Aracılığıyla paylaş

Kullanıcı tanımlı yollar ile Azure Container Apps'te giden trafiği denetleme

  • Makale

Not

Bu özellik yalnızca iş yükü profilleri ortam türü için desteklenir.

Bu makalede, Container Apps'inizden arka uç Azure kaynaklarına veya diğer ağ kaynaklarına giden trafiği kilitlemek için Azure Güvenlik Duvarı ile kullanıcı tanımlı yolların (UDR) nasıl kullanılacağı gösterilmektedir.

Azure, oluşturma işleminde sanal ağlarınız için varsayılan bir yol tablosu oluşturur. Kullanıcı tanımlı bir yol tablosu uygulayarak trafiğin sanal ağınızda nasıl yönlendirilmiş olduğunu denetleyebilirsiniz. Bu kılavuzda, Azure Güvenlik Duvarı ile giden trafiği kısıtlamak için Container Apps sanal ağında UDR kurulumunuz.

Azure Güvenlik Duvarı yerine nat ağ geçidi veya diğer üçüncü taraf gereçleri de kullanabilirsiniz.

Daha fazla bilgi için bkz. Azure Container Apps'te ağ Azure Güvenlik Duvarı ile UDR'yi yapılandırma.

Önkoşullar

  • İş yükü profilleri ortamı: Özel bir sanal ağ ile tümleştirilmiş bir iş yükü profili ortamı. Daha fazla bilgi için iş yükü profilleri ortamında kapsayıcı uygulaması ortamı oluşturma kılavuzuna bakın.

  • curl destek: Kapsayıcı uygulamanızın komutları destekleyen curl bir kapsayıcısı olmalıdır. Bu nasıl yapılır bölümünde, kapsayıcı uygulamasının doğru dağıtıldığından emin olmak için kullanırsınız curl . Dağıtılan bir kapsayıcı uygulamanız curl yoksa, destekleyen aşağıdaki kapsayıcıyı curlmcr.microsoft.com/k8se/quickstart:latestdağıtabilirsiniz.

Güvenlik duvarı alt akını oluşturma

Tümleşik sanal ağa güvenlik duvarı dağıtmak için AzureFirewallSubnet adlı bir alt ağ gereklidir.

  1. Azure portalında uygulamanızla tümleştirilmiş sanal ağı açın.

  2. Soldaki menüden Alt ağlar'ı ve ardından + Alt Ağ'ı seçin.

  3. Aşağıdaki değerleri girin:

    Ayar Eylem
    Ad AzureFirewallSubnet girin.
    Alt ağ adres aralığı Varsayılan değeri kullanın veya /26 veya daha büyük bir alt ağ aralığı belirtin.

  4. Kaydet'i seçin.

Güvenlik duvarını dağıtma

  1. Azure portalı menüsünde veya Giriş sayfasında Kaynak oluştur'u seçin.

  2. Güvenlik Duvarı'nı arayın.

  3. Güvenlik Duvarı'nı seçin.

  4. Oluştur'u belirleyin.

  5. Güvenlik Duvarı Oluştur sayfasında güvenlik duvarını aşağıdaki ayarlarla yapılandırın.

    Ayar Eylem
    Kaynak grubu Tümleşik sanal ağ ile aynı kaynak grubunu girin.
    Ad Tercihinize göre bir ad girin
    Bölge Tümleşik sanal ağ ile aynı bölgeyi seçin.
    Güvenlik duvarı ilkesi Yeni ekle'yi seçerek bir tane oluşturun.
    Sanal ağ Tümleşik sanal ağı seçin.
    Genel IP adresi Mevcut bir adresi seçin veya Yeni ekle'yi seçerek bir adres oluşturun.

  6. Gözden geçir ve oluştur’u seçin. Doğrulama tamamlandıktan sonra Oluştur'u seçin. Doğrulama adımının tamamlanması birkaç dakika sürebilir.

  7. Dağıtım tamamlandıktan sonra Kaynağa Git'i seçin.

  8. Güvenlik duvarının Genel Bakış sayfasında Güvenlik duvarı özel IP'sini kopyalayın. Bu IP adresi, sanal ağ için yönlendirme kuralı oluşturulurken sonraki atlama adresi olarak kullanılır.

Tüm trafiği güvenlik duvarına yönlendirme

Azure'daki sanal ağlarınızda, ağı oluşturduğunuzda varsayılan yönlendirme tabloları bulunur. Kullanıcı tanımlı bir yol tablosu uygulayarak trafiğin sanal ağınızda nasıl yönlendirilmiş olduğunu denetleyebilirsiniz. Aşağıdaki adımlarda, tüm trafiği Azure Güvenlik Duvarı yönlendirmek için bir UDR oluşturursunuz.

