Bagikan melalui

Mengontrol lalu lintas keluar di Azure Container Apps dengan rute yang ditentukan pengguna

  • Artikel

Catatan

Fitur ini hanya didukung untuk jenis lingkungan profil beban kerja.

Artikel ini memperlihatkan kepada Anda cara menggunakan rute yang ditentukan pengguna (UDR) dengan Azure Firewall untuk mengunci lalu lintas keluar dari Container Apps Anda ke sumber daya Azure back-end atau sumber daya jaringan lainnya.

Azure membuat tabel rute default untuk jaringan virtual Anda saat dibuat. Dengan menerapkan tabel rute yang ditentukan pengguna, Anda dapat mengontrol bagaimana lalu lintas dirutekan dalam jaringan virtual Anda. Dalam panduan ini, penyiapan UDR Anda di jaringan virtual Container Apps untuk membatasi lalu lintas keluar dengan Azure Firewall.

Anda juga dapat menggunakan gateway NAT atau appliance pihak ketiga lainnya, bukan Azure Firewall.

Lihat mengonfigurasi UDR dengan Azure Firewall dalam jaringan di Azure Container Apps untuk informasi selengkapnya.

Prasyarat

  • Lingkungan profil beban kerja: Lingkungan profil beban kerja yang terintegrasi dengan jaringan virtual kustom. Untuk informasi selengkapnya, lihat panduan tentang cara membuat lingkungan aplikasi kontainer di lingkungan profil beban kerja.

  • curl dukungan: Aplikasi kontainer Anda harus memiliki kontainer yang mendukung curl perintah. Dalam cara ini, Anda menggunakan curl untuk memverifikasi bahwa aplikasi kontainer disebarkan dengan benar. Jika Anda tidak memiliki aplikasi kontainer dengan curl yang disebarkan, Anda dapat menyebarkan kontainer berikut yang mendukung curl, mcr.microsoft.com/k8se/quickstart:latest.

Membuat subnet firewall

Subnet yang disebut AzureFirewallSubnet diperlukan untuk menyebarkan firewall ke jaringan virtual terintegrasi.

  1. Buka jaringan virtual yang terintegrasi dengan aplikasi Anda di portal Azure.

  2. Dari menu di sebelah kiri, pilih Subnet, lalu pilih + Subnet.

  3. Masukkan nilai berikut:

    Pengaturan Tindakan
    Nama Masukkan AzureFirewallSubnet.
    Rentang alamat subnet Gunakan default atau tentukan rentang subnet /26 atau lebih besar.

  4. Pilih Simpan

Menyebarkan firewall

  1. Pada menu portal Microsoft Azure atau halaman Beranda, pilih Buat sumber daya.

  2. Cari Firewall.

  3. Pilih Firewall.

  4. Pilih Buat.

  5. Pada halaman Buat Firewall , konfigurasikan firewall dengan pengaturan berikut.

    Pengaturan Tindakan
    Grup sumber daya Masukkan grup sumber daya yang sama dengan jaringan virtual terintegrasi.
    Nama Masukkan nama pilihan Anda
    Wilayah Pilih wilayah yang sama dengan jaringan virtual terintegrasi.
    Kebijakan firewall Buat satu dengan memilih Tambahkan baru.
    Jaringan virtual Pilih jaringan virtual terintegrasi.
    Alamat IP Publik Pilih alamat yang sudah ada atau buat satu dengan memilih Tambahkan baru.

  6. Pilih Tinjau + buat. Setelah validasi selesai, pilih Buat. Langkah validasi mungkin memerlukan waktu beberapa menit untuk diselesaikan.

  7. Setelah penyebaran selesai, pilih Buka Sumber Daya.

  8. Di halaman Gambaran Umum firewall, salin IP privat Firewall. Alamat IP ini digunakan sebagai alamat hop berikutnya saat membuat aturan perutean untuk jaringan virtual.

Merutekan semua lalu lintas ke firewall

Jaringan virtual Anda di Azure memiliki tabel rute default saat Anda membuat jaringan. Dengan menerapkan tabel rute yang ditentukan pengguna, Anda dapat mengontrol bagaimana lalu lintas dirutekan dalam jaringan virtual Anda. Dalam langkah-langkah berikut, Anda membuat UDR untuk merutekan semua lalu lintas ke Azure Firewall Anda.

