Contrôler le trafic sortant avec des itinéraires définis par l’utilisateur
Remarque
Cette fonctionnalité est uniquement prise en charge pour le type d’environnement des profils de charge de travail. Les itinéraires définis par l’utilisateur fonctionnent uniquement avec un environnement Azure Container Apps interne.
Cet article explique comment utiliser des itinéraires définis par l’utilisateur (UDR) avec Pare-feu Azure pour verrouiller le trafic sortant de vos applications conteneur vers des ressources Azure principales ou d’autres ressources réseau.
Azure crée une table de routage par défaut pour vos réseaux virtuels lors de la création. En implémentant une table de routage définie par l’utilisateur, vous pouvez contrôler comment le trafic est routé au sein de votre réseau virtuel. Dans ce guide, votre UDR d’installation sur le réseau virtuel Container Apps pour restreindre le trafic sortant avec Pare-feu Azure.
Vous pouvez également utiliser une passerelle NAT ou toute autre appliance tierce au lieu de Pare-feu Azure.
Pour plus d’informations, consultez la configuration de l’UDR avec Pare-feu Azure dans la mise en réseau dans Azure Container Apps.
Prérequis
Environnement des profils de charge de travail : environnement de profils de charge de travail intégré à un réseau virtuel personnalisé. Pour plus d’informations, consultez le guide de création d’un environnement d’application conteneur dans l’environnement des profils de charge de travail.
curlprise en charge : votre application conteneur doit avoir un conteneur qui prend en chargecurlles commandes. Dans ce guide pratique, vous utilisezcurlpour vérifier que l’application conteneur est déployée correctement. Si vous n’avez pas d’application conteneur aveccurldéployée, vous pouvez déployer le conteneur suivant qui prend en chargecurl,mcr.microsoft.com/k8se/quickstart:latest.
Créer le sous-réseau de pare-feu
Un sous-réseau appelé AzureFirewallSubnet est requis pour déployer un pare-feu dans le réseau virtuel intégré.
Ouvrez le réseau virtuel intégré à votre application dans le Portail Azure.
Dans le menu de gauche, sélectionnez Sous-réseaux, puis + Sous-réseau.
Saisissez les valeurs suivantes :
Setting Action Nom Entrez AzureFirewallSubnet. Plage d’adresses de sous-réseau Utilisez la valeur par défaut ou spécifiez une plage de sous-réseaux /26 ou plus. Cliquez sur Enregistrer
Déployer le pare-feu
Dans le menu du portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.
Recherchez pare-feu.
Sélectionnez Pare-feu.
Sélectionnez Créer.
Dans la page Créer un pare-feu, configurez le pare-feu avec les paramètres suivants.
Setting Action Groupe de ressources Entrez le même groupe de ressources que le réseau virtuel intégré. Nom Entrez un nom de votre choix Région Sélectionnez la même région que le réseau virtuel intégré. Stratégie de pare-feu Créez-en une en sélectionnant Ajouter nouveau. Réseau virtuel Sélectionnez le réseau virtuel intégré. Adresse IP publique Sélectionnez une adresse existante ou créez-en une en sélectionnant Ajouter nouveau. Sélectionnez Revoir + créer. Une fois la validation terminée, sélectionnez Créer. L’étape de validation peut prendre quelques minutes.
Une fois le déploiement terminé, sélectionnez Accéder à la ressource.
Dans la page Vue d’ensemble du pare-feu, copiez l’adresse IP privée du pare-feu. Cette adresse IP est utilisée comme adresse de tronçon suivant lors de la création de la règle de routage pour le réseau virtuel.
Acheminer tout le trafic vers le pare-feu
Vos réseaux virtuels dans Azure ont des tables de routage par défaut en place lorsque vous créez le réseau. En implémentant une table de routage définie par l’utilisateur, vous pouvez contrôler comment le trafic est routé au sein de votre réseau virtuel. Dans les étapes suivantes, vous créez un UDR pour acheminer tout le trafic vers votre Pare-feu Azure.
Dans le menu du portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.
Recherchez les tables de routage.
Sélectionnez Tables de routage.
Sélectionnez Créer.
