التحكم في نسبة استخدام الشبكة الصادرة في Azure Container Apps باستخدام المسارات المعرفة من قبل المستخدم

توضح لك هذه المقالة كيفية استخدام المسارات المعرفة من قبل المستخدم (UDR) مع Azure Firewall لتأمين نسبة استخدام الشبكة الصادرة من تطبيقات الحاوية إلى موارد Azure الخلفية أو موارد الشبكة الأخرى.

ينشئ Azure جدول توجيه افتراضي لشبكاتك الظاهرية عند الإنشاء. من خلال تنفيذ جدول توجيه معرف من قبل المستخدم، يمكنك التحكم في كيفية توجيه نسبة استخدام الشبكة داخل شبكتك الظاهرية. في هذا الدليل، UDR الإعداد الخاص بك على الشبكة الظاهرية تطبيقات الحاوية لتقييد حركة المرور الصادرة باستخدام جدار حماية Azure.

يمكنك أيضا استخدام بوابة NAT أو أي أجهزة أخرى تابعة لجهة خارجية بدلا من Azure Firewall.

راجع تكوين UDR باستخدام Azure Firewall في الشبكات في Azure Container Apps لمزيد من المعلومات.

المتطلبات الأساسية

• بيئة ملفات تعريف حمل العمل: بيئة ملفات تعريف حمل العمل المدمجة مع شبكة ظاهرية مخصصة. لمزيد من المعلومات، راجع دليل كيفية إنشاء بيئة تطبيق حاوية على بيئة ملفات تعريف حمل العمل.

• curl الدعم: يجب أن يحتوي تطبيق الحاوية على حاوية تدعم curl الأوامر. في هذه الكيفية، يمكنك استخدام curl للتحقق من نشر تطبيق الحاوية بشكل صحيح. إذا لم يكن لديك تطبيق حاوية مع curl نشر، يمكنك نشر الحاوية التالية التي تدعم curl، mcr.microsoft.com/k8se/quickstart:latest.

إنشاء الشبكة الفرعية لجدار الحماية

مطلوب شبكة فرعية تسمى AzureFirewallSubnet من أجل نشر جدار حماية في الشبكة الظاهرية المتكاملة.

1. افتح الشبكة الظاهرية المدمجة مع تطبيقك في مدخل Microsoft Azure.

2. من القائمة على اليسار، حدد Subnets، ثم حدد + Subnet.

3. أدخل القيم التالية:

   الإعدادات	الإجراء
   الاسم	أدخل AzureFirewallSubnet.
   نطاق عناوين الشبكة الفرعية	استخدم الافتراضي أو حدد نطاق شبكة فرعية /26 أو أكبر.

4. حدد حفظ

انشر جدار الحماية

1. في قائمة مدخل Azure أو في صفحة Home، حدد Create a resource.

2. ابحث عن جدار الحماية.

3. حدد «جدار الحماية».

4. حدد إنشاء.

5. في صفحة إنشاء جدار حماية ، قم بتكوين جدار الحماية بالإعدادات التالية.

   الإعدادات	الإجراء
   مجموعة الموارد	أدخل نفس مجموعة الموارد مثل الشبكة الظاهرية المتكاملة.
   الاسم	أدخل اسما من اختيارك
   المنطقة	حدد نفس المنطقة مثل الشبكة الظاهرية المتكاملة.
   نهج جدار الحماية	أنشئ واحدًا عن طريق تحديد إضافة جديد.
   الشبكة الظاهرية	حدد الشبكة الظاهرية المتكاملة.
   عنوان IP العام	حدد عنوانًا موجودًا أو أنشئ عنوانًا عن طريق تحديد إضافة عنوان جديد.

6. حدد "Review + create". بعد اكتمال عملية التحقق، حدد Create. قد تستغرق خطوة التحقق من الصحة بضع دقائق لإكمالها.

7. بمجرد اكتمال النشر، حدد Go to Resource.

8. في صفحة نظرة عامة على جدار الحماية، انسخ عنوان IP الخاص بجدار الحماية. يتم استخدام عنوان IP هذا كعنوان القفزة التالية عند إنشاء قاعدة التوجيه للشبكة الظاهرية.

توجيه كافة نسبة استخدام الشبكة إلى جدار الحماية

تحتوي الشبكات الظاهرية في Azure على جداول توجيه افتراضية عند إنشاء الشبكة. من خلال تنفيذ جدول توجيه معرف من قبل المستخدم، يمكنك التحكم في كيفية توجيه نسبة استخدام الشبكة داخل شبكتك الظاهرية. في الخطوات التالية، يمكنك إنشاء UDR لتوجيه كافة نسبة استخدام الشبكة إلى جدار حماية Azure.

1. في قائمة مدخل Azure أو في صفحة Home، حدد Create a resource.