  1. Pada menu portal Microsoft Azure atau halaman Beranda, pilih Buat sumber daya.

  2. Cari tabel Rute.

  3. Pilih Tabel Rute.

  4. Pilih Buat.

  5. Masukkan nilai berikut:

    Pengaturan Tindakan
    Wilayah Pilih wilayah sebagai jaringan virtual Anda.
    Nama Masukkan nama.
    Menyebarluaskan rute gateway Pilih Tidak

  6. Pilih Tinjau + buat. Setelah validasi selesai, pilih Buat.

  7. Setelah penyebaran selesai, pilih Buka Sumber Daya.

  8. Dari menu di sebelah kiri, pilih Rute, lalu pilih Tambahkan untuk membuat tabel rute baru

  9. Konfigurasikan tabel rute dengan pengaturan berikut:

    Pengaturan Tindakan
    Awalan alamat Masukkan 0.0.0.0/0
    Jenis hop berikutnya Pilih Appliance virtual
    Alamat hop berikutnya Masukkan IP Privat Firewall yang Anda simpan di Sebarkan firewall.

  10. Pilih Tambahkan untuk membuat rute.

  11. Dari menu di sebelah kiri, pilih Subnet, lalu pilih Kaitkan untuk mengaitkan tabel rute Anda dengan subnet aplikasi kontainer.

  12. Konfigurasikan subnet Kaitkan dengan nilai berikut:

    Pengaturan Tindakan
    Jaringan virtual Pilih jaringan virtual untuk aplikasi kontainer Anda.
    Subnet Pilih subnet untuk aplikasi kontainer Anda.

  13. Pilih OK.

Mengonfigurasi kebijakan firewall

Catatan

Saat menggunakan UDR dengan Azure Firewall di Azure Container Apps, Anda harus menambahkan tag FQDN dan layanan tertentu ke daftar yang diizinkan untuk firewall. Silakan lihat mengonfigurasi UDR dengan Azure Firewall untuk menentukan tag layanan mana yang Anda butuhkan.

Sekarang, semua lalu lintas keluar dari aplikasi kontainer Anda dirutekan ke firewall. Saat ini, firewall masih memungkinkan semua lalu lintas keluar melalui. Untuk mengelola lalu lintas keluar apa yang diizinkan atau ditolak, Anda perlu mengonfigurasi kebijakan firewall.

  1. Di sumber daya Azure Firewall Anda di halaman Gambaran Umum, pilih Kebijakan firewall

  2. Dari menu di sebelah kiri halaman kebijakan firewall, pilih Aturan Aplikasi.

  3. Pilih Tambahkan Kumpulan Aturan.

  4. Masukkan nilai berikut untuk Kumpulan Aturan:

    Pengaturan Tindakan
    Nama Masukkan nama koleksi
    Jenis kumpulan aturan Pilih Aplikasi
    Prioritas Masukkan prioritas seperti 110
    Tindakan pengumpulan aturan Pilih Izinkan
    Grup kumpulan aturan Pilih DefaultApplicationRuleCollectionGroup

  5. Di bawah Aturan, masukkan nilai berikut

    Pengaturan Tindakan
    Nama Masukkan nama untuk aturan
    Jenis sumber Pilih Alamat IP
    Sumber Masukkan *
    Protokol Masukkan http:80,https:443
    Jenis Tujuan Pilih FQDN.
    Tujuan Masukkan mcr.microsoft.com,*.data.mcr.microsoft.com. Jika Anda menggunakan ACR, tambahkan alamat ACR Anda dan *.blob.core.windows.net.
    Perbuatan Pilih Izinkan

    Catatan

    Jika Anda menggunakan registri Docker Hub dan ingin mengaksesnya melalui firewall, Anda harus menambahkan FQDN berikut ke daftar tujuan aturan Anda: hub.docker.com, registry-1.docker.io, dan production.cloudflare.docker.com.

  6. Pilih Tambahkan.

Pastikan firewall Anda memblokir lalu lintas keluar

Untuk memverifikasi konfigurasi firewall disiapkan dengan benar, Anda dapat menggunakan curl perintah dari konsol penelusuran kesalahan aplikasi Anda.

  1. Navigasi ke Aplikasi Kontainer Anda yang dikonfigurasi dengan Azure Firewall.

  2. Dari menu di sebelah kiri, pilih Konsol, lalu pilih kontainer Anda yang mendukung curl perintah .

  3. Di menu perintah Pilih mulai, pilih /bin/sh, dan pilih Sambungkan.

  4. Di konsol, jalankan curl -s https://mcr.microsoft.com. Anda akan melihat respons yang berhasil saat Anda menambahkan mcr.microsoft.com ke daftar yang diizinkan untuk kebijakan firewall Anda.

  5. Jalankan curl -s https://<FQDN_ADDRESS> untuk URL yang tidak cocok dengan aturan tujuan Anda seperti example.com. Contoh perintah adalah curl -s https://example.com. Anda tidak akan mendapatkan respons, yang menunjukkan bahwa firewall Anda telah memblokir permintaan.

Langkah berikutnya

Autentikasi di Azure Container Apps