  1. Azure portalı menüsünde veya Giriş sayfasında Kaynak oluştur'u seçin.

  2. Route tablolarını arayın.

  3. Tabloları Yönlendir'i seçin.

  4. Oluştur'u belirleyin.

  5. Aşağıdaki değerleri girin:

    Ayar Eylem
    Bölge Sanal ağınız olarak bölgeyi seçin.
    Ad Bir ad girin.
    Ağ geçidi yollarını yayma Hayır'ı seçin

  6. Gözden geçir ve oluştur’u seçin. Doğrulama tamamlandıktan sonra Oluştur'u seçin.

  7. Dağıtım tamamlandıktan sonra Kaynağa Git'i seçin.

  8. Soldaki menüden Yollar'ı ve ardından Ekle'yi seçerek yeni bir yol tablosu oluşturun

  9. Yol tablosunu aşağıdaki ayarlarla yapılandırın:

    Ayar Eylem
    Adres ön eki 0.0.0.0/0 girin
    Sonraki atlama türü Sanal gereç'i seçin
    Sonraki atlama adresi Güvenlik duvarını dağıtma bölümüne kaydettiğiniz Güvenlik Duvarı Özel IP'sini girin.

  10. Yolu oluşturmak için Ekle'yi seçin.

  11. Soldaki menüden Alt ağlar'ı ve ardından yol tablonuzu kapsayıcı uygulamasının alt ağıyla ilişkilendirmek için İlişkilendir'i seçin.

  12. Alt ağı ilişkilendir'i aşağıdaki değerlerle yapılandırın:

    Ayar Eylem
    Sanal ağ Kapsayıcı uygulamanız için sanal ağı seçin.
    Alt ağ Kapsayıcı uygulaması için alt ağınızı seçin.

  13. Tamam'ı seçin.

Güvenlik duvarı ilkelerini yapılandırma

Not

Azure Container Apps'te Azure Güvenlik Duvarı ile UDR kullanırken, güvenlik duvarı için izin verilenler listesine belirli FQDN'leri ve hizmet etiketlerini eklemeniz gerekir. Hangi hizmet etiketlerine ihtiyacınız olduğunu belirlemek için lütfen UDR'yi Azure Güvenlik Duvarı ile yapılandırma bölümüne bakın.

Artık kapsayıcı uygulamanızdan gelen tüm giden trafik güvenlik duvarına yönlendirilir. Şu anda güvenlik duvarı tüm giden trafiğe izin verir. Hangi giden trafiğe izin verileceğini veya trafiğin reddedileceğini yönetmek için güvenlik duvarı ilkelerini yapılandırmanız gerekir.

  1. Genel Bakış sayfasındaki Azure Güvenlik Duvarı kaynağınızda Güvenlik duvarı ilkesi'ni seçin

  2. Güvenlik duvarı ilkesi sayfasının sol tarafındaki menüden Uygulama Kuralları'nı seçin.

  3. Kural koleksiyonu ekle'yi seçin.

  4. Kural Koleksiyonu için aşağıdaki değerleri girin:

    Ayar Eylem
    Ad Koleksiyon adı girin
    Kural koleksiyonu türü Uygulama Seç
    Öncelik Önceliği 110 gibi girin
    Kural koleksiyonu eylemi İzin Ver'i seçin
    Kural koleksiyonu grubu DefaultApplicationRuleCollectionGroup'ı seçin

  5. Kurallar'ın altında aşağıdaki değerleri girin

    Ayar Eylem
    Ad Kural için bir ad girin
    Kaynak türü IP Adresi Seç
    Kaynak * girin
    Protokol http:80,https:443 girin
    Hedef Türü FQDN'yi seçin.
    Hedef girinmcr.microsoft.com*.data.mcr.microsoft.com. ACR kullanıyorsanız ACR adresinizi ve *.blob.core.windows.netekleyin.
    Eylem İzin Ver'i seçin

    Not

    Docker Hub kayıt defterini kullanıyorsanız ve güvenlik duvarınız üzerinden erişmek istiyorsanız, kural hedef listenize aşağıdaki FQDN'leri eklemeniz gerekir: hub.docker.com, registry-1.docker.io ve production.cloudflare.docker.com.

  6. Ekle'yi seçin.

Güvenlik duvarınızın giden trafiği engellediğini doğrulayın

Güvenlik duvarı yapılandırmanızın doğru şekilde ayarlandığını doğrulamak için uygulamanızın curl hata ayıklama konsolundan komutunu kullanabilirsiniz.

  1. Azure Güvenlik Duvarı ile yapılandırılan Kapsayıcı Uygulamanıza gidin.

  2. Soldaki menüden Konsol'a tıklayın ve ardından komutu destekleyen curl kapsayıcınızı seçin.

  3. Başlat'ı seçin komut menüsünde /bin/sh ve ardından Bağlan'ı seçin.

  4. konsolunda komutunu çalıştırın curl -s https://mcr.microsoft.com. Güvenlik duvarı ilkeleriniz için izin verilenler listesine eklerken mcr.microsoft.com başarılı bir yanıt görmeniz gerekir.

  5. gibi example.comhedef kurallarınızla eşleşmeyen bir URL için komutunu çalıştırıncurl -s https://<FQDN_ADDRESS>. Örnek komut olacaktır curl -s https://example.com. Güvenlik duvarınızın isteği engellediğini belirten bir yanıt almamalısınız.

Sonraki adımlar

Azure Container Apps'te kimlik doğrulaması