إعداد قيود دخول IP في Azure Container Apps
تسمح لك Azure Container Apps بالحد من نسبة استخدام الشبكة الواردة إلى تطبيق الحاوية الخاص بك عن طريق تكوين قيود دخول IP عبر تكوين الدخول.
هناك نوعان من القيود:
- السماح: السماح بنسبة استخدام الشبكة الواردة فقط من نطاقات العناوين التي تحددها في قواعد السماح.
- الرفض: رفض كل نسبة استخدام الشبكة الواردة فقط من نطاقات العناوين التي تحددها في قواعد الرفض.
عندما لا يتم تعريف قواعد تقييد IP، يسمح بجميع حركة المرور الواردة.
تحتوي قواعد قيود IP على الخصائص التالية:
| الخاصية | القيمة | الوصف |
|---|---|---|
| الاسم | سلسلة | اسم القاعدة. |
| الوصف | سلسلة | وصف للقاعدة. |
| ipAddressRange | نطاق عنوان IP بتنسيق CIDR | نطاق عنوان IP في رمز CIDR. |
| إجراء | السماح أو الرفض | الإجراء الذي يجب اتخاذه للقاعدة. |
ipAddressRange تقبل المعلمة عناوين IPv4. تعريف كل كتلة عنوان IPv4 في رمز التوجيه بين المجالات (CIDR) بدون فئة.
إشعار
يجب أن تكون جميع القواعد من نفس النوع. لا يمكنك دمج قواعد السماح وقواعد الرفض.
إدارة قيود دخول IP
يمكنك إدارة قواعد قيود الوصول إلى IP من خلال مدخل Azure أو Azure CLI.
إضافة قواعد
انتقل إلى تطبيق الحاوية في مدخل Microsoft Azure.
حدد Ingress من القائمة اليمنى.
حدد تبديل وضع قيود أمان IP لتمكين قيود IP. يمكنك اختيار السماح بنسبة استخدام الشبكة أو رفضها من نطاقات عناوين IP المحددة.
حدد "Add" لإنشاء القاعدة.
أدخل القيم في الحقول التالية:
الحقل الوصف عنوان أو نطاق IPv4 أدخل عنوان IP أو نطاق عناوين IP في رمز CIDR. على سبيل المثال، للسماح بالوصول من عنوان IP واحد، استخدم التنسيق التالي: 10.200.10.2/32. الاسم أدخل اسمًا للقاعدة. الوصف أدخل وصفا للقاعدة. حدد إضافة.
كرر الخطوات من 4 إلى 6 لإضافة المزيد من القواعد.
عند الانتهاء من إضافة القواعد، حدد حفظ.
تحديث قاعدة
- انتقل إلى تطبيق الحاوية في مدخل Microsoft Azure.
- حدد Ingress من القائمة اليمنى.
- حدد القاعدة التي تريد تحديثها.
- تغيير إعدادات القاعدة.
- حدد حفظ لحفظ التحديثات.
- حدد Save في صفحة Ingress لحفظ القواعد المحدثة.
حذف قاعدة
- انتقل إلى تطبيق الحاوية في مدخل Microsoft Azure.
- حدد Ingress من القائمة اليمنى.
- حدد أيقونة الحذف بجوار القاعدة التي تريد حذفها.
- حدد حفظ.
يمكنك إدارة قيود الوصول إلى IP باستخدام az containerapp ingress access-restriction مجموعة الأوامر. تحتوي مجموعة الأوامر هذه على خيارات:
-
set: إنشاء قاعدة أو تحديثها. -
remove: حذف قاعدة. -
list: سرد جميع القواعد.
إنشاء قواعد أو تحديثها
يمكنك إنشاء قيود IP أو تحديثها az containerapp ingress access-restriction set باستخدام الأمر .
az containerapp ingress access-restriction set تستخدم مجموعة الأوامر المعلمات التالية.
| الوسيطة | القيم | الوصف |
|---|---|---|
--rule-name (مطلوب) |
السلسلة | تحديد اسم قاعدة تقييد الوصول. |
--description |
السلسلة | تحديد وصف لقاعدة تقييد الوصول. |
--action (مطلوب) |
السماح، الرفض | تحديد ما إذا كان يجب السماح بالوصول أو رفضه من نطاق عناوين IP المحدد. |
--ip-address (مطلوب) |
عنوان IP أو نطاق عناوين IP في رمز CIDR | تحديد نطاق عنوان IP للسماح به أو رفضه. |
أضف المزيد من القواعد عن طريق تكرار الأمر بقيم مختلفة --rule-name و---ip-address .
إنشاء قواعد السماح
ينشئ الأمر المثال az containerapp access-restriction set التالي قاعدة لتقييد الوصول الوارد إلى نطاق عناوين IP. يجب حذف أي قواعد رفض موجودة قبل أن تتمكن من إضافة أي قواعد السماح.
استبدل القيم الموجودة في المثال التالي بالقيم الخاصة بك.
az containerapp ingress access-restriction set \
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "my allow rule" \
--description "example of rule allowing access" \
--ip-address 192.168.0.1/28 \
--action Allow
يمكنك إضافة إلى قواعد السماح عن طريق تكرار الأمر بقيم و --rule-name مختلفة--ip-address.
إنشاء قواعد الرفض
ينشئ المثال التالي للأمر az containerapp access-restriction set قاعدة وصول لرفض نسبة استخدام الشبكة الواردة من نطاق IP محدد. يجب حذف أي قواعد السماح الموجودة قبل أن تتمكن من إضافة قواعد الرفض.
استبدل العناصر النائبة في المثال التالي بالقيم الخاصة بك.
az containerapp ingress access-restriction set \
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "my deny rule" \
--description "example of rule denying access" \
--ip-address 192.168.0.100/28 \
--action Deny
يمكنك إضافة إلى قواعد الرفض عن طريق تكرار الأمر بقيم و --rule-name مختلفة--ip-address. إذا كنت تستخدم اسم قاعدة موجود بالفعل، يتم تحديث القاعدة الموجودة.
تحديث قاعدة
يمكنك تحديث قاعدة باستخدام az containerapp ingress access-restriction set الأمر . يمكنك تغيير نطاق عنوان IP ووصف القاعدة، ولكن ليس اسم القاعدة أو الإجراء.
المعلمة --action مطلوبة، ولكن لا يمكنك تغيير الإجراء من Allow إلى Deny أو العكس.
إذا حذفت المعلمة ---description ، يتم حذف الوصف.
يحدث المثال التالي نطاق عنوان IP.
az containerapp ingress access-restriction set \
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "my deny rule" \
--ip-address 192.168.0.1/24 \
--description "example of rule denying access" \
--action Deny
إزالة قيود الوصول
يقوم الأمر المثال az containerapp ingress access-restriction remove التالي بإزالة قاعدة.
az containerapp ingress access-restriction list
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP> \
--rule-name "<your rule name>"
سرد قيود الوصول
يسرد الأمر المثال az containerapp ingress access-restriction list التالي قواعد تقييد IP لتطبيق الحاوية.
az containerapp ingress access-restriction list
--name <CONTAINER_APP_NAME> \
--resource-group <RESOURCE_GROUP>