Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie Ihre Azure Container Apps Umgebung mithilfe von benutzerdefinierten Routen (UDR) in Azure Firewall integrieren. Mithilfe von UDR können Sie steuern, wie datenverkehr in Ihrem virtuellen Netzwerk weitergeleitet wird. Sie können den gesamten ausgehenden Datenverkehr von Ihren Container-Apps über Azure Firewall weiterleiten, wodurch ein zentraler Punkt für die Überwachung des Datenverkehrs und die Anwendung von Sicherheitsrichtlinien bereitgestellt wird. Dieses Setup schützt Ihre Container-Apps vor potenziellen Bedrohungen. Außerdem können Sie Complianceanforderungen erfüllen, indem sie detaillierte Protokolle und Überwachungsfunktionen bereitstellen.
Benutzerdefinierte Routen (UDR)
Benutzerdefinierte Routen (UDR) und kontrollierter Ausgang über NAT-Gateway werden nur in einer Workloadprofile-Umgebung unterstützt.
Verwenden Sie UDR, um ausgehenden Datenverkehr aus Ihrer Container-App über Azure Firewall oder andere Netzwerkgeräte einzuschränken. Weitere Informationen finden Sie unter Kontrollieren Sie den ausgehenden Datenverkehr in Azure Container Apps mit benutzerdefinierten Routen.
Sie konfigurieren UDR außerhalb des Geltungsbereichs der Container-Anwendungen-Umgebung.
Azure erstellt beim Erstellen eine Standardroutentabelle für Ihre virtuellen Netzwerke. Durch die Implementierung einer benutzerdefinierten Routentabelle können Sie steuern, wie Datenverkehr innerhalb Ihres virtuellen Netzwerks weitergeleitet wird. Sie können z. B. einen UDR erstellen, der ausgehenden Datenverkehr aus Ihrer Container-App einschränkt, indem Sie ihn an Azure Firewall weiterleiten.
Wenn Sie UDR mit Azure Firewall in Azure Container Apps verwenden, fügen Sie die folgenden Anwendungs- oder Netzwerkregeln der Zulassungsliste für Ihre Firewall hinzu, je nachdem, welche Ressourcen Sie verwenden.
Hinweis
Je nach Den Anforderungen Ihres Systems müssen Sie entweder Anwendungsregeln oder Netzwerkregeln konfigurieren. Das gleichzeitige Konfigurieren beider Konfigurationen ist nicht erforderlich.
Anwendungsregeln
Anwendungsregeln erlauben oder verweigern Datenverkehr basierend auf der Anwendungsschicht. Die folgenden Regeln für ausgehende Firewallanwendungen sind basierend auf dem Szenario erforderlich.
| Szenarien | vollqualifizierte Domainnamen (FQDNs) | BESCHREIBUNG |
|---|---|---|
| Alle Szenarien |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Azure Container Apps verwendet diese FQDNs für Microsoft Containerregistrierung (MCR). Wenn Sie Azure Container Apps mit Azure Firewall verwenden, fügen Sie entweder diese Anwendungsregeln oder die Netzwerkregeln für MCR zur Zulassungsliste hinzu. |
| Alle Szenarien |
packages.aks.azure.com, acs-mirror.azureedge.net |
Für den zugrunde liegenden AKS-Cluster müssen diese FQDNs Kubernetes und Azure CNI-Binärdateien herunterladen und installieren. Wenn Sie Azure Container Apps mit Azure Firewall verwenden, fügen Sie entweder diese Anwendungsregeln oder die Netzwerkregeln für MCR zur Zulassungsliste hinzu. Weitere Informationen finden Sie unter Für Azure Global erforderliche FQDN / Anwendungsregeln. |
| Azure Container Registry (ACR) |
Ihre ACR-Adresse, *.blob.core.windows.net, login.microsoft.com |
Diese FQDNs sind erforderlich, wenn sie Azure Container Apps mit ACR und Azure Firewall verwenden. |
| Azure Key Vault |
Ihre-Azure-Key-Vault-Adresse, login.microsoft.com |
Diese FQDNs sind zusätzlich zu dem Dienst-Tag erforderlich, der für die Netzwerkregel für Azure Key Vault erforderlich ist. |
| Verwaltete Identität |
*.identity.azure.net
login.microsoftonline.com
*.login.microsoftonline.com
*.login.microsoft.com
|
Diese FQDNs sind erforderlich, wenn verwaltete Identität mit Azure Firewall in Azure Container Apps verwendet wird. |
| Azure Service Bus | *.servicebus.windows.net |
Diese FQDNs sind erforderlich, wenn Ihre Container-Apps über Azure Firewall mit Azure Service Bus (Warteschlangen, Themen oder Abonnements) kommunizieren. |
| Aspire Dashboard | https://<YOUR-CONTAINERAPP-REGION>.ext.azurecontainerapps.dev |