2. ابحث عن جداول التوجيه.

3. حدد جداول التوجيه.

4. حدد إنشاء.

5. أدخل القيم التالية:

   الإعدادات	الإجراء
   المنطقة	حدد المنطقة كشبكتك الظاهرية.
   الاسم	أدخل اسمًا.
   نشر مسارات البوابة	حدد لا.

6. حدد "Review + create". بعد اكتمال عملية التحقق، حدد Create.

7. بمجرد اكتمال النشر، حدد Go to Resource.

8. من القائمة على اليسار، حدد Routes، ثم حدد Add لإنشاء جدول توجيه جديد

9. تكوين جدول التوجيه بالإعدادات التالية:

   الإعدادات	الإجراء
   بادئة العنوان	أدخل 0.0.0.0/0
   نوع القفزة التالية	تحديد الجهاز الظاهري
   عنوان القفزة التالية	أدخل عنوان IP الخاص بجدار الحماية الذي حفظته في نشر جدار الحماية.

10. حدد Add لإنشاء المسار.

11. من القائمة على اليسار، حدد Subnets، ثم حدد Associate لربط جدول التوجيه الخاص بك بالشبكة الفرعية لتطبيق الحاوية.

12. تكوين الشبكة الفرعية Associate بالقيم التالية:

    الإعدادات	الإجراء
    الشبكة الظاهرية	حدد الشبكة الظاهرية لتطبيق الحاوية.
    الشبكه الفرعيه	حدد الشبكة الفرعية الخاصة بك لتطبيق الحاوية.

13. حدد موافق.

تكوين نهج جدار الحماية

الآن، يتم توجيه جميع حركة المرور الصادرة من تطبيق الحاوية إلى جدار الحماية. حاليا، لا يزال جدار الحماية يسمح لجميع حركة المرور الصادرة من خلالها. لإدارة نسبة استخدام الشبكة الصادرة المسموح بها أو المرفوضة، تحتاج إلى تكوين نهج جدار الحماية.

1. في مورد Azure Firewall في صفحة Overview، حدد Firewall policy

2. من القائمة الموجودة على يسار صفحة نهج جدار الحماية، حدد قواعد التطبيق.

3. حدد Add a rule collection.

4. أدخل القيم التالية لمجموعة القواعد:

   الإعدادات	الإجراء
   الاسم	أدخل اسم مجموعة
   نوع مجموعة القواعد	تحديد تطبيق
   الأولوية	أدخل الأولوية مثل 110
   إجراء مجموعة القواعد	حدد السماح
   مجموعة مجموعة القواعد	حدد DefaultApplicationRuleCollectionGroup

5. ضمن القواعد، أدخل القيم التالية

   الإعدادات	الإجراء
   الاسم	أدخل اسما للقاعدة
   نوع المصدر	تحديد عنوان IP
   Source	أدخل *
   البروتوكول	أدخل http:80,https:443
   نوع الوجهة	حدد FQDN.
   مقصد	أدخل mcr.microsoft.com،*.data.mcr.microsoft.com. إذا كنت تستخدم ACR، أضف عنوان ACR و.*.blob.core.windows.net
   الإجراء	حدد السماح

   إشعار

   إذا كنت تستخدم سجل Docker Hub وتريد الوصول إليه من خلال جدار الحماية الخاص بك، فستحتاج إلى إضافة FQDNs التالية إلى قائمة وجهة القواعد: hub.docker.com registry-1.docker.io production.cloudflare.docker.com.

6. حدد إضافة.

تحقق من أن جدار الحماية الخاص بك يمنع نسبة استخدام الشبكة الصادرة

للتحقق من إعداد تكوين جدار الحماية الخاص بك بشكل صحيح، يمكنك استخدام curl الأمر من وحدة تحكم تصحيح أخطاء التطبيق.

1. انتقل إلى تطبيق الحاوية الذي تم تكوينه باستخدام Azure Firewall.

2. من القائمة على اليسار، حدد وحدة التحكم، ثم حدد الحاوية curl التي تدعم الأمر.

3. في قائمة اختيار أمر البدء، حدد /bin/sh، وحدد اتصال.

4. في وحدة التحكم، قم بتشغيل curl -s https://mcr.microsoft.com. يجب أن تشاهد استجابة ناجحة عند إضافتها mcr.microsoft.com إلى قائمة السماح لنهج جدار الحماية.

5. شغل curl -s https://<FQDN_ADDRESS> للحصول على عنوان URL لا يتطابق مع أي من قواعد الوجهة مثل example.com. سيكون curl -s https://example.comالأمر المثال هو . يجب ألا تحصل على أي استجابة، ما يشير إلى أن جدار الحماية الخاص بك قد حظر الطلب.

الخطوات التالية