Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Sanal ağları yapılandırmak için gereken Ağ Güvenlik Grupları (NSG) Kubernetes'in gerektirdiği ayarlara benzer.
Kapsayıcı Uygulamaları ortamına yönelik tüm gelen ve giden trafiği abonelik düzeyinde denetlemek için varsayılan NSG kurallarından daha kısıtlayıcı kurallarla NSG'ler aracılığıyla ağı kilitleyebilirsiniz.
İş yükü profilleri ortamında, kullanıcı tanımlı yollar (UDR) ve giden trafiği güvenlik duvarıyla güvenli hale getirme desteklenir.
Not
Azure Güvenlik Duvarı ile giden trafiği kısıtlamak için Container Apps ile UDR'yi ayarlama hakkında bir kılavuz için Container Apps ve Azure Güvenlik Duvarı için nasıl yapılır adresini ziyaret edin.
Dış iş yükü profilleri ortamı kullanılırken Azure Container Apps'e gelen trafik, alt ağınız yerine yönetilen kaynak grubunda bulunan genel IP üzerinden yönlendirilir. Bu, dış iş yükü profilleri ortamında NSG veya Güvenlik Duvarı aracılığıyla gelen trafiği kilitlemenin desteklenmediğini gösterir. Daha fazla bilgi için bkz . Kullanıcı tanımlı yollarla giden trafiği denetleme.
Eski Yalnızca tüketim ortamında hızlı yollar desteklenmez ve özel kullanıcı tanımlı yollar (UDF) sınırlı desteğe sahiptir. Yalnızca tüketim ortamında kullanılabilen UDR desteği düzeyi hakkında daha fazla bilgi için bkz . SSS.
NSG izin verme kuralları
Aşağıdaki tablolarda NSG izin verme kuralları koleksiyonunun nasıl yapılandırıldığı açıklanmaktadır. Gereken belirli kurallar ortamınızın türüne bağlıdır.
Gelen
Not
İş yükü profillerini kullanırken, gelen NSG kuralları yalnızca sanal ağınızdan geçen trafik için geçerlidir. Kapsayıcı uygulamalarınız genel İnternet'ten gelen trafiği kabul etmek üzere ayarlandıysa, gelen trafik sanal ağ yerine genel uç noktadan geçer.
| Protokol | Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Açıklama |
|---|---|---|---|---|---|
| TCP | İstemci IP'leriniz | * | Kapsayıcı uygulamanızın alt ağı1 |
80, 31080 |
HTTP kullanırken İstemci IP'lerinizin Azure Container Apps'e erişmesine izin verin.
31080 , Container Apps Ortam Edge Proxy'sinin HTTP trafiğine yanıt verdiği bağlantı noktasıdır. İç yük dengeleyicinin arkasındadır. |
| TCP | İstemci IP'leriniz | * | Kapsayıcı uygulamanızın alt ağı1 |
443, 31443 |
HTTPS kullanırken İstemci IP'lerinizin Azure Container Apps'e erişmesine izin verin.
31443 , Container Apps Ortam Edge Proxy'sinin HTTPS trafiğine yanıt verdiği bağlantı noktasıdır. İç yük dengeleyicinin arkasındadır. |
| TCP | Azure Yük Dengeleyici (AzureLoadBalancer) | * | Kapsayıcı uygulamanızın alt ağı |
30000-32767
2 |
Azure Load Balancer'ın arka uç havuzlarını yoklamasına izin verin. |
| TCP | İstemci IP'leriniz | * | Kapsayıcı uygulamanızın alt ağı | Kullanıma sunulan bağlantı noktaları ve 30000-327672 |
Bu yalnızca TCP uygulamaları için geçerlidir. Bu, HTTP uygulamaları için gerekli değildir. |
1 Bu adres, ortam oluşturduğunuzda parametre olarak geçirilir. Örneğin, 10.0.0.0/21.
2 Azure Container Apps'inizi oluştururken, aralık içinde dinamik olarak ayrılacak bir bağlantı noktası olarak tam aralık gereklidir. Oluşturulduktan sonra gerekli bağlantı noktaları sabit, statik iki değerdir ve NSG kurallarınızı güncelleştirebilirsiniz.
Giden
| Protokol | Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Açıklama |
|---|---|---|---|---|---|
| TCP | Kapsayıcı uygulamanızın alt ağı | * | MicrosoftContainerRegistry |
443 |
Bu, sistem kapsayıcıları için Microsoft kapsayıcı kayıt defteri hizmet etiketidir. |
| TCP | Kapsayıcı uygulamanızın alt ağı | * | AzureFrontDoor.FirstParty |
443 |
Bu, hizmet etiketinin MicrosoftContainerRegistry bağımlılığıdır. |
| Tümü | Kapsayıcı uygulamanızın alt ağı | * | Kapsayıcı uygulamanızın alt ağı | * | Kapsayıcı uygulamanızın alt ağındaki IP'ler arasında iletişime izin verin. |
| TCP | Kapsayıcı uygulamanızın alt ağı | * | AzureActiveDirectory |
443 |
Yönetilen kimlik kullanıyorsanız bu gereklidir. |
| TCP | Kapsayıcı uygulamanızın alt ağı | * | AzureMonitor |
443 |
Yalnızca Azure İzleyici kullanılırken gereklidir. Azure İzleyici'ye giden çağrılara izin verir. |
| TCP ve UDP | Kapsayıcı uygulamanızın alt ağı | * | 168.63.129.16 |
53 |
Ortamın ana bilgisayar adını çözümlemek için Azure DNS kullanmasını sağlar. Not: Azure DNS ile DNS iletişimi, hizmet etiketi kullanılarak hedeflenmediği sürece NSG'lere AzurePlatformDNS tabi değildir. DNS trafiğini engellemek için hizmet etiketine giden trafiği reddetmek için AzurePlatformDNS bir giden kuralı oluşturun. |
| TCP | Kapsayıcı uygulamanızın alt ağı1 | * | Kapsayıcı Kayıt Defteriniz | Kapsayıcı kayıt defterinizin bağlantı noktası | Kapsayıcı kayıt defterinizle iletişim kurmak için bu gereklidir. Örneğin, ACR kullanırken hedef için ve AzureContainerRegistry gerekir AzureActiveDirectory ve özel uç noktaları kullanmadığınız sürece bağlantı noktası kapsayıcı kayıt defterinizin bağlantı noktasıdır.2 |
| TCP | Kapsayıcı uygulamanızın alt ağı | * | Storage.<Region> |
443 |
Yalnızca görüntülerinizi barındırmak için kullanılırken Azure Container Registry gereklidir. |
1 Bu adres, ortam oluşturduğunuzda parametre olarak geçirilir. Örneğin, 10.0.0.0/21.
2 Sanal ağınızda yapılandırılmış NSG'lerle Azure Container Registry (ACR) kullanıyorsanız, Azure Container Apps'in sanal ağ üzerinden görüntü çekmesine izin vermek için ACR'nizde özel bir uç nokta oluşturun. Özel uç noktalarla yapılandırıldığında ACR için NSG kuralı eklemeniz gerekmez.
Dikkat edilmesi gereken noktalar
- HTTP sunucuları çalıştırıyorsanız ve
80bağlantı noktaları443eklemeniz gerekebilir. - Giden NSG kurallarında Azure DNS adresini
168.63.129.16açıkça reddetmeyin veya Container Apps ortamınız çalışmıyor.