Dieser FQDN ist erforderlich, wenn das Aspire-Dashboard in einer Umgebung verwendet wird, die mit einem virtuellen Netzwerk konfiguriert ist. Aktualisieren Sie den FQDN mit der Region Ihrer Container-App. |
| Docker Hub Registrierung |
hub.docker.com, registry-1.docker.ioproduction.cloudflare.docker.com |
Wenn Sie Docker Hub Registry verwenden und über die Firewall darauf zugreifen möchten, fügen Sie diese FQDNs zur Firewall hinzu. |
| Azure Service Bus | *.servicebus.windows.net |
Dieser FQDN ist erforderlich, wenn Azure Service Bus mit Azure Container Apps und Azure Firewall verwendet wird. |
| Azure China: MCR |
mcr.azure.cn, *.data.mcr.azure.cn |
Diese Microsoft McR-Endpunkte (Container Registry) werden verwendet, um Containerimages in der Azure China-Umgebung abzurufen. |
| Azure China: AKS-Infrastruktur |
mcr.azk8s.cn, mirror.azk8s.cn |
Diese chinaspezifischen AKS-Spiegel werden verwendet, um Kubernetes-Binärdateien und Containerimages herunterzuladen. |
| Azure China: ACR | *.azurecr.cn |
Erforderlich bei verwendung von Azure Container Registry in der Azure China-Umgebung. |
| Azure China: Verwaltete Identität |
*.identity.azure.cn, login.chinacloudapi.cn*.login.chinacloudapi.cn |
Diese FQDNs sind erforderlich, wenn verwaltete Identitäten in der Azure China-Umgebung verwendet werden. |
| Azure China: Key Vault (Schlüsselbund) |
*.vault.azure.cn, login.chinacloudapi.cn |
Erforderlich bei Verwendung von Azure Key Vault in der Azure China-Umgebung. |
| Azure China: Azure Management |
management.chinacloudapi.cn, *.blob.core.chinacloudapi.cn |
Erforderlich für Azure Resource Manager API-Aufrufe und plattformverwaltete Speicherkonten in der Azure China-Umgebung. |
| Azure China: Überwachung |
*.servicebus.chinacloudapi.cn, mooncake.warmpath.chinacloudapi.cn |
Erforderlich für die Plattformüberwachung und Telemetrieaufnahme in der Azure China-Umgebung. |
| Azure China: Container-Apps-Plattform |
*.chinacloudsites.cn, *.ext.azurecontainerapps-dev.cn |
Erforderlich für die Regionale Steuerungsebene und Erweiterungs-API für Container-Apps in der Azure China-Umgebung. |
| Azure China: Aspire Dashboard | *.azurecontainerapps.cn |
Erforderlich bei Verwendung von Aspire Dashboard- oder App-FQDNs in der Azure China-Umgebung. |
Hinweis
Die zuvor aufgeführten Azure China-FQDNs gelten nur für die umgebung Azure China. Docker Hub FQDNs sind global gleich, aber der Zugang aus China ist möglicherweise unzuverlässig. Erwägen Sie stattdessen das Spiegeln von Bildern in Azure Container Registry (*.azurecr.cn).
Netzwerkregeln
Netzwerkregeln ermöglichen oder verweigern Datenverkehr basierend auf der Netzwerk- und Transportschicht. Wenn Sie UDR mit Azure Firewall in Azure Container Apps verwenden, fügen Sie die folgenden ausgehenden Firewallnetzwerkregeln basierend auf dem Szenario hinzu.
| Szenarien | Diensttag | BESCHREIBUNG |
|---|---|---|
| Alle Szenarien |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Azure Container Apps verwendet diese Diensttags für Microsoft Containerregistrierung (MCR). Um Azure Container Apps die Verwendung von MCR zu ermöglichen, fügen Sie entweder diese Netzwerkregeln oder die Anwendungsregeln für MCR zur Zulassungsliste hinzu, wenn sie Azure Container Apps mit Azure Firewall verwenden. |
| Azure Container Registry (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
Wenn Sie ACR mit Azure Container Apps verwenden, konfigurieren Sie diese von Azure Container Registry verwendeten Netzwerkregeln. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Diese Diensttags sind zusätzlich zum FQDN für die Netzwerkregel für Azure Key Vault erforderlich. |
| Verwaltete Identität | AzureActiveDirectory |
Wenn Sie verwaltete Identität mit Azure Container Apps verwenden, konfigurieren Sie diese Netzwerkregeln, die von verwalteter Identität verwendet werden. |
| Azure Service Bus | ServiceBus |
Erforderlich, wenn Ihre Container-Apps mithilfe von Azure Firewall und Diensttags auf Azure Service Bus zugreifen. |
Hinweis
Informationen zu Azure Ressourcen, die Sie mit Azure Firewall verwenden, die in diesem Artikel nicht aufgeführt sind, finden Sie in der Dokumentation zu Servicetags.