Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie Ihre Azure-Container-Apps-Umgebung mithilfe von benutzerdefinierten Routen (UDR) in Die Azure-Firewall integrieren. Mithilfe von UDR können Sie steuern, wie Datenverkehr innerhalb Ihres virtuellen Netzwerks weitergeleitet wird. Sie können den gesamten ausgehenden Datenverkehr von Ihren Container-Apps über die Azure-Firewall weiterleiten, was einen zentralen Punkt für die Überwachung des Datenverkehrs und die Anwendung von Sicherheitsrichtlinien bietet. Dieses Setup schützt Ihre Container-Apps vor potenziellen Bedrohungen. Sie hilft auch bei der Erfüllung der Complianceanforderungen, indem detaillierte Protokolle und Überwachungsfunktionen bereitgestellt werden.
Benutzerdefinierte Routen (UDR)
Benutzerdefinierte Routen (USER Defined Routes, UDR) und kontrollierter Ausgang über NAT-Gateway werden nur in einer Workloadprofile-Umgebung unterstützt.
Sie können UDR verwenden, um ausgehenden Datenverkehr aus Ihrer Container-App über azure Firewall oder andere Netzwerkgeräte einzuschränken. Weitere Informationen finden Sie unter Steuern des ausgehenden Datenverkehrs in Azure-Container-Apps mit benutzerdefinierten Routen.
Das Konfigurieren von UDRs erfolgt außerhalb des Bereichs der Container Apps-Umgebung.
Azure erstellt beim Erstellen eine Standardroutentabelle für Ihre virtuellen Netzwerke. Durch die Implementierung einer benutzerdefinierten Routentabelle können Sie steuern, wie Datenverkehr innerhalb Ihres virtuellen Netzwerks weitergeleitet wird. Sie können z. B. einen UDR erstellen, der ausgehenden Datenverkehr aus Ihrer Container-App einschränkt, indem Sie ihn an die Azure Firewall weiterleiten.
Wenn Sie UDR mit Azure Firewall in Azure Container-Apps verwenden, müssen Sie die folgenden Anwendungs- oder Netzwerkregeln zur Zulassungsliste für Ihre Firewall hinzufügen, je nachdem, welche Ressourcen Sie verwenden.
Hinweis
Je nach Den Anforderungen Ihres Systems müssen Sie entweder Anwendungsregeln oder Netzwerkregeln konfigurieren. Das Gleichzeitige Konfigurieren beider Konfigurationen ist nicht erforderlich.
Anwendungsregeln
Anwendungsregeln erlauben oder verweigern Datenverkehr basierend auf der Anwendungsschicht. Die folgenden Regeln für ausgehende Firewallanwendungen sind basierend auf dem Szenario erforderlich.
| Szenarien | vollqualifizierte Domainnamen (FQDNs) | BESCHREIBUNG |
|---|---|---|
| Alle Szenarien | mcr.microsoft.com, *.data.mcr.microsoft.com |
Diese FQDNs für die Microsoft Container Registry (MCR) werden von Azure Container Apps verwendet. Entweder diese Anwendungsregeln oder die Netzwerkregeln für MCR müssen der Zulassungsliste hinzugefügt werden, wenn Sie Azure-Container-Apps mit Azure Firewall verwenden. |
| Azure Container Registry (ACR) | Ihre ACR-Adresse, *.blob.core.windows.net, login.microsoft.com |
Diese FQDNs sind erforderlich, wenn Sie Azure Container Apps mit ACR und Azure Firewall verwenden. |
| Azure Key Vault (ein Dienst zur sicheren Verwaltung kryptografischer Schlüssel) | Ihre-Azure-Key-Vault-Adresse, login.microsoft.com |
Diese FQDNs sind zusätzlich zu dem Diensttag erforderlich, das für die Netzwerkregel für Azure Key Vault erforderlich ist. |
| Verwaltete Identität | *.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com, *.login.microsoft.com |
Diese FQDNs sind erforderlich, wenn Sie eine verwaltete Identität mit Azure Firewall in Azure Container Apps verwenden. |
| Aspire Dashboard | https://northcentralus.ext.azurecontainerapps.dev |
Dieser FQDN ist erforderlich, wenn das Aspire-Dashboard in einer Umgebung verwendet wird, die mit einem virtuellen Netzwerk konfiguriert ist. |
| Docker-Hubregistrierung | hub.docker.com, registry-1.docker.ioproduction.cloudflare.docker.com |
Wenn Sie die Docker-Hubregistrierung verwenden und über die Firewall darauf zugreifen möchten, müssen Sie der Firewall diese FQDNs hinzufügen. |
Netzwerkregeln
Netzwerkregeln ermöglichen oder verweigern Datenverkehr basierend auf der Netzwerk- und Transportschicht. Wenn Sie UDR mit Azure Firewall in Azure-Container-Apps verwenden, müssen Sie die folgenden ausgehenden Firewall-Netzwerkregeln basierend auf dem Szenario hinzufügen.
| Szenarien | Diensttag | BESCHREIBUNG |
|---|---|---|
| Alle Szenarien | MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Diese Diensttags für die Microsoft Container Registry (MCR) werden von Azure-Container-Apps verwendet. Entweder diese Netzwerkregeln oder die Anwendungsregeln für MCR müssen der Zulassungsliste hinzugefügt werden, wenn Sie Azure-Container-Apps mit Azure Firewall verwenden. |
| Azure Container Registry (ACR) | AzureContainerRegistry, AzureActiveDirectory |
Wenn Sie ACR mit Azure Container-Apps verwenden, müssen Sie diese Netzwerkregeln konfigurieren, die von der Azure Container Registry verwendet werden. |
| Azure Key Vault (ein Dienst zur sicheren Verwaltung kryptografischer Schlüssel) | AzureKeyVault, AzureActiveDirectory |
Diese Diensttags sind zusätzlich zum FQDN für die Netzwerkregel für Azure Key Vault erforderlich. |
| Verwaltete Identität | AzureActiveDirectory |
Wenn Sie verwaltete Identität mit Azure-Container-Apps verwenden, müssen Sie diese Netzwerkregeln konfigurieren, die von verwalteter Identität verwendet werden. |
Hinweis
Informationen zu Azure-Ressourcen, die Sie mit Azure Firewall verwenden, sind in diesem Artikel nicht aufgeführt. Weitere Informationen finden Sie in der Dokumentation zu Diensttags.