Controlar o tráfego de saída com as rotas definidas pelo usuário

Observação

Esse recurso só tem suporte para o tipo de ambiente de perfis de carga de trabalho.

Este artigo mostra como usar as rotas definidas pelo usuário (UDR) com o Firewall do Azure para bloquear o tráfego de saída de seus Aplicativos de Contêiner para os recursos de back-end do Azure ou outros recursos de rede.

O Azure cria uma tabela de rotas padrão para suas redes virtuais no momento da criação. Ao implementar uma tabela de rotas definida pelo usuário, você pode controlar como o tráfego é roteado em sua rede virtual. Neste guia, você configura o UDR na rede virtual dos Aplicativos de Contêiner para restringir o tráfego de saída com o Firewall do Azure.

Você também pode usar um Gateway da NAT ou qualquer outro dispositivo de terceiros em vez do Firewall do Azure.

Veja como configurar o UDR com o Firewall do Azure em redes nos Aplicativos de Contêiner do Azure para obter mais informações.

Pré-requisitos

• Ambiente de perfis de carga de trabalho: um ambiente de perfis de carga de trabalho integrado a uma rede virtual personalizada. Para obter mais informações, confira o guia de como criar um ambiente de aplicativo de contêiner no ambiente de perfis de carga de trabalho.

• Suporte curl: seu aplicativo de contêiner deve ter um contêiner que dê suporte a comandos curl. Neste tutorial, você usará curl para verificar se o aplicativo de contêiner foi implantado corretamente. Se você não tiver um aplicativo de contêiner com o curl implantado, poderá implantar o contêiner a seguir que dá suporte a curl, mcr.microsoft.com/k8se/quickstart:latest.

Criar a sub-rede do firewall

É necessária uma sub-rede chamada AzureFirewallSubnet para implantar um firewall na rede virtual integrada.

1. Abra a rede virtual integrada ao seu aplicativo no portal do Azure.

2. No menu à esquerda, selecione Sub-redes e, em seguida, selecione + Sub-rede.

3. Insira os valores a seguir:

   Configuração	Ação
   Nome	Insira AzureFirewallSubnet.
   Intervalo de endereços da sub-rede	Use o padrão ou especifique um intervalo de sub-rede /26 ou maior.

4. Selecione Salvar

Implantar o firewall

1. No menu do portal do Azure ou na Página inicial, selecione Criar um recurso.

2. Pesquise Firewall.

3. Selecione Firewall.

4. Selecione Criar.

5. Na página Criar um Firewall, defina o firewall com as seguintes configurações.

   Configuração	Ação
   Grupo de recursos	Insira o mesmo grupo de recursos que a rede virtual integrada.
   Nome	Insira um nome de sua preferência
   Região	Selecione a mesma região que a rede virtual integrada.
   Política de firewall	Crie um selecionando Adicionar novo.
   Rede virtual	Selecione a rede virtual integrada.
   Endereço IP público	Selecione um endereço existente ou crie um, selecionando Adicionar novo.

6. Selecione Examinar + criar. Depois da validação, selecione Criar. A etapa de validação pode levar alguns minutos para ser concluída.

7. Depois que a implantação for concluída, selecione Ir para o Recurso.

8. Na página Visão geral do firewall, copie o IP privado do firewall. Esse endereço IP é usado como o endereço do próximo salto ao criar a regra de roteamento da rede virtual.

Rotear todo o tráfego para o firewall

Suas redes virtuais no Azure têm tabelas de rotas padrão em vigor quando você cria a rede. Ao implementar uma tabela de rotas definida pelo usuário, você pode controlar como o tráfego é roteado em sua rede virtual. Nas etapas a seguir, você cria um UDR para rotear todo o tráfego para o Firewall do Azure.

