Freigeben über


Private Endpunkte und DNS für virtuelle Netzwerke in Azure-Container-Apps-Umgebungen

Der private Azure-Endpunkt ermöglicht Clients, die sich in Ihrem privaten Netzwerk befinden, über Azure Private Link eine sichere Verbindung mit Ihrer Azure Container Apps-Umgebung herzustellen. Bei einer Private Link-Verbindung wird der Datenverkehr also vom öffentlichen Internet isoliert. Private Endpunkte verwenden eine private IP-Adresse in Ihrem virtuellen Azure-Netzwerkadressraum und werden in der Regel mit einer privaten DNS-Zone konfiguriert.

Private Endpunkte werden sowohl für Verbrauchspläne als auch für dedizierte Pläne in Workload-Profilumgebungen unterstützt.

Anleitungen

Überlegungen

  • Um einen privaten Endpunkt zu verwenden, müssen Sie den öffentlichen Netzwerkzugriff deaktivieren. Standardmäßig ist der Zugriff über öffentliche Netzwerke aktiviert, was bedeutet, dass private Endpunkte deaktiviert sind.
  • Um einen privaten Endpunkt mit einer benutzerdefinierten Domäne und einer Apex-Domäne als Datensatztyp „Hostname“ zu verwenden, müssen Sie eine private DNS-Zone mit demselben Namen wie Ihr öffentliches DNS konfigurieren. Konfigurieren Sie im Recordset die private IP-Adresse Ihres privaten Endpunkts anstelle der IP-Adresse der Container App-Umgebung. Wenn Sie Ihre benutzerdefinierte Domäne mit CNAME konfigurieren, bleibt das Setup unverändert. Weitere Informationen finden Sie unter Einrichten einer benutzerdefinierten Domäne mit einem vorhandenen Zertifikat.
  • Das VNet Ihres privaten Endpunkts kann von dem mit Ihrer Container-App integrierten VNet getrennt werden.
  • Sie können einen privaten Endpunkt sowohl zu neuen als auch vorhandenen Workloadprofilumgebungen hinzufügen.

Um eine Verbindung mit Ihren Container-Apps über einen privaten Endpunkt herzustellen, müssen Sie eine private DNS-Zone konfigurieren.

Dienstleistung Unterressource Name der privaten DNS-Zone
Azure-Container-Apps (Microsoft.App/ManagedEnvironments) verwaltete Umgebung privatelink.{regionName}.azurecontainerapps.io

Sie können auch private Endpunkte mit einer privaten Verbindung mit Azure Front Door anstelle des Anwendungsgateways verwenden.

Domain Name System (DNS)

Das Konfigurieren von DNS im virtuellen Netzwerk Ihrer Azure-Container-Apps-Umgebung ist aus den folgenden Gründen wichtig:

  • Mit DNS können Ihre Container-Apps Domänennamen in IP-Adressen auflösen. Auf diese Weise können sie Dienste innerhalb und außerhalb des virtuellen Netzwerks ermitteln und mit ihnen kommunizieren. Dazu gehören Dienste wie Azure-Anwendungsgateway, Netzwerksicherheitsgruppen und private Endpunkte.

  • Benutzerdefinierte DNS-Einstellungen verbessern die Sicherheit, indem Sie die VON Ihren Container-Apps vorgenommenen DNS-Abfragen steuern und überwachen können. Dadurch können potenzielle Sicherheitsbedrohungen identifiziert und abgemildert werden, indem sichergestellt wird, dass Ihre Container-Apps nur mit vertrauenswürdigen Domänen kommunizieren.

Benutzerdefinierter DNS

Wenn Ihr VNet anstelle des von Azure bereitgestellten DNS-Standardservers einen benutzerdefinierten DNS-Server verwendet, konfigurieren Sie Ihren DNS-Server so, dass nicht aufgelöste DNS-Abfragen an 168.63.129.16 weitergeleitet werden. Rekursive Resolver von Azure verwenden diese IP-Adresse, um Anforderungen aufzulösen. Wenn Sie Ihre Netzwerksicherheitsgruppe (Network Security Group, NSG) oder Firewall konfigurieren, blockieren Sie die 168.63.129.16 Adresse nicht, andernfalls funktioniert Ihre Container-Apps-Umgebung nicht ordnungsgemäß.

VNet-Umfangseingang

Wenn Sie vorhaben, "VNet-scope ingress" in einer internen Umgebung zu verwenden, konfigurieren Sie Ihre Domänen in einer der folgenden Weisen:

  1. Nicht benutzerdefinierte Domänen: Wenn Sie nicht planen, eine benutzerdefinierte Domäne zu verwenden, erstellen Sie eine private DNS-Zone, die die Standarddomäne der Container Apps-Umgebung in die statische IP-Adresse der Container Apps-Umgebung auflöst. Sie können das private Azure-DNS oder Ihren eigenen DNS-Server verwenden. Wenn Sie privates Azure-DNS verwenden, erstellen Sie eine private DNS-Zone, die als die Standarddomäne der Container Apps-Umgebung (<UNIQUE_IDENTIFIER>.<REGION_NAME>.azurecontainerapps.io) mit einem A-Eintrag bezeichnet wird. Der A-Eintrag enthält den Namen *<DNS Suffix> und die statische IP-Adresse der Container Apps-Umgebung. Weitere Informationen finden Sie unter Erstellen und Konfigurieren einer Azure Private DNS-Zone.

  2. Benutzerdefinierte Domänen: Wenn Sie benutzerdefinierte Domänen verwenden und eine externe Container Apps-Umgebung verwenden möchten, verwenden Sie eine öffentlich auflösbare Domäne, um der Container-App eine benutzerdefinierte Domäne und ein Zertifikat hinzuzufügen. Wenn Sie eine interne Container-Apps-Umgebung verwenden, gibt es keine Überprüfung für die DNS-Bindung, da der Cluster nur innerhalb des virtuellen Netzwerks verfügbar ist. Erstellen Sie außerdem eine private DNS-Zone, die die apex-Domäne in die statische IP-Adresse der Container Apps-Umgebung auflöst. Sie können das private Azure-DNS oder Ihren eigenen DNS-Server verwenden. Wenn Sie privates Azure-DNS verwenden, erstellen Sie eine private DNS-Zone mit demselben Namen wie die apex-Domäne und einen A-Eintrag, der auf die statische IP-Adresse der Container Apps-Umgebung verweist.

Die statische IP-Adresse der Container Apps-Umgebung erhalten Sie im Azure-Portal im benutzerdefinierten DNS-Suffix der Container-App-Seite oder mit dem Azure CLI-Befehl az containerapp env list.

Nächste Schritte