Сеть для приложений контейнеров Azure — акселератор целевой зоны

Контейнерные приложения отвечают за обновление ОС, масштабирование, процессы отработки отказа и выделение ресурсов в среде контейнерных приложений. Среды инкапсулируют одно или несколько контейнерных приложений или заданий, создавая безопасную границу через виртуальную сеть (виртуальную сеть).

По умолчанию виртуальная сеть автоматически создается для среды приложения-контейнера. Тем не менее, если требуется более подробный контроль над сетью, вы можете использовать предварительную виртуальную сеть при создании среды приложения контейнера.

Среды могут принимать внешние запросы или блокировать только внутренние запросы.

Внешние среды предоставляют приложения-контейнеры с помощью виртуального IP-адреса, доступного через общедоступный Интернет. Кроме того, внутренние среды предоставляют свои приложения-контейнеры по IP-адресу в виртуальной сети. Вы можете ограничить трафик в среде приложения-контейнера или через виртуальную сеть. Дополнительные сведения см. в статье "Вопросы безопасности" для акселератора целевой зоны для приложений контейнеров Azure.

Рекомендации

• Требования к подсети:

  • Выделенная подсеть необходима для среды в виртуальной сети. CIDR подсети должен быть /23 или больше для сред потребления, /27 или больше для сред профилей рабочих нагрузок.

• Управление IP-адресами:

  • В виртуальной сети зарезервировано 60 IP-адресов. Эта сумма может увеличиться по мере масштабирования среды контейнера по мере того, как каждая редакция приложения получает IP-адрес из подсети. Исходящие IP-адреса могут меняться со временем.

  • Поддерживаются только IPv4-адреса (IPv6 не поддерживается).

  • Управляемый ресурс общедоступного IP-адреса обрабатывает исходящие запросы и трафик управления независимо от наличия внешней или внутренней среды.

• Безопасность сети:

  • Вы можете заблокировать сеть через группы безопасности сети (NSG) с более строгими правилами, чем правила NSG по умолчанию, которые контролируют весь входящий и исходящий трафик для среды.

• Прокси-сервер и шифрование:

  • Приложения-контейнеры используют прокси-сервер Envoy в качестве пограничного HTTP-прокси. Все HTTP-запросы автоматически перенаправляются на HTTPs. Envoy завершает безопасность транспортного уровня (TLS) после пересечения границы. Взаимная безопасность уровня транспорта (mTLS) доступна только при использовании Dapr. Тем не менее, поскольку Envoy завершает MTLS, входящий вызовы от Envoy к приложениям контейнеров с поддержкой Dapr не шифруются.

• Рекомендации по DNS:

  • При развертывании среды приложения-контейнеры выполняют множество подстановок DNS. Некоторые из этих подстановок относятся к внутренним доменам Azure. Если вы принудительно перенаправите dns-трафик через пользовательское решение DNS, настройте DNS-сервер для перенаправления неразрешенных ЗАПРОСОВ DNS в Azure DNS.

  • Для приложений, работающих внутри контейнерных приложений, система использует зоны Azure Частная зона DNS для разрешения DNS-имени на внутренний IP-адрес. В зоне Частная зона DNS можно указать дикую карта (*) A запись на IP-адрес внутренней подсистемы балансировки нагрузки.

• Управление исходящим трафиком:

  • Исходящий сетевой трафик (исходящий трафик) должен направляться через Брандмауэр Azure или виртуальный кластер виртуальных (модуль) сети.

• Балансировка нагрузки между средами:

  • Чтобы запустить приложение в нескольких средах контейнерных приложений по соображениям устойчивости или близости, рекомендуется использовать глобальную службу балансировки нагрузки, например Диспетчер трафика Azure или Azure Front Door.

• Безопасность сети:

  • Используйте группы безопасности сети (NSG), чтобы защитить сеть и заблокировать ненужный входящий и исходящий трафик.

  • Используйте защиту от атак DDoS Azure для среды приложений контейнеров Azure.

  • Используйте Приватный канал для безопасных сетевых подключений и подключения на основе частного IP-адреса к другим управляемым службам Azure.

  • Убедитесь, что все конечные точки для решения (внутренние и внешние) принимают только зашифрованные подключения TLS (HTTPS).

  • Используйте брандмауэр веб-приложения с входящего трафика HTTPS/TCP для веб-приложений, имеющих доступ к Интернету и критически важных для безопасности, внутренних веб-приложений.

  • В некоторых сценариях может потребоваться предоставить веб-приложение "Приложения-контейнеры" непосредственно в Интернете и защитить его с помощью сторонних служб CDN/WAF.

Рекомендации

• Конфигурация сети. Развертывание приложений-контейнеров в пользовательской виртуальной сети для получения большего контроля над конфигурацией сети.

• Безопасное входящее подключение: при публикации служб, подключенных к Интернету, используйте Шлюз приложений Azure (WAF_v2 SKU) или Azure Front Door (с Брандмауэр веб-приложений) для защиты входящего подключения.

• Внутреннее управление трафиком. Используйте внутреннюю конфигурацию сети для таких служб, как Шлюз приложений Azure или Azure Front Door, обеспечивая трафик из подсистемы балансировки нагрузки в среду приложений контейнеров Azure использует внутреннее подключение.

• Предоставление доступа к приложениям: включение входящего трафика для предоставления приложения через HTTPs или TCP-порт.

Ссылки

• Сетевая архитектура в приложениях контейнеров Azure
• Защита пользовательской виртуальной сети в приложениях контейнеров Azure
• Сетевой прокси-сервер в приложениях контейнеров Azure
• Ограничения входящего IP-адреса в приложениях контейнеров Azure
• Поддержка определяемых пользователем маршрутов
• Настройка UDR с помощью Брандмауэр Azure