Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, kullanıcı tanımlı yolları (UDR) kullanarak Azure Container Apps ortamınızı Azure Güvenlik Duvarı ile tümleştirmeye yönelik kavramlar açıklanmaktadır. UDR'leri kullanarak trafiğin sanal ağınızda nasıl yönlendirilmiş olduğunu denetleyebilirsiniz.
Kapsayıcı uygulamalarınızdan giden tüm trafiği, trafiği izlemek ve güvenlik ilkelerini uygulamak için merkezi bir nokta sağlayan Azure Güvenlik Duvarı aracılığıyla yönlendirebilirsiniz. Bu kurulum, kapsayıcı uygulamalarınızı olası tehditlere karşı korumaya yardımcı olur. Ayrıca ayrıntılı günlükler ve izleme özellikleri sağlayarak uyumluluk gereksinimlerini karşılamanıza yardımcı olur.
Kullanıcı tanımlı yollar
Azure NAT Gateway aracılığıyla UDR'ler ve denetimli çıkış yalnızca bir iş yükü profili ortamında desteklenir.
kapsayıcı uygulamanızdan giden trafiği Azure Güvenlik Duvarı veya diğer ağ gereçleri aracılığıyla kısıtlamak için UDR kullanın. Daha fazla bilgi için bkz. Azure Container Apps'te giden trafiği kullanıcı tanımlı rotalarla denetleme.
Container Apps ortam kapsamının dışında bir UDR yapılandırırsınız.
Azure, bu ağları oluştururken sanal ağlarınız için varsayılan bir yönlendirme tablosu oluşturur. Kullanıcı tanımlı bir yol tablosu uygulayarak trafiğin sanal ağınızda nasıl yönlendirilmiş olduğunu denetleyebilirsiniz. Örneğin, kapsayıcı uygulamanızdan giden trafiği Azure Güvenlik Duvarı yönlendirerek kısıtlayan bir UDR oluşturabilirsiniz.
Container Apps'te Azure Güvenlik Duvarı ile UDR kullandığınızda, hangi kaynakları kullandığınıza bağlı olarak güvenlik duvarınızın izin verilenler listesine uygulama veya ağ kuralları ekleyin.
Uyarı
Sisteminizin gereksinimlerine bağlı olarak uygulama kurallarını veya ağ kurallarını yapılandırın. Her ikisini de aynı anda yapılandırmak gerekli değildir.
Uygulama kuralları
Uygulama kuralları, uygulama katmanına göre trafiğe izin verir veya trafiği reddeder. Senaryoya göre, aşağıdaki giden güvenlik duvarı uygulama kuralları ve bunlara ait tam nitelikli etki alanı adları (FQDN'ler) gereklidir.
| Senaryo | Tam Nitelikli Alan Adları (FQDN'ler) | Açıklama |
|---|---|---|
| Tüm senaryolar |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Container Apps, Microsoft Artifact Registry için bu FQDN'leri kullanır. Azure Güvenlik Duvarı ile Container Apps kullanırken, bu uygulama kurallarını veya Artifact Registry için ağ kurallarını izin listesine ekleyin. |
| Tüm senaryolar |
packages.aks.azure.com, acs-mirror.azureedge.net |
Azure Kubernetes Service'in (AKS) temelindeki küme, Kubernetes ve Azure Kapsayıcı Ağ Arabirimi (CNI) ikili dosyalarını indirmek ve yüklemek için bu FQDN'leri gerektirir. Azure Güvenlik Duvarı ile Container Apps kullanırken, bu uygulama kurallarını veya Artifact Registry için ağ kurallarını izin listesine ekleyin. Daha fazla bilgi için bkz. Azure Global gerekli FQDN ve uygulama kuralları. |
| Azure Container Registry (Azure Konteyner Kayıt Defteri) |
<your-Container-Registry-address>, *.blob.core.windows.net, login.microsoft.com |
Container Registry ve Azure Güvenlik Duvarı ile Container Apps kullanırken bu FQDN'ler gereklidir. |
| Azure Key Vault |
<your-Key-Vault-address>, login.microsoft.com |
Bu FQDN'ler, Key Vault için ağ kuralı için gereken hizmet etiketine ek olarak gereklidir. |
| İdare edilen kimlik |
*.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com, *.login.microsoft.com |
Bu FQDN'ler, Container Apps'te Azure Güvenlik Duvarı ile yönetilen kimlik kullanırken gereklidir. |
| Azure Service Bus - Bulut tabanlı mesajlaşma hizmeti | *.servicebus.windows.net |
Kapsayıcı uygulamalarınız Azure Güvenlik Duvarı aracılığıyla Service Bus (kuyruklar, konular veya abonelikler) ile iletişim kurarken bu FQDN'ler gereklidir. |
| Aspire kontrol paneli | https://<YOUR-CONTAINER-APP-REGION>.ext.azurecontainerapps.dev |
Bu FQDN, Aspire panosunu sanal ağ ile yapılandırılmış bir ortamda kullanırken gereklidir. FQDN'yi kapsayıcı uygulamanızın bölgesiyle güncelleştirin. |