1. No menu do portal do Azure ou na Página inicial, selecione Criar um recurso.

2. Pesquise Tabelas de rotas.

3. Selecione Tabelas de rotas.

4. Selecione Criar.

5. Insira os valores a seguir:

   Configuração	Ação
   Região	Selecione a região como sua rede virtual.
   Nome	Insira um nome.
   Propagar as rotas de gateway	Selecione Não

6. Selecione Examinar + criar. Depois da validação, selecione Criar.

7. Depois que a implantação for concluída, selecione Ir para o Recurso.

8. No menu à esquerda, selecione Rotas e, em seguida, escolha Adicionar para criar uma nova tabela de rotas

9. Configure a tabela de rotas com as seguintes configurações:

   Configuração	Ação
   Prefixo de endereço	Insira 0.0.0.0/0
   Tipo do próximo salto	Selecione Dispositivo virtual
   Endereço do próximo salto	Insira o IP privado do Firewall salvo em Implantar o firewall.

10. Selecione Adicionar para criar a rota.

11. No menu à esquerda, selecione Sub-redes e, em seguida, selecione Associar para associar sua tabela de rotas à sub-rede do aplicativo de contêiner.

12. Configure Associar sub-rede com os seguintes valores:

    Configuração	Ação
    Rede virtual	Selecione a rede virtual do seu aplicativo de contêiner.
    Sub-rede	Selecione a sub-rede do aplicativo de contêiner.

13. Selecione OK.

Configurar políticas de firewall

Observação

Ao usar o UDR com o Firewall do Azure nos Aplicativos de Contêiner do Azure, você precisará adicionar determinadas marcas de serviço e FQDN à lista de permitidos do firewall. Consulte Configurar o UDR com o Firewall do Azure para determinar quais marcas de serviço você precisa.

Agora, todo o tráfego de saída do seu aplicativo de contêiner é roteado para o firewall. Atualmente, o firewall ainda permite todo o tráfego de saída. Para gerenciar o tráfego de saída permitido ou negado, você precisará configurar as políticas de firewall.

1. No recurso Firewall do Azure na página de Visão geral, selecione Política de firewall

2. No menu à esquerda da página de política de firewall, selecione Regras do aplicativo.

3. Selecione Adicionar uma coleção de regras.

4. Insira os seguintes valores para a Coleção de regras:

   Configuração	Ação
   Nome	Insira um nome de coleção
   Tipo de coleção de regras	Selecione Aplicativo
   Prioridade	Insira a prioridade, como 110
   Ação da coleção de regras	selecione Permitir
   Grupo da coleção de regras	Selecione DefaultApplicationRuleCollectionGroup

5. Em Regras, insira os seguintes valores

   Configuração	Ação
   Nome	Insira um nome para a regra
   Tipo de origem	Selecione Endereço IP
   Origem	Inserir *
   Protocolo	Insira http:80,https:443
   Tipo de destino	Selecione FQDN.
   Destino	Insira mcr.microsoft.com,*.data.mcr.microsoft.com. Se você estiver usando o ACR, adicione seu endereço do ACR e *.blob.core.windows.net.
   Ação	selecione Permitir

   Observação

   Se você estiver usando o registro do Docker Hub e quiser acessá-lo pelo firewall, precisará adicionar os seguintes FQDNs à sua lista de destinos de regras: hub.docker.com, registry-1.docker.io e production.cloudflare.docker.com.

6. Selecione Adicionar.

Verifique se o firewall está bloqueando o tráfego de saída

Para verificar se a configuração do firewall está configurada corretamente, use o comando curl do console de depuração do aplicativo.

1. Navegue até o Aplicativo de Contêiner configurado com o Firewall do Azure.

2. No menu à esquerda, selecione Console, e escolha o contêiner que dá suporte ao comando curl.

3. No menu Escolher comando de inicialização, selecione /bin/sh, e escolha Conectar.

4. No console, execute curl -s https://mcr.microsoft.com. Você deverá ver uma resposta bem-sucedida ao adicionar mcr.microsoft.com à lista de permitidos de suas políticas de firewall.

5. Execute curl -s https://<FQDN_ADDRESS> para um URL que não corresponde a nenhuma das suas regras de destino, como example.com. O comando de exemplo seria curl -s https://example.com. Você não deve obter nenhuma resposta, o que indica que o firewall bloqueou a solicitação.

Próximas etapas

Autenticação no Aplicativos de Contêiner do Azure