer van uw container-app doorgestuurd naar de firewall. Momenteel staat de firewall nog steeds al het uitgaande verkeer toe via. Als u wilt beheren welk uitgaand verkeer is toegestaan of geweigerd, moet u firewallbeleid configureren.

  1. Selecteer firewallbeleid in uw Azure Firewall-resource op de pagina Overzicht

  2. Selecteer toepassingsregels in het menu aan de linkerkant van de pagina firewallbeleid.

  3. Selecteer Een regelverzameling toevoegen.

  4. Voer de volgende waarden in voor de regelverzameling:

    Instelling Actie
    Naam Voer een verzamelingsnaam in
    Type regelverzameling Toepassing selecteren
    Prioriteit Voer de prioriteit in, zoals 110
    Actie Regelverzameling Toestaan selecteren
    Groep Regelverzameling DefaultApplicationRuleCollectionGroup selecteren

  5. Voer onder Regels de volgende waarden in

    Instelling Actie
    Naam Voer een naam in voor de regel
    Brontype IP-adres selecteren
    Source * invoeren
    Protocol Voer http:80,https:443 in
    Doeltype Selecteer FQDN.
    Bestemming Voer mcr.microsoft.com,*.data.mcr.microsoft.com. Als u ACR gebruikt, voegt u uw ACR-adres en *.blob.core.windows.net.
    Actie Toestaan selecteren

    Notitie

    Als u docker Hub-register gebruikt en toegang wilt krijgen via uw firewall, moet u de volgende FQDN's toevoegen aan de doellijst van uw regels: hub.docker.com, registry-1.docker.io en production.cloudflare.docker.com.

  6. Selecteer Toevoegen.

Controleren of uw firewall uitgaand verkeer blokkeert

Als u wilt controleren of uw firewallconfiguratie juist is ingesteld, kunt u de opdracht van de curl foutopsporingsconsole van uw app gebruiken.

  1. Navigeer naar uw container-app die is geconfigureerd met Azure Firewall.

  2. Selecteer console in het menu aan de linkerkant en selecteer vervolgens uw container die de curl opdracht ondersteunt.

  3. Selecteer /bin/sh in het opdrachtmenu Start up kiezen en selecteer Verbinding maken.

  4. Voer in de console het volgende uit curl -s https://mcr.microsoft.com. Als het goed is, ziet u een geslaagd antwoord wanneer u aan de acceptatielijst voor uw firewallbeleid hebt toegevoegd mcr.microsoft.com .

  5. Uitvoeren curl -s https://<FQDN_ADDRESS> voor een URL die niet overeenkomt met een van uw doelregels, zoals example.com. De voorbeeldopdracht zou zijn curl -s https://example.com. U krijgt geen antwoord, wat aangeeft dat uw firewall de aanvraag heeft geblokkeerd.

Volgende stappen

Verificatie in Azure Container Apps