Mise en réseau pour Azure Container Apps – Accélérateur de zone d’atterrissage

Container Apps est chargé de prendre en charge les mises à jour du système d’exploitation, la mise à l’échelle, les processus de basculement et l’allocation de ressources dans un environnement Container Apps. Les environnements encapsulent une ou plusieurs applications ou travaux de conteneur, en créant une limite sécurisée via un réseau virtuel (VNet).

Par défaut, un réseau virtuel est automatiquement créé pour votre environnement Container App. Toutefois, si vous souhaitez un contrôle plus détaillé sur votre réseau, vous pouvez utiliser un réseau virtuel préexistant lorsque vous créez votre environnement d’application conteneur.

Les environnements peuvent accepter des demandes externes ou peuvent être verrouillés uniquement sur des requêtes internes.

Les environnements externes exposent des applications conteneur à l’aide d’une adresse IP virtuelle accessible via l’Internet public. Autrement, les environnements internes exposent ses applications conteneur sur une adresse IP à l’intérieur de votre réseau virtuel. Vous pouvez restreindre le trafic dans l’environnement d’application conteneur ou via le réseau virtuel. Pour plus d’informations, consultez Considérations de sécurité pour l’accélérateur de zone d’atterrissage Azure Container Apps.

À propos de l’installation

• Configuration requise du sous-réseau :

  • Un sous-réseau dédié est requis pour un environnement sur le réseau virtuel. Le CIDR du sous-réseau doit être de /23 ou plus pour les environnements de consommation uniquement, /27 ou plus pour les environnements de profils de charge de travail.

• Gestion des adresses IP :

  • Une base de 60 adresses IP est réservée dans votre réseau virtuel. Cette quantité peut augmenter à mesure que votre environnement de conteneur est mis à l’échelle à mesure que chaque révision d’application obtient une adresse IP à partir du sous-réseau. Les adresses IP sortantes peuvent changer au fil du temps.

  • Seules les adresses IPv4 sont prises en charge (IPv6 n’est pas pris en charge).

  • Une ressource IP publique managée gère les demandes sortantes et le trafic de gestion, que vous disposiez d’un environnement externe ou interne.

• Sécurité réseau :

  • Vous pouvez verrouiller un réseau par le biais de groupes de sécurité réseau avec des règles plus restrictives que les règles NSG par défaut qui contrôlent tout le trafic entrant et sortant dans un environnement.

• Proxy et chiffrement :

  • Container Apps utilise un proxy Envoy comme proxy HTTP de périphérie. Toutes les requêtes HTTP sont automatiquement redirigées vers HTTPS. Envoy met fin à la sécurité de la couche de transport (TLS) après avoir franchi sa limite. La sécurité de couche de transport mutuelle (mTLS) est disponible uniquement lors de l’utilisation de Dapr. Toutefois, étant donné qu’Envoy met fin à mTLS, les appels entrants d’Envoy vers les applications conteneur compatibles Dapr ne sont pas chiffrés.

• Considérations relatives au DNS :

  • En tant qu’environnement déployé, Container Apps effectue de nombreuses recherches DNS. Certaines de ces recherches font référence à des domaines Azure internes. Si vous forcez le trafic DNS via votre solution DNS personnalisée, configurez votre serveur DNS pour transférer des requêtes DNS non résolues vers Azure DNS.

  • Pour les applications s’exécutant en interne sur Container Apps, le système s’appuie sur des zones DNS privées Azure pour résoudre le nom DNS en adresse IP interne. Dans la zone DNS privée, vous pouvez pointer un enregistrement générique (*) A vers l’adresse IP de l’équilibreur de charge interne.

• Gestion du trafic sortant :

  • Le trafic réseau sortant (ou de sortie) peut être acheminé par le biais d’un Pare-feu Azure ou d’un cluster d’appliances virtuelles réseau.

• Équilibrage de charge entre les environnements :

  • Pour exécuter votre application sur plusieurs environnements Container Apps pour des raisons de résilience ou de proximité, envisagez d’utiliser un service d’équilibrage de charge global comme Azure Traffic Manager ou Azure Front Door.

• Sécurité réseau :

  • Utilisez des groupes de sécurité réseau (NSG) pour sécuriser votre réseau et bloquer le trafic entrant et sortant inutile.

  • Utilisez Azure DDoS Protection pour l’environnement Azure Container Apps.

  • Utilisez Private Link pour sécuriser les connexions réseau et la connectivité IP privée à d’autres services Azure managés.

  • Vérifiez que tous les points de terminaison de la solution (internes et externes) acceptent uniquement les connexions chiffrées TLS (HTTPS).

  • Utilisez un pare-feu d’applications web avec l’entrée HTTPS/TCP pour les applications web accessibles sur Internet et critiques en matière de sécurité.

  • Dans certains scénarios, vous pouvez exposer une application web Container Apps directement sur Internet et la protéger avec des services CDN/WAF tiers.

Recommandations

• Configuration réseau : déployez vos applications conteneur dans un réseau virtuel personnalisé pour mieux contrôler la configuration du réseau.

• Connectivité entrante sécurisée : lors de la publication de services accessibles sur Internet, utilisez Azure Application Gateway (référence SKU WAF_v2) ou Azure Front Door (avec pare-feu d’applications web) pour sécuriser la connectivité entrante.

• Gestion du trafic interne : utilisez une configuration réseau interne pour les services tels qu’Azure Application Gateway ou Azure Front Door, ce qui garantit que le trafic de l’équilibreur de charge vers l’environnement Azure Container Apps utilise une connexion interne.

• Exposition d’applications : activez l’entrée pour exposer votre application sur HTTPS ou port TCP.

Références

• Architecture réseau dans Azure Container Apps
• Sécurisation d’un réseau virtuel personnalisé dans Azure Container Apps
• Proxy réseau dans Azure Container Apps
• Restrictions d’entrée IP dans Azure Container Apps
• Prise en charge des itinéraires définis par l’utilisateur
• Configurer l’UDR avec le Pare-feu Azure