Compartilhar via

Rede para os Aplicativos de Contêiner do Azure – Acelerador de Zona de Destino

Os Aplicativos de Contêiner são responsáveis por cuidar de atualizações do sistema operacional, dimensionamento, processos de failover e alocação de recursos em um ambiente conhecido como Aplicativos de Contêiner. Os ambientes encapsulam um ou mais aplicativos ou trabalhos de contêiner criando um limite seguro por meio de uma rede virtual (VNet).

Por padrão, uma VNet é criada automaticamente para seu ambiente de Aplicativo de Contêiner. No entanto, se você quiser um controle mais detalhado sobre sua rede, poderá usar uma VNet pré-existente à medida que cria seu ambiente de aplicativo de contêiner.

Os ambientes podem aceitar solicitações externas ou podem ser bloqueados apenas para solicitações internas .

Ambientes externos expõem aplicativos de contêiner usando um endereço IP virtual acessível pela Internet pública. Como alternativa, ambientes internos expõem seus aplicativos de contêiner em um endereço IP dentro de sua rede virtual. Você pode restringir o tráfego dentro do ambiente do aplicativo de contêiner ou por meio da rede virtual. Para obter mais informações, consulte as considerações de segurança para o Acelerador de Zona de Destino dos Aplicativos de Contêiner do Azure.

Considerações

  • Requisitos de sub-rede:

    • Uma sub-rede dedicada é necessária para um ambiente na rede virtual. A CIDR da sub-rede deve ser /23 ou maior para ambientes /27 somente de consumo ou maior para ambientes de perfis de carga de trabalho.

  • Gerenciamento de endereço IP:

    • Uma base de 60 IPs é reservada em sua VNet. Esse valor pode aumentar à medida que o ambiente de contêiner é escalado e cada versão de aplicativo obtém um endereço IP da sub-rede. Os IPs de saída podem mudar ao longo do tempo.

    • Há suporte apenas para endereços IPv4 (não há suporte para IPv6).

    • Um recurso de IP público gerenciado lida com solicitações de saída e tráfego de gerenciamento, independentemente de você ter um ambiente externo ou interno.

  • Segurança de Rede:

    • Você pode bloquear uma rede por meio de NSG (grupos de segurança de rede) com regras mais restritivas do que as regras NSG padrão que controlam todo o tráfego de entrada e saída para um ambiente.

  • Proxy e criptografia:

    • Os Aplicativos de Contêiner usam um proxy Envoy como um proxy HTTP de borda. Todas as solicitações HTTP são redirecionadas automaticamente para HTTPs. O Envoy encerra a TLS (Transport Layer Security) após cruzar seu próprio limite. A segurança da camada de transporte mútua (mTLS) só está disponível ao usar o Dapr. No entanto, como o Envoy encerra o mTLS, as chamadas de entrada do Envoy para aplicativos de contêiner habilitados para Dapr não são criptografadas.

  • Considerações de DNS:

    • À medida que um ambiente é implantado, os Container Apps realizam muitas consultas DNS. Algumas dessas pesquisas referem-se a domínios internos do Azure. Se você forçar o tráfego DNS por meio de sua solução DNS personalizada, configure seu servidor DNS para encaminhar consultas DNS não resolvidas para o DNS do Azure.

    • Para aplicativos em execução internamente em Aplicativos de Contêiner, o sistema depende de Zonas DNS Privadas do Azure para resolver o nome DNS para o endereço IP interno. Dentro da Zona DNS Privada, você pode apontar um registro curinga (*) A para o endereço IP do balanceador de carga interno.

  • Gerenciamento de tráfego de saída:

    • O tráfego de rede de saída (saída) deve ser roteado por meio de um Firewall do Azure ou cluster de dispositivos virtuais de rede.

  • Balanceamento de carga entre ambientes:

    • Para executar seu aplicativo em vários ambientes de Aplicativos de Contêiner por motivos de resiliência ou proximidade, considere usar um serviço global de balanceamento de carga, como o Gerenciador de Tráfego do Azure ou o Azure Front Door.

  • Segurança de Rede:

    • Use grupos de segurança de rede (NSG) para proteger sua rede e bloquear o tráfego de entrada e saída desnecessários.

    • Use a Proteção contra DDoS do Azure para o Ambiente de Aplicativos de Contêiner do Azure.

    • Use o Link Privado para conexões de rede seguras e conectividade privada baseada em IP para outros serviços gerenciados do Azure.

    • Verifique se todos os pontos de extremidade da solução (internos e externos) aceitam apenas conexões criptografadas com TLS (HTTPS).

    • Use um firewall de aplicativo web com ingresso HTTPS/TCP para aplicativos web voltados para a internet e críticos de segurança, assim como para aplicativos voltados internamente.

    • Em alguns cenários, talvez você queira expor um aplicativo Web de Aplicativos de Contêiner diretamente para a Internet e protegê-lo com serviços CDN/WAF de terceiros.

Recommendations

  • Configuração de rede: implante seus aplicativos de contêiner em uma rede virtual personalizada para obter mais controle sobre a configuração de rede.

  • Conectividade de entrada segura: ao publicar serviços voltados para a Internet, use o Gateway de Aplicativo do Azure (WAF_v2 SKU) ou o Azure Front Door (com o Firewall do Aplicativo Web) para proteger a conectividade de entrada.

  • Gerenciamento de tráfego interno: use uma configuração de rede interna para serviços como o Gateway de Aplicativo do Azure ou o Azure Front Door, garantindo que o tráfego do balanceador de carga para o Ambiente de Aplicativos de Contêiner do Azure use uma conexão interna.

  • Expondo aplicativos: habilite a entrada para expor seu aplicativo por HTTPs ou porta TCP.

Referências

  • Last updated on