Mengontrol lalu lintas keluar di Azure Container Apps dengan rute yang ditentukan pengguna
Catatan
Fitur ini hanya didukung untuk jenis lingkungan profil beban kerja.
Artikel ini memperlihatkan kepada Anda cara menggunakan rute yang ditentukan pengguna (UDR) dengan Azure Firewall untuk mengunci lalu lintas keluar dari Container Apps Anda ke sumber daya Azure back-end atau sumber daya jaringan lainnya.
Azure membuat tabel rute default untuk jaringan virtual Anda saat dibuat. Dengan menerapkan tabel rute yang ditentukan pengguna, Anda dapat mengontrol bagaimana lalu lintas dirutekan dalam jaringan virtual Anda. Dalam panduan ini, penyiapan UDR Anda di jaringan virtual Container Apps untuk membatasi lalu lintas keluar dengan Azure Firewall.
Anda juga dapat menggunakan gateway NAT atau appliance pihak ketiga lainnya, bukan Azure Firewall.
Lihat mengonfigurasi UDR dengan Azure Firewall dalam jaringan di Azure Container Apps untuk informasi selengkapnya.
Prasyarat
Lingkungan profil beban kerja: Lingkungan profil beban kerja yang terintegrasi dengan jaringan virtual kustom. Untuk informasi selengkapnya, lihat panduan tentang cara membuat lingkungan aplikasi kontainer di lingkungan profil beban kerja.
curl
dukungan: Aplikasi kontainer Anda harus memiliki kontainer yang mendukungcurl
perintah. Dalam cara ini, Anda menggunakancurl
untuk memverifikasi bahwa aplikasi kontainer disebarkan dengan benar. Jika Anda tidak memiliki aplikasi kontainer dengancurl
yang disebarkan, Anda dapat menyebarkan kontainer berikut yang mendukungcurl
,mcr.microsoft.com/k8se/quickstart:latest
.
Membuat subnet firewall
Subnet yang disebut AzureFirewallSubnet diperlukan untuk menyebarkan firewall ke jaringan virtual terintegrasi.
Buka jaringan virtual yang terintegrasi dengan aplikasi Anda di portal Azure.
Dari menu di sebelah kiri, pilih Subnet, lalu pilih + Subnet.
Masukkan nilai berikut:
Pengaturan Tindakan Nama Masukkan AzureFirewallSubnet. Rentang alamat subnet Gunakan default atau tentukan rentang subnet /26 atau lebih besar. Pilih Simpan
Menyebarkan firewall
Pada menu portal Microsoft Azure atau halaman Beranda, pilih Buat sumber daya.
Cari Firewall.
Pilih Firewall.
Pilih Buat.
Pada halaman Buat Firewall , konfigurasikan firewall dengan pengaturan berikut.
Pengaturan Tindakan Grup sumber daya Masukkan grup sumber daya yang sama dengan jaringan virtual terintegrasi. Nama Masukkan nama pilihan Anda Wilayah Pilih wilayah yang sama dengan jaringan virtual terintegrasi. Kebijakan firewall Buat satu dengan memilih Tambahkan baru. Jaringan virtual Pilih jaringan virtual terintegrasi. Alamat IP Publik Pilih alamat yang sudah ada atau buat satu dengan memilih Tambahkan baru. Pilih Tinjau + buat. Setelah validasi selesai, pilih Buat. Langkah validasi mungkin memerlukan waktu beberapa menit untuk diselesaikan.
Setelah penyebaran selesai, pilih Buka Sumber Daya.
Di halaman Gambaran Umum firewall, salin IP privat Firewall. Alamat IP ini digunakan sebagai alamat hop berikutnya saat membuat aturan perutean untuk jaringan virtual.
Merutekan semua lalu lintas ke firewall
Jaringan virtual Anda di Azure memiliki tabel rute default saat Anda membuat jaringan. Dengan menerapkan tabel rute yang ditentukan pengguna, Anda dapat mengontrol bagaimana lalu lintas dirutekan dalam jaringan virtual Anda. Dalam langkah-langkah berikut, Anda membuat UDR untuk merutekan semua lalu lintas ke Azure Firewall Anda.
Pada menu portal Microsoft Azure atau halaman Beranda, pilih Buat sumber daya.
Cari tabel Rute.
Pilih Tabel Rute.
Pilih Buat.
