Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как интегрировать среду Контейнеры приложений Azure с Брандмауэр Azure с помощью определяемых пользователем маршрутов (UDR). С помощью UDR можно управлять маршрутизацией трафика в виртуальной сети. Вы можете направлять весь исходящий трафик из приложений-контейнеров через Брандмауэр Azure, что обеспечивает центральную точку мониторинга трафика и применения политик безопасности. Эта настройка помогает защитить приложения-контейнеры от потенциальных угроз. Он также помогает соответствовать требованиям к соответствию, предоставляя подробные журналы и возможности мониторинга.
Определяемые пользователем маршруты (UDR)
Определяемые пользователем маршруты (UDR) и управляемый исходящий трафик через шлюз NAT поддерживаются только в среде рабочих нагрузок.
Вы можете использовать UDR для ограничения исходящего трафика из приложения контейнера через Брандмауэр Azure или другие сетевые устройства. Дополнительные сведения см. в разделе Контроль исходящего трафика в Контейнеры приложений Azure с пользовательскими маршрутами.
Настройка UDR выполняется вне области среды приложений-контейнеров.
Azure создает таблицу маршрутов по умолчанию для виртуальных сетей при создании. Реализуя определяемую пользователем таблицу маршрутов, вы можете управлять маршрутизацией трафика в виртуальной сети. Например, можно создать UDR, ограничивающий исходящий трафик из приложения-контейнера, перенаправив его в Брандмауэр Azure.
При использовании UDR с Брандмауэр Azure в Контейнеры приложений Azure необходимо добавить следующие правила приложения или сети в список разрешений для брандмауэра в зависимости от того, какие ресурсы вы используете.
Замечание
Необходимо настроить только правила приложения или сетевые правила в зависимости от требований вашей системы. Настройка обоих одновременно не требуется.
Правила применения
Правила приложения разрешают или запрещают трафик на основе уровня приложения. В зависимости от сценария требуются следующие правила приложения брандмауэра для исходящего трафика.
| Сценарии | Полные доменные имена | Описание |
|---|---|---|
| Все сценарии |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Эти полные доменные имена реестра контейнеров Майкрософт (MCR) используются для Контейнеры приложений Azure. Эти правила приложения или правила сети для MCR должны быть добавлены в список разрешений при использовании Контейнеры приложений Azure с Брандмауэр Azure. |
| Все сценарии |
packages.aks.azure.com, acs-mirror.azureedge.net |
Эти полные доменные имена необходимы базовому кластеру AKS для скачивания и установки бинарных файлов Kubernetes и Azure CNI. Эти правила приложения или правила сети для MCR должны быть добавлены в список разрешений при использовании Контейнеры приложений Azure с Брандмауэр Azure. Дополнительные сведения см. в разделе глобальные обязательные FQDN и правила приложения для Azure |
| Реестр контейнеров Azure (ACR) |
Ваш адрес ACR, *.blob.core.windows.net, login.microsoft.com |
Эти FQDN (полные доменные имена) требуются при использовании Контейнеры приложений Azure с ACR и Брандмауэр Azure. |
| Azure Key Vault |
Your-Azure-Key-Vault-address, login.microsoft.com |
Эти полные доменные имена требуются в дополнение к тегу службы, необходимому для правила сети Azure Key Vault. |
| Управляемая идентичность |
*.identity.azure.net
login.microsoftonline.com
*.login.microsoftonline.com
*.login.microsoft.com
|
Эти полные доменные имена требуются при использовании управляемого удостоверения с Брандмауэр Azure в Контейнеры приложений Azure. |
| Служебная шина Azure | *.servicebus.windows.net | Эти полные доменные имена требуются, если приложения-контейнеры взаимодействуют с Служебная шина Azure (очередями, темами или подписками) через Брандмауэр Azure. |
| Панель мониторинга Aspire | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Это полное доменное имя требуется при использовании панели мониторинга Aspire в среде, настроенной с виртуальной сетью. Обновите полное доменное имя (FQDN) в соответствии с регионом вашего приложения контейнера. |
| Реестр Docker Hub |
hub.docker.com
registry-1.docker.io
production.cloudflare.docker.com
|
Если вы используете реестр Docker Hub и хотите получить доступ к нему через брандмауэр, необходимо добавить эти полные доменные имена в брандмауэр. |
| Служебная шина Azure | *.servicebus.windows.net |
Это полное доменное имя требуется при использовании Служебная шина Azure с Контейнеры приложений Azure и Брандмауэр Azure. |
| Azure Китай |
mcr.azure.cn, *.data.mcr.azure.cn |
Контейнеры приложений Azure в среде Azure China используют эти конечные точки реестра контейнеров Майкрософт (MCR) для загрузки изображений контейнеров. При использовании Брандмауэр Azure необходимо разрешить соответствующие правила приложения или сетевые правила для MCR. Это требование применяется только к среде Azure Китай. |
Правила сети
Правила сети разрешают или запрещают трафик на основе сетевого и транспортного уровня. При использовании UDR с Брандмауэр Azure в Контейнеры приложений Azure необходимо добавить следующие правила сети брандмауэра исходящего трафика в зависимости от сценария.
| Сценарии | Сервисный тег | Описание |
|---|---|---|
| Все сценарии |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Эти теги службы для реестра контейнеров Майкрософт (MCR) используются в Контейнеры приложений Azure. Эти сетевые правила или правила приложения для MCR должны быть добавлены в список разрешений при использовании Контейнеры приложений Azure с Брандмауэр Azure. |
| Реестр контейнеров Azure (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
При использовании ACR с Контейнеры приложений Azure необходимо настроить эти сетевые правила, используемые Реестр контейнеров Azure. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
В дополнение к полному доменному имени для правила сети Azure Key Vault требуются эти теги службы. |
| Управляемая идентичность | AzureActiveDirectory |
При использовании управляемого удостоверения с Контейнеры приложений Azure необходимо настроить эти сетевые правила, используемые управляемым удостоверением. |
| Служебная шина Azure | ServiceBus |
Требуется, когда приложения-контейнеры получают доступ к Служебная шина Azure с помощью тегов Брандмауэр Azure и служб. |
Замечание
Сведения о Azure ресурсах, которые вы используете с Брандмауэр Azure не указаны в этой статье, см. в документации по тегам службы.