Ağ Güvenlik Grupları ile Azure Container Apps'te özel bir sanal ağın güvenliğini sağlama
Sanal ağları yapılandırmak için gereken Ağ Güvenlik Grupları (NSG) Kubernetes'in gerektirdiği ayarlara benzer.
Kapsayıcı Uygulamaları ortamına yönelik tüm gelen ve giden trafiği abonelik düzeyinde denetlemek için varsayılan NSG kurallarından daha kısıtlayıcı kurallarla NSG'ler aracılığıyla ağı kilitleyebilirsiniz.
İş yükü profilleri ortamında, kullanıcı tanımlı yollar (UDR) ve giden trafiği güvenlik duvarıyla güvenli hale getirme desteklenir. Dış iş yükü profilleri ortamı kullanılırken Azure Container Apps'e gelen trafik, alt ağınız yerine yönetilen kaynak grubunda bulunan genel IP üzerinden yönlendirilir. Bu, dış iş yükü profilleri ortamında NSG veya Güvenlik Duvarı aracılığıyla gelen trafiği kilitlemenin desteklenmediğini gösterir. Daha fazla bilgi için bkz . Azure Container Apps ortamlarında ağ oluşturma.
Yalnızca tüketim ortamında, özel kullanıcı tanımlı yollar (UDR) ve ExpressRoutes desteklenmez.
NSG izin verme kuralları
Aşağıdaki tablolarda NSG izin verme kuralları koleksiyonunun nasıl yapılandırıldığı açıklanmaktadır. Gereken belirli kurallar ortamınızın türüne bağlıdır.
Gelen
Not
İş yükü profillerini kullanırken, gelen NSG kuralları yalnızca sanal ağınızdan geçen trafik için geçerlidir. Kapsayıcı uygulamalarınız genel İnternet'ten gelen trafiği kabul etmek üzere ayarlandıysa, gelen trafik sanal ağ yerine genel uç noktadan geçer.
| Protokol | Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Açıklama |
|---|---|---|---|---|---|
| TCP | İstemci IP'leriniz | * | Kapsayıcı uygulamanızın alt ağı1 | 80, 31080 |
HTTP kullanırken İstemci IP'lerinizin Azure Container Apps'e erişmesine izin verin. 31080 , Container Apps Ortam Edge Proxy'sinin HTTP trafiğine yanıt verdiği bağlantı noktasıdır. İç yük dengeleyicinin arkasındadır. |
| TCP | İstemci IP'leriniz | * | Kapsayıcı uygulamanızın alt ağı1 | 443, 31443 |
HTTPS kullanırken İstemci IP'lerinizin Azure Container Apps'e erişmesine izin verin. 31443 , Container Apps Ortam Edge Proxy'sinin HTTPS trafiğine yanıt verdiği bağlantı noktasıdır. İç yük dengeleyicinin arkasındadır. |
| TCP | AzureLoadBalancer | * | Kapsayıcı uygulamanızın alt ağı | 30000-327672 |
Azure Load Balancer'ın arka uç havuzlarını yoklamasına izin verin. |
1 Bu adres, ortam oluşturduğunuzda parametre olarak geçirilir. Örneğin, 10.0.0.0/21.
2 Azure Container Apps'inizi oluştururken, aralık içinde dinamik olarak ayrılacak bir bağlantı noktası olarak tam aralık gereklidir. Oluşturulduktan sonra gerekli bağlantı noktaları sabit, statik iki değerdir ve NSG kurallarınızı güncelleştirebilirsiniz.
Giden
| Protokol | Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Açıklama |
|---|---|---|---|---|---|
| TCP | Kapsayıcı uygulamanızın alt ağı | * | MicrosoftContainerRegistry |
443 |
Bu, sistem kapsayıcıları için Microsoft kapsayıcı kayıt defteri hizmet etiketidir. |
| TCP | Kapsayıcı uygulamanızın alt ağı | * | AzureFrontDoor.FirstParty |
443 |
Bu, hizmet etiketinin MicrosoftContainerRegistry bağımlılığıdır. |
| Tümü | Kapsayıcı uygulamanızın alt ağı | * | Kapsayıcı uygulamanızın alt ağı | * | Kapsayıcı uygulamanızın alt ağındaki IP'ler arasında iletişime izin verin. |
| TCP | Kapsayıcı uygulamanızın alt ağı | * | AzureActiveDirectory |
443 |
Yönetilen kimlik kullanıyorsanız bu gereklidir. |
| TCP | Kapsayıcı uygulamanızın alt ağı | * | AzureMonitor |
443 |
Yalnızca Azure İzleyici kullanılırken gereklidir. Azure İzleyici'ye giden çağrılara izin verir. |
| TCP ve UDP | Kapsayıcı uygulamanızın alt ağı | * | 168.63.129.16 |
53 |
Ortamın ana bilgisayar adını çözümlemek için Azure DNS kullanmasını sağlar. |
| TCP | Kapsayıcı uygulamanızın alt ağı1 | * | Kapsayıcı Kayıt Defteriniz | Kapsayıcı kayıt defterinizin bağlantı noktası | Kapsayıcı kayıt defterinizle iletişim kurmak için bu gereklidir. Örneğin, ACR kullanırken hedef için ve AzureActiveDirectory gerekir AzureContainerRegistry ve özel uç noktaları kullanmadığınız sürece bağlantı noktası kapsayıcı kayıt defterinizin bağlantı noktası olur.2 |
| TCP | Kapsayıcı uygulamanızın alt ağı | * | Storage.<Region> |
443 |
Yalnızca görüntülerinizi barındırmak için kullanılırken Azure Container Registry gereklidir. |
1 Bu adres, ortam oluşturduğunuzda parametre olarak geçirilir. Örneğin, 10.0.0.0/21.
2 Sanal ağınızda yapılandırılmış NSG'lerle Azure Container Registry (ACR) kullanıyorsanız, Azure Container Apps'in sanal ağ üzerinden görüntü çekmesine izin vermek için ACR'nizde özel bir uç nokta oluşturun. Özel uç noktalarla yapılandırıldığında ACR için NSG kuralı eklemeniz gerekmez.
Dikkat edilmesi gereken noktalar
- HTTP sunucuları çalıştırıyorsanız ve
443bağlantı noktaları80eklemeniz gerekebilir. - Giden NSG kurallarında Azure DNS adresini
168.63.128.16açıkça reddetmezseniz Container Apps ortamınız çalışmaz.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin