Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Sanal ağları yapılandırmak için ihtiyacınız olan ağ güvenlik grupları (NSG), Kubernetes'in gerektirdiği ayarlara benzer.
Abonelik düzeyinde Azure Container Apps ortamına yönelik tüm gelen ve giden trafiği denetlemek için varsayılan NSG kurallarından daha kısıtlayıcı kurallarla NSG'ler aracılığıyla ağın güvenliğini sağlamaya yardımcı olabilirsiniz.
İş yükü profili ortamında, kullanıcı tanımlı yollar (UDR) ve giden trafiği güvenlik duvarıyla güvenli hale getirme desteklenir. Azure Güvenlik Duvarı ile giden trafiği kısıtlamak üzere Container Apps için UDR ayarlama kılavuzu için bkz. Kızlı yollarla Azure Container Apps giden trafiği denetleme.
Dış iş yükü profili ortamı kullandığınızda, Container Apps'e gelen trafik alt ağınız yerine yönetilen kaynak grubunda bulunan genel IP üzerinden yönlendirilir. Bu sınırlama, dış iş yükü profili ortamında NSG veya güvenlik duvarı üzerinden gelen trafiği kilitlemenin desteklenmediğini gösterir.
Eski Yalnızca tüketim ortamında Azure ExpressRoute desteklenmez ve özel UDF'ler sınırlı desteğe sahiptir. Yalnızca tüketim ortamında kullanılabilen UDR desteği düzeyi hakkında daha fazla bilgi için bkz . SSS.
NSG izin verme kuralları
Aşağıdaki tablolarda NSG izin verme kuralları koleksiyonunun nasıl yapılandırıldığı açıklanmaktadır. İhtiyacınız olan belirli kurallar ortam türünüze bağlıdır.
Gelen
Not
İş yükü profillerini kullandığınızda, gelen NSG kuralları yalnızca sanal ağınızdan geçen trafik için geçerlidir. Kapsayıcı uygulamalarınızı genel İnternet'ten gelen trafiği kabul etmek üzere ayarlarsanız, gelen trafik sanal ağ yerine genel uç noktadan geçer.
| Protokol | Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Açıklama |
|---|---|---|---|---|---|
| TCP | İstemci IP'leriniz | * | Kapsayıcı uygulamanızın alt ağı1 |
80, 31080 |
HTTP kullanırken istemci IP'lerinizin Container Apps'e erişmesine izin verin.
31080 , Container Apps ortamı uç ara sunucusunun HTTP trafiğine yanıt verdiği bağlantı noktasıdır. İç yük dengeleyicinin arkasındadır. |
| TCP | İstemci IP'leriniz | * | Kapsayıcı uygulamanızın alt ağı1 |
443, 31443 |
HTTPS kullanırken istemci IP'lerinizin Container Apps'e erişmesine izin verin.
31443 , Container Apps ortamı uç ara sunucusunun HTTPS trafiğine yanıt verdiği bağlantı noktasıdır. İç yük dengeleyicinin arkasındadır. |
| TCP | Azure Yük Dengeleyici | * | Kapsayıcı uygulamanızın alt ağı |
30000-32767
2 |
Azure Load Balancer'ın arka uç havuzlarını yoklamasına izin verin. |
| TCP | İstemci IP'leriniz | * | Kapsayıcı uygulamanızın alt ağı | Kullanıma sunulan bağlantı noktaları ve 30000-327672 |
Bu kural yalnızca TCP uygulamaları için geçerlidir. HTTP uygulamaları için gerekli değildir. |
1 Ortam oluştururken bu adresi parametre olarak geçirirsiniz. Örneğin, 10.0.0.0/21.
2 Kapsayıcı uygulamalarınızı oluştururken aralık içinde bir bağlantı noktası dinamik olarak ayrılırken tam aralığın olması gerekir. Kapsayıcı uygulamalarını oluşturduktan sonra gerekli bağlantı noktaları iki sabit, statik değerdir ve NSG kurallarınızı güncelleştirebilirsiniz.
Giden
| Protokol | Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Açıklama |
|---|---|---|---|---|---|
| TCP | Kapsayıcı uygulamanızın alt ağı | * | MicrosoftContainerRegistry |
443 |
Bu hizmet etiketi, sistem kapsayıcıları için Microsoft Yapıt Kayıt Defteri'ni temsil eder. |
| TCP | Kapsayıcı uygulamanızın alt ağı | * | AzureFrontDoor.FirstParty |
443 |
Bu hizmet etiketi, hizmet etiketinin MicrosoftContainerRegistry bağımlılığıdır. |
| Tümü | Kapsayıcı uygulamanızın alt ağı | * | Kapsayıcı uygulamanızın alt ağı | * | Bu kural, kapsayıcı uygulamanızın alt ağındaki IP'ler arasında iletişime izin verir. |
| TCP | Kapsayıcı uygulamanızın alt ağı | * | AzureActiveDirectory |
443 |
Yönetilen kimlik kullanıyorsanız bu gereklidir. |
| TCP | Kapsayıcı uygulamanızın alt ağı | * | AzureMonitor |
443 |
Bu kural yalnızca Azure İzleyici kullanırken gereklidir. Azure İzleyici giden aramalara izin verir. |
| TCP ve UDP | Kapsayıcı uygulamanızın alt ağı | * | 168.63.129.16 |
53 |
Bu kural, ortamın konak adını çözümlemek için Azure DNS kullanmasını sağlar. Azure DNS dns iletişimi, AzurePlatformDNS hizmet etiketi üzerinden hedeflenmediği sürece NSG'lere tabi değildir. DNS trafiğini engellemek için hizmet etiketine giden trafiği reddetmek için AzurePlatformDNS bir giden kuralı oluşturun. |
| TCP | Kapsayıcı uygulamanızın alt ağı1 | * | Kapsayıcı kayıt defteriniz | Kapsayıcı kayıt defterinizin bağlantı noktası | Kapsayıcı kayıt defterinizle iletişim kurmak için bu kural gereklidir. Örneğin, Azure Container Registry kullanırken hedef için AzureContainerRegistry ve AzureActiveDirectory gerekir. Özel uç noktalar kullanmıyorsanız, bağlantı noktası kapsayıcı kayıt defterinizin bağlantı noktasıdır. 2 |
| TCP | Kapsayıcı uygulamanızın alt ağı | * | Storage.<Region> |
443 |
Bu kural yalnızca görüntülerinizi barındırmak için Container Registry kullanırken gereklidir. |
1 Ortam oluştururken bu adresi parametre olarak geçirirsiniz. Örneğin, 10.0.0.0/21.
2 Sanal ağınızda yapılandırılmış NSG'lerle Container Registry kullanıyorsanız, Container Apps'in sanal ağ üzerinden görüntü çekmesine izin vermek için kapsayıcı kayıt defterinizde özel bir uç nokta oluşturun. Özel uç noktalarla yapılandırıldığında Container Registry için NSG kuralı eklemeniz gerekmez.
Dikkat edilmesi gereken noktalar
- HTTP sunucuları çalıştırıyorsanız ve
80bağlantı noktaları443eklemeniz gerekebilir. - Giden NSG kurallarında
168.63.129.16Azure DNS adresini açıkça reddetmeyin. Bunu yaparsanız, Container Apps ortamınız çalışmaz.