Partager via

Sécurisation d’un réseau virtuel personnalisé dans Azure Container Apps avec des groupes de sécurité réseau

  • Article

Les groupes de sécurité réseau (NSG) nécessaires pour configurer des réseaux virtuels ressemblent étroitement aux paramètres exigés par Kubernetes.

Vous pouvez verrouiller un réseau via des groupes de sécurité réseau avec des règles plus restrictives que les règles de groupe de sécurité réseau par défaut pour contrôler tout le trafic entrant et sortant pour l’environnement Container Apps au niveau de l’abonnement.

Dans l’environnement des profils de charge de travail, les itinéraires définis par l’utilisateur (UDR) et la sécurisation du trafic sortant avec un pare-feu sont pris en charge. Lors de l’utilisation d’un environnement de profils de charge de travail externe, le trafic entrant vers Azure Container Apps est acheminé via l’adresse IP publique qui existe dans le groupe de ressources managé plutôt que via votre sous-réseau. Cela signifie que le verrouillage du trafic entrant via un groupe de sécurité réseau ou un pare-feu sur un environnement de profils de charge de travail externe n’est pas pris en charge. Pour plus d’informations, consultez Mise en réseau dans les environnements Azure Container Apps.

Dans l’environnement Consommation uniquement, les itinéraires personnalisés définis par l’utilisateur (UDR). Dans l’environnement Consommation uniquement, les itinéraires express ne sont pas pris en charge et les itinéraires personnalisés définis par l’utilisateur (UDR) ont une prise en charge limitée. Pour plus d’informations sur le niveau de prise en charge de l’UDR disponible sur l’environnement Consommation uniquement, consultez le FAQ.

Règles d’autorisation de groupe de sécurité réseau

Les tableaux suivants décrivent la configuration d’un ensemble de règles de groupe de sécurité réseau. Les règles spécifiques requises dépendent de votre type d’environnement.

Entrant

Remarque

Lorsque vous utilisez des profils de charge de travail, les règles de groupe de sécurité réseau entrantes s’appliquent uniquement au trafic transitant par votre réseau virtuel. Si vos applications conteneur sont définies pour accepter le trafic à partir de l’Internet public, le trafic entrant passe par le point de terminaison public au lieu du réseau virtuel.

Protocol Source Ports source Destination Ports de destination Description
TCP Adresses IP clientes * Sous-réseau1 de votre application conteneur 80, 31080 Autoriser vos adresses IP clientes à accéder à Azure Container Apps lors de l’utilisation de HTTP. 31080 est le port sur lequel le proxy Edge d’environnement Container Apps répond au trafic HTTP. Il se trouve derrière l’équilibreur de charge interne.
TCP Adresses IP clientes * Sous-réseau1 de votre application conteneur 443, 31443 Autoriser vos adresses IP clientes à accéder à Azure Container Apps lors de l’utilisation du protocole HTTPS. 31443 est le port sur lequel le proxy Edge d’environnement Container Apps répond au trafic HTTPS. Il se trouve derrière l’équilibreur de charge interne.
TCP AzureLoadBalancer * Sous-réseau de votre application conteneur 30000-327672 Autoriser Azure Load Balancer à sonder des pools principaux.

1 Cette adresse est passée en tant que paramètre lorsque vous créez un environnement. Par exemple : 10.0.0.0/21.
2 La plage complète est requise lors de la création de votre azure Container Apps en tant que port dans la plage par allocation dynamique. Une fois créés, les ports requis sont deux valeurs statiques immuables et vous pouvez mettre à jour vos règles de groupe de sécurité réseau.

Sortant(e)

Protocol Source Ports source Destination Ports de destination Description
TCP Sous-réseau de votre application conteneur * MicrosoftContainerRegistry 443 Il s’agit de l’étiquette de service pour le registre de conteneurs Microsoft pour les conteneurs système.
TCP Sous-réseau de votre application conteneur * AzureFrontDoor.FirstParty 443 Il s’agit d’une dépendance de la balise de MicrosoftContainerRegistry service.
Tout Sous-réseau de votre application conteneur * Sous-réseau de votre application conteneur * Autorisez la communication entre les adresses IP dans le sous-réseau de votre application conteneur.
TCP Sous-réseau de votre application conteneur * AzureActiveDirectory 443 Si vous utilisez une identité managée, cela est nécessaire.
TCP Sous-réseau de votre application conteneur * AzureMonitor 443 Obligatoire uniquement lors de l’utilisation d’Azure Monitor. Autorise les appels sortants vers Azure Monitor.
TCP et UDP Sous-réseau de votre application conteneur * 168.63.129.16 53 Permet à l’environnement d’utiliser Azure DNS pour résoudre le nom d’hôte.
TCP Sous-réseau1 de votre application conteneur * Votre registre de conteneurs Port de votre registre de conteneurs Cela est nécessaire pour communiquer avec votre registre de conteneurs. Par exemple, lorsque vous utilisez ACR, vous avez besoin AzureContainerRegistry et AzureActiveDirectory pour la destination, et le port sera le port de votre registre de conteneurs, sauf si vous utilisez des points de terminaison privés.2
TCP Sous-réseau de votre application conteneur * Storage.<Region> 443 Obligatoire uniquement lors de l’utilisation Azure Container Registry pour héberger vos images.

1 Cette adresse est passée en tant que paramètre lorsque vous créez un environnement. Par exemple : 10.0.0.0/21.
2 Si vous utilisez Azure Container Registry (ACR) avec des groupes de sécurité réseau configurés sur votre réseau virtuel, créez un point de terminaison privé sur votre ACR pour permettre à Azure Container Apps d’extraire des images via le réseau virtuel. Vous n’avez pas besoin d’ajouter une règle de groupe de sécurité réseau pour ACR lorsqu’elle est configurée avec des points de terminaison privés.

À propos de l’installation

  • Si vous exécutez des serveurs HTTP, vous devrez peut-être ajouter des ports 80 et 443.
  • Ne refusez pas explicitement l’adresse 168.63.129.16 AZURE DNS dans les règles de groupe de sécurité réseau sortantes, ou votre environnement Container Apps ne pourra pas fonctionner.