Rede para os Aplicativos de Contêiner do Azure - Landing Zone Accelerator

Os Aplicativos de Contêiner são responsáveis por cuidar das atualizações do sistema operacional, do dimensionamento, dos processos de failover e da alocação de recursos em um ambiente conhecido como Aplicativos de Contêiner. Os ambientes encapsulam um ou mais aplicativos ou trabalhos de contêiner, criando um limite seguro por meio de uma rede virtual (VNet).

Por padrão, uma rede virtual é criada automaticamente para seu ambiente de Aplicativo de Contêiner. No entanto, se você quiser um controle mais detalhado sobre sua rede, poderá usar uma rede virtual pré-existente ao criar seu ambiente de aplicativo de contêiner.

Os ambientes podem aceitar solicitações externas ou podem ser bloqueados apenas para solicitações internas .

Ambientes externos expõem aplicativos de contêiner usando um endereço IP virtual acessível pela Internet pública. Como alternativa, os ambientes internos expõem seus aplicativos de contêiner em um endereço IP dentro de sua rede virtual. Você pode restringir o tráfego dentro do ambiente do aplicativo de contêiner ou por meio da rede virtual. Para obter mais informações, consulte Considerações de segurança para o Acelerador de Zona de Aterrissagem de Aplicativos de Contêiner do Azure.

Considerações

• Requisitos da sub-rede:

  • Uma sub-rede dedicada é necessária para um ambiente na rede virtual. O CIDR da sub-rede deve ser /23 ou maior para ambientes somente de consumo ou maior para ambientes /27 de perfis de carga de trabalho.

• Gerenciamento de endereço IP:

  • Uma base de 60 IPs é reservada em sua rede virtual. Esse valor pode aumentar à medida que seu ambiente de contêiner é dimensionado à medida que cada revisão de aplicativo obtém um endereço IP da sub-rede. Os IPs de saída podem mudar com o tempo.

  • Apenas endereços IPv4 são suportados (IPv6 não é suportado).

  • Um recurso IP público gerenciado lida com solicitações de saída e tráfego de gerenciamento, independentemente de você ter um ambiente externo ou interno.

• Segurança de Rede:

  • Você pode bloquear uma rede por meio de grupos de segurança de rede (NSG) com regras mais restritivas do que as regras NSG padrão que controlam todo o tráfego de entrada e saída de um ambiente.

• Proxy e criptografia:

  • Os aplicativos de contêiner usam um proxy Envoy como um proxy HTTP de borda. Todas as solicitações HTTP são redirecionadas automaticamente para HTTPs. O Envoy encerra a segurança da camada de transporte (TLS) depois de cruzar seu limite. A segurança da camada de transporte mútuo (mTLS) está disponível somente ao usar o Dapr. No entanto, como o Envoy encerra o mTLS, as chamadas de entrada do Envoy para aplicativos de contêiner habilitados para Dapr não são criptografadas.

• Considerações sobre DNS:

  • À medida que um ambiente é implantado, os Aplicativos de Contêiner executam muitas pesquisas de DNS. Algumas dessas pesquisas se referem a domínios internos do Azure. Se você forçar o tráfego DNS por meio de sua solução DNS personalizada, configure seu servidor DNS para encaminhar consultas DNS não resolvidas para o DNS do Azure.

  • Para aplicativos executados internamente em Aplicativos de Contêiner, o sistema depende das Zonas DNS Privadas do Azure para resolver o nome DNS para o endereço IP interno. Dentro da Zona DNS Privada, você pode apontar um registro curinga (*) A para o endereço IP do balanceador de carga interno.

• Gerenciamento de tráfego de saída:

  • O tráfego de rede de saída (saída) deve ser roteado por meio de um Firewall do Azure ou cluster de dispositivo virtual de rede.

• Balanceamento de carga entre ambientes:

  • Para executar seu aplicativo em vários ambientes de Aplicativos de Contêiner por motivos de resiliência ou proximidade, considere usar um serviço de balanceamento de carga global, como o Gerenciador de Tráfego do Azure ou o Azure Front Door.

• Segurança de Rede:

  • Use grupos de segurança de rede (NSG) para proteger sua rede e bloquear o tráfego de entrada e saída desnecessário.

  • Use a Proteção contra DDoS do Azure para o ambiente de aplicativos de contêiner do Azure.

  • Use o Link Privado para conexões de rede seguras e conectividade privada baseada em IP com outros serviços gerenciados do Azure.

  • Certifique-se de que todos os pontos de extremidade da solução (internos e externos) aceitem apenas conexões criptografadas TLS (HTTPS).

  • Use um firewall de aplicativo Web com a entrada HTTPS/TCP para aplicativos Web internos voltados para a Internet e críticos para a segurança.

  • Em alguns cenários, convém expor um aplicativo Web de Aplicativos de Contêiner diretamente à Internet e protegê-lo com serviços CDN/WAF de terceiros.

Recomendações

• Configuração de rede: implante seus aplicativos de contêiner em uma rede virtual personalizada para obter mais controle sobre a configuração de rede.

• Conectividade de entrada segura: ao publicar serviços voltados para a Internet, use o Azure Application Gateway (WAF_v2 SKU) ou o Azure Front Door (com o Web Application Firewall) para proteger a conectividade de entrada.

• Gerenciamento de tráfego interno: use uma configuração de rede interna para serviços como o Gateway de Aplicativo do Azure ou o Azure Front Door, garantindo que o tráfego do balanceador de carga para o Ambiente de Aplicativos de Contêiner do Azure use uma conexão interna.

• Expondo aplicativos: habilite a entrada para expor seu aplicativo por HTTPs ou porta TCP.

Referências

• Arquitetura de rede nos Aplicativos de Contêiner do Azure
• Protegendo uma VNET personalizada em Aplicativos de Contêiner do Azure
• Proxy de rede em aplicativos de contêiner do Azure
• Restrições de entrada de IP nos Aplicativos de Contêiner do Azure
• Suporte para rotas definidas pelo usuário
• Configurar UDR com o Firewall do Azure