Kimenő forgalom szabályozása felhasználó által megadott útvonalakkal
Feljegyzés
Ez a funkció csak a számítási feladatprofilok környezettípusához támogatott. A felhasználó által megadott útvonalak csak belső Azure Container Apps-környezettel működnek.
Ez a cikk bemutatja, hogyan használhat felhasználó által definiált útvonalakat (UDR) az Azure Firewall használatával a Container Appsből a háttérbeli Azure-erőforrásokba vagy más hálózati erőforrásokba irányuló kimenő forgalom zárolásához.
Az Azure létrehoz egy alapértelmezett útvonaltáblát a létrehozásnál használt virtuális hálózatokhoz. Felhasználó által definiált útvonaltábla implementálásával szabályozhatja, hogy a forgalom hogyan legyen irányítva a virtuális hálózaton belül. Ebben az útmutatóban a Container Apps virtuális hálózatának beállítási UDR-jét kell beállítania az Azure Firewall kimenő forgalmának korlátozásához.
Az Azure Firewall helyett NAT-átjárót vagy bármely más külső berendezést is használhat.
További információkért tekintse meg az UDR azure firewallmalvaló konfigurálását az Azure Container Apps hálózatkezelésében.
Előfeltételek
Számításifeladat-profilok környezete: Egy egyéni virtuális hálózattal integrált számításiprofil-környezet. További információ: útmutató tárolóalkalmazás-környezet létrehozásához a számítási feladatprofilok környezetében.
curltámogatás: A tárolóalkalmazásnak olyan tárolóval kell rendelkeznie, amely támogatjacurla parancsokat. Ebben az útmutatóban a tárolóalkalmazás megfelelő üzembe helyezésének ellenőrzésére használhatócurl. Ha nincs üzembe helyezett tárolóalkalmazásacurl, a következő tárolót helyezheti üzembe, amely támogatjacurla következőtmcr.microsoft.com/k8se/quickstart:latest.
A tűzfal alhálózatának létrehozása
Egy AzureFirewallSubnet nevű alhálózatra van szükség ahhoz, hogy tűzfalat telepítsen az integrált virtuális hálózatba.
Nyissa meg az alkalmazással integrált virtuális hálózatot az Azure Portalon.
A bal oldali menüben válassza az Alhálózatok, majd az + Alhálózat lehetőséget.
Írja be a következő értékeket:
Beállítás Művelet Név Adja meg az AzureFirewallSubnetet. Alhálózati címtartomány Használja az alapértelmezett értéket, vagy adjon meg egy /26 vagy nagyobb alhálózati tartományt. Válassza a Mentés lehetőséget
A tűzfal üzembe helyezése
Az Azure Portal menüjében vagy a kezdőlapon válassza az Erőforrás létrehozása lehetőséget.
Keressen rá a tűzfalra.
Válassza a Tűzfal lehetőséget.
Válassza a Létrehozás lehetőséget.
A Tűzfal létrehozása lapon konfigurálja a tűzfalat az alábbi beállításokkal.
Beállítás Művelet Erőforráscsoport Adja meg ugyanazt az erőforráscsoportot, mint az integrált virtuális hálózat. Név Adja meg a választott nevet Régió Válassza ki ugyanazt a régiót, mint az integrált virtuális hálózat. Tűzfalszabályzat Hozzon létre egyet az Új hozzáadása gombra kattintva. Virtuális hálózat Válassza ki az integrált virtuális hálózatot. Nyilvános IP-cím Válasszon ki egy meglévő címet, vagy hozzon létre egyet az Új hozzáadása gombra kattintva. Válassza az Áttekintés + létrehozás lehetőséget. Az ellenőrzés befejezése után válassza a Létrehozás lehetőséget. Az érvényesítési lépés végrehajtása eltarthat néhány percig.
Az üzembe helyezés befejezése után válassza az Erőforrás megnyitása lehetőséget.
A tűzfal Áttekintés lapján másolja ki a tűzfal privát IP-címét. Ez az IP-cím lesz a következő ugrási cím a virtuális hálózat útválasztási szabályának létrehozásakor.
Az összes forgalom átirányítása a tűzfalra
Az Azure-beli virtuális hálózatok alapértelmezett útvonaltáblái a hálózat létrehozásakor vannak érvényben. Felhasználó által definiált útvonaltábla implementálásával szabályozhatja, hogy a forgalom hogyan legyen irányítva a virtuális hálózaton belül. A következő lépésekben létrehoz egy UDR-t, amely az összes forgalmat az Azure Firewallra irányítja.
Az Azure Portal menüjében vagy a kezdőlapon válassza az Erőforrás létrehozása lehetőséget.
Útvonaltáblák keresése.
Válassza az Útvonaltáblák lehetőséget.
Válassza a Létrehozás lehetőséget.