| Docker Hub kayıt defteri |
hub.docker.com, registry-1.docker.io, production.cloudflare.docker.com |
Docker Hub kayıt defteri kullanıyorsanız ve güvenlik duvarı üzerinden erişmek istiyorsanız, bu FQDN'leri güvenlik duvarına ekleyin. |
| Azure Service Bus - Bulut tabanlı mesajlaşma hizmeti | *.servicebus.windows.net |
Bu FQDN, Container Apps ve Azure Güvenlik Duvarı ile Service Bus kullanırken gereklidir. |
| 21Vianet tarafından işletilen Azure (Çin'deki Azure): Microsoft Artifact Registry |
mcr.azure.cn, *.data.mcr.azure.cn |
Bu Artifact Registry uç noktaları, Çin ortamındaki Azure kapsayıcı görüntülerini çekmek için kullanılır. |
| Çin'de Azure: AKS altyapısı |
mcr.azk8s.cn, mirror.azk8s.cn |
Bu Çin'e özgü AKS aynaları, Kubernetes ikili dosyalarını ve kapsayıcı görüntülerini indirmek için kullanılır. |
| Çin'de Azure: Azure Container Registry | *.azurecr.cn |
Bu FQDN, Çin ortamındaki Azure Container Registry kullanırken gereklidir. |
| Çin'de Azure: yönetilen kimlik |
*.identity.azure.cn, login.chinacloudapi.cn, *.login.chinacloudapi.cn |
Bu FQDN'ler, Çin ortamındaki Azure yönetilen kimlik kullanırken gereklidir. |
| Çin'de Azure: Azure Key Vault |
*.vault.azure.cn, login.chinacloudapi.cn |
Bu FQDN'ler, Çin ortamındaki Azure Key Vault kullanırken gereklidir. |
| Çin'de Azure: Azure yönetimi |
management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn |
Bu FQDN'ler, Çin ortamındaki Azure Azure Resource Manager API çağrıları ve platform tarafından yönetilen depolama hesapları için gereklidir. |
| Çin'de Azure: izleme |
*.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn |
Bu FQDN'ler, Çin ortamındaki Azure platform izleme ve telemetri alımı için gereklidir. |
| Çin'de Azure: Container Apps platformu |
*.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn |
Bu FQDN'ler, Çin ortamındaki Azure Container Apps bölgesel denetim düzlemi ve uzantılar API'si için gereklidir. |
| Çin'de Azure: Aspire panosu | *.azurecontainerapps.cn |
Bu FQDN'ler, Çin ortamındaki Azure Aspire panosunu veya uygulama FQDN'lerini kullanırken gereklidir. |
Uyarı
Çin FQDN'lerindeki Azure yalnızca Çin ortamındaki Azure için geçerlidir. Docker Hub FQDN'ler küresel olarak aynıdır, ancak Çin'den erişim güvenilir olmayabilir. Bunun yerine görüntüleri Container Registry'ye (*.azurecr.cn) yansıtmayı göz önünde bulundurun.
Ağ kuralları
Ağ kuralları, ağ ve aktarım katmanına göre trafiğe izin verir veya trafiği reddeder. Container Apps'te Azure Güvenlik Duvarı ile bir UDR kullandığınızda senaryoya göre aşağıdaki giden güvenlik duvarı ağ kurallarını ekleyin.
| Senaryo | Hizmet etiketleri | Açıklama |
|---|---|---|
| Tüm senaryolar |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Container Apps, Microsoft Artifact Registry için bu hizmet etiketlerini kullanır. Container Apps'in Artifact Registry kullanmasına izin vermek için, Azure Güvenlik Duvarı ile Container Apps kullanırken bu ağ kurallarını veya Artifact Registry için uygulama kurallarını izin ver listesine ekleyin. |
| Azure Container Registry (Azure Konteyner Kayıt Defteri) |
AzureContainerRegistry, AzureActiveDirectory |
Container Registry'yi Container Apps ile kullandığınızda, Container Registry'nin kullandığı bu ağ kurallarını yapılandırın. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Bu hizmet etiketleri, Key Vault için ağ kuralı için FQDN'ye ek olarak gereklidir. |
| İdare edilen kimlik | AzureActiveDirectory |
Container Apps ile yönetilen kimlik kullandığınızda, yönetilen kimliğin kullandığı bu ağ kurallarını yapılandırın. |
| Azure Service Bus - Bulut tabanlı mesajlaşma hizmeti | ServiceBus |
Kapsayıcı uygulamalarınız Azure Güvenlik Duvarı ve hizmet etiketlerini kullanarak Service Bus eriştiğinde bu hizmet etiketi gereklidir. |
Uyarı
Bu makalede listelenmeyen Azure Güvenlik Duvarı ile kullandığınız Azure kaynaklar için service tags belgelerine bakın.