Saisissez les valeurs suivantes :
Setting Action Région Sélectionnez la région en tant que réseau virtuel. Nom Entrez un nom. Propager des itinéraires de passerelle Sélectionnez Non. Sélectionnez Revoir + créer. Une fois la validation terminée, sélectionnez Créer.
Une fois le déploiement terminé, sélectionnez Accéder à la ressource.
Dans le menu de gauche, sélectionnez Itinéraires, puis sélectionnez Ajouter pour créer une table de routage
Configurez la table de routage avec les paramètres suivants :
Setting Action Préfixe de l’adresse Entrez 0.0.0.0/0 Type de tronçon suivant Sélectionnez Appliance virtuelle. Adresse du tronçon suivant Entrez l’adresse IP privée du pare-feu que vous avez enregistrée dans Déployer le pare-feu. Sélectionnez Ajouter pour créer la route.
Dans le menu de gauche, sélectionnez Sous-réseaux, puis associez votre table de routage au sous-réseau de l’application conteneur.
Configurez le sous-réseau Associé aux valeurs suivantes :
Setting Action Réseau virtuel Sélectionnez le réseau virtuel de votre application conteneur. Sous-réseau Sélectionnez le sous-réseau de votre application conteneur. Cliquez sur OK.
Configurer des stratégies de pare-feu
Remarque
Lorsque vous utilisez UDR avec Pare-feu Azure dans Azure Container Apps, vous devez ajouter certaines balises de nom de domaine complet et de service à la liste verte du pare-feu. Reportez-vous à la configuration de l’UDR avec Pare-feu Azure pour déterminer les étiquettes de service dont vous avez besoin.
À présent, tout le trafic sortant de votre application conteneur est acheminé vers le pare-feu. Actuellement, le pare-feu autorise toujours tout le trafic sortant via. Pour gérer le trafic sortant autorisé ou refusé, vous devez configurer des stratégies de pare-feu.
Dans votre ressource Pare-feu Azure sur la page Vue d’ensemble, sélectionnez Stratégie de pare-feu
Dans le menu de gauche de la page de stratégie de pare-feu, sélectionnez Règles d’application.
Sélectionnez Ajouter une collection de règles.
Entrez les valeurs suivantes pour la collection de règles :
Setting Action Nom Entrer un nom de collection Type de collection de règles Sélectionner l’application Priorité Entrez la priorité telle que 110 Action de collecte de règles sélectionnez Autoriser. Groupe de regroupements de règles Sélectionner DefaultApplicationRuleCollectionGroup Sous Règles, entrez les valeurs suivantes
Setting Action Nom Entrez un nom pour la règle Type de source Sélectionner l’adresse IP Source Entrez * Protocole Entrez http :80,https :443 Type de destination Sélectionnez FQDN. Destination Entrez mcr.microsoft.com,*.data.mcr.microsoft.com. Si vous utilisez ACR, ajoutez votre adresse ACR et*.blob.core.windows.net.Action sélectionnez Autoriser. Remarque
Si vous utilisez le registre Docker Hub et que vous souhaitez y accéder via votre pare-feu, vous devez ajouter les noms de domaine complets suivants à votre liste de destination de règles : hub.docker.com, registry-1.docker.io et production.cloudflare.docker.com.
Sélectionnez Ajouter.
Vérifier que votre pare-feu bloque le trafic sortant
Pour vérifier que la configuration de votre pare-feu est correctement configurée, vous pouvez utiliser la commande à partir de la curl console de débogage de votre application.
Accédez à votre application conteneur configurée avec Pare-feu Azure.
Dans le menu de gauche, sélectionnez Console, puis sélectionnez votre conteneur qui prend en charge la
curlcommande.Dans le menu Choisir une commande de démarrage, sélectionnez /bin/sh, puis Connecter.
Dans la console, exécutez
curl -s https://mcr.microsoft.com. Vous devriez voir une réponse réussie lorsque vous avez ajoutémcr.microsoft.comà la liste verte pour vos stratégies de pare-feu.Exécutez
curl -s https://<FQDN_ADDRESS>une URL qui ne correspond à aucune de vos règles de destination telles queexample.com. L’exemple de commande seraitcurl -s https://example.com. Vous ne devez pas obtenir de réponse, ce qui indique que votre pare-feu a bloqué la requête.