Írja be a következő értékeket:
Beállítás Művelet Régió Válassza ki a régiót virtuális hálózatként. Név Adjon meg egy nevet. Átjáróútvonalak propagálása Válassza a Nem lehetőséget Válassza az Áttekintés + létrehozás lehetőséget. Az ellenőrzés befejezése után válassza a Létrehozás lehetőséget.
Az üzembe helyezés befejezése után válassza az Erőforrás megnyitása lehetőséget.
A bal oldali menüben válassza az Útvonalak lehetőséget, majd válassza a Hozzáadás lehetőséget egy új útvonaltábla létrehozásához
Konfigurálja az útvonaltáblát a következő beállításokkal:
Beállítás Művelet Címelőtag Adja meg a 0.0.0.0/0 értéket Következő ugrási típus Virtuális berendezés kiválasztása Következő ugrási cím Adja meg a tűzfal üzembe helyezésében mentett privát tűzfal IP-címét. Válassza a Hozzáadás lehetőséget az útvonal létrehozásához.
A bal oldali menüben válassza az Alhálózatok lehetőséget, majd a Társítás lehetőséget az útvonaltábla a tárolóalkalmazás alhálózatához való társításához.
Az alhálózat társítása a következő értékekkel konfigurálható:
Beállítás Művelet Virtuális hálózat Válassza ki a tárolóalkalmazás virtuális hálózatát. Alhálózat Válassza ki a tárolóalkalmazás alhálózatát. Kattintson az OK gombra.
Tűzfalszabályzatok konfigurálása
Feljegyzés
Ha az UDR-t azure-tűzfallal használja az Azure Container Appsben, bizonyos teljes tartománynév- és szolgáltatáscímkéket kell hozzáadnia a tűzfal engedélyezési listájához. A szükséges szolgáltatáscímkék meghatározásához tekintse meg az UDR Azure Firewalllal való konfigurálását.
Most a tárolóalkalmazásból érkező összes kimenő forgalom a tűzfalra lesz irányítva. Jelenleg a tűzfal továbbra is engedélyezi az összes kimenő forgalmat. A kimenő forgalom engedélyezett vagy elutasított forgalmának kezeléséhez tűzfalszabályzatokat kell konfigurálnia.
Az Azure Firewall-erőforrás Áttekintés lapján válassza a Tűzfalházirend lehetőséget
A tűzfalszabályzat oldalának bal oldali menüjében válassza az Alkalmazásszabályok lehetőséget.
Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
Adja meg a következő értékeket a szabálygyűjteményhez:
Beállítás Művelet Név Gyűjteménynév megadása Szabálygyűjtemény típusa Alkalmazás kiválasztása Priority (Prioritás) Adja meg a prioritást, például a 110-et Szabálygyűjtési művelet Válassza az Engedélyezés lehetőséget Szabálygyűjteményi csoport Válassza a DefaultApplicationRuleCollectionGroup lehetőséget A Szabályok csoportban adja meg a következő értékeket
Beállítás Művelet Név Adja meg a szabály nevét Forrás típusa IP-cím kiválasztása Forrás Írja be a következő szöveget: * Protokoll Adja meg a http:80,https:443 Céltípus Válassza az FQDN lehetőséget. Cél Írja be mcr.microsoft.coma ,*.data.mcr.microsoft.com. Ha ACR-t használ, adja hozzá az ACR-címét és*.blob.core.windows.neta .Művelet Válassza az Engedélyezés lehetőséget Feljegyzés
Ha Docker Hub-beállításjegyzéket használ, és a tűzfalon keresztül szeretné elérni, a következő teljes tartományneveket kell hozzáadnia a szabályok céllistájához: hub.docker.com, registry-1.docker.io és production.cloudflare.docker.com.
Válassza a Hozzáadás lehetőséget.
Ellenőrizze, hogy a tűzfal blokkolja-e a kimenő forgalmat
Annak ellenőrzéséhez, hogy a tűzfal konfigurációja megfelelően van-e beállítva, használhatja az curl alkalmazás hibakeresési konzolján található parancsot.
Lépjen az Azure Firewalllal konfigurált tárolóalkalmazásra.
A bal oldali menüben válassza a Konzol lehetőséget, majd válassza ki a parancsot támogató tárolót
curl.A Select start up command menu,select /bin/sh, and select Csatlakozás.
Futtassa
curl -s https://mcr.microsoft.coma konzolon. A tűzfalszabályzatok engedélyezési listájához hozzáadottmcr.microsoft.comsikeres válasznak kell megjelennie.Futtasson
curl -s https://<FQDN_ADDRESS>olyan URL-címet, amely nem felel meg a célszabályoknak, példáulexample.com. A példaparancs a következő lennecurl -s https://example.com: . Nem kaphat választ, ami azt jelzi, hogy a tűzfal letiltotta a kérést.