Masukkan nilai berikut:
Pengaturan Tindakan Wilayah Pilih wilayah sebagai jaringan virtual Anda. Nama Masukkan nama. Menyebarluaskan rute gateway Pilih Tidak Pilih Tinjau + buat. Setelah validasi selesai, pilih Buat.
Setelah penyebaran selesai, pilih Buka Sumber Daya.
Dari menu di sebelah kiri, pilih Rute, lalu pilih Tambahkan untuk membuat tabel rute baru
Konfigurasikan tabel rute dengan pengaturan berikut:
Pengaturan Tindakan Awalan alamat Masukkan 0.0.0.0/0 Jenis hop berikutnya Pilih Appliance virtual Alamat hop berikutnya Masukkan IP Privat Firewall yang Anda simpan di Sebarkan firewall. Pilih Tambahkan untuk membuat rute.
Dari menu di sebelah kiri, pilih Subnet, lalu pilih Kaitkan untuk mengaitkan tabel rute Anda dengan subnet aplikasi kontainer.
Konfigurasikan subnet Kaitkan dengan nilai berikut:
Pengaturan Tindakan Jaringan virtual Pilih jaringan virtual untuk aplikasi kontainer Anda. Subnet Pilih subnet untuk aplikasi kontainer Anda. Pilih OK.
Mengonfigurasi kebijakan firewall
Catatan
Saat menggunakan UDR dengan Azure Firewall di Azure Container Apps, Anda harus menambahkan tag FQDN dan layanan tertentu ke daftar yang diizinkan untuk firewall. Silakan lihat mengonfigurasi UDR dengan Azure Firewall untuk menentukan tag layanan mana yang Anda butuhkan.
Sekarang, semua lalu lintas keluar dari aplikasi kontainer Anda dirutekan ke firewall. Saat ini, firewall masih memungkinkan semua lalu lintas keluar melalui. Untuk mengelola lalu lintas keluar apa yang diizinkan atau ditolak, Anda perlu mengonfigurasi kebijakan firewall.
Di sumber daya Azure Firewall Anda di halaman Gambaran Umum, pilih Kebijakan firewall
Dari menu di sebelah kiri halaman kebijakan firewall, pilih Aturan Aplikasi.
Pilih Tambahkan Kumpulan Aturan.
Masukkan nilai berikut untuk Kumpulan Aturan:
Pengaturan Tindakan Nama Masukkan nama koleksi Jenis kumpulan aturan Pilih Aplikasi Prioritas Masukkan prioritas seperti 110 Tindakan pengumpulan aturan Pilih Izinkan Grup kumpulan aturan Pilih DefaultApplicationRuleCollectionGroup Di bawah Aturan, masukkan nilai berikut
Pengaturan Tindakan Nama Masukkan nama untuk aturan Jenis sumber Pilih Alamat IP Sumber Masukkan * Protokol Masukkan http:80,https:443 Jenis Tujuan Pilih FQDN. Tujuan Masukkan mcr.microsoft.com
,*.data.mcr.microsoft.com
. Jika Anda menggunakan ACR, tambahkan alamat ACR Anda dan*.blob.core.windows.net
.Perbuatan Pilih Izinkan Catatan
Jika Anda menggunakan registri Docker Hub dan ingin mengaksesnya melalui firewall, Anda harus menambahkan FQDN berikut ke daftar tujuan aturan Anda: hub.docker.com, registry-1.docker.io, dan production.cloudflare.docker.com.
Pilih Tambahkan.
Pastikan firewall Anda memblokir lalu lintas keluar
Untuk memverifikasi konfigurasi firewall disiapkan dengan benar, Anda dapat menggunakan curl
perintah dari konsol penelusuran kesalahan aplikasi Anda.
Navigasi ke Aplikasi Kontainer Anda yang dikonfigurasi dengan Azure Firewall.
Dari menu di sebelah kiri, pilih Konsol, lalu pilih kontainer Anda yang mendukung
curl
perintah .Di menu perintah Pilih mulai, pilih /bin/sh, dan pilih Sambungkan.
Di konsol, jalankan
curl -s https://mcr.microsoft.com
. Anda akan melihat respons yang berhasil saat Anda menambahkanmcr.microsoft.com
ke daftar yang diizinkan untuk kebijakan firewall Anda.Jalankan
curl -s https://<FQDN_ADDRESS>
untuk URL yang tidak cocok dengan aturan tujuan Anda sepertiexample.com
. Contoh perintah adalahcurl -s https://example.com
. Anda tidak akan mendapatkan respons, yang menunjukkan bahwa firewall Anda telah memblokir permintaan.