Einrichten von IP-Eingangsbeschränkungen in Azure Container Apps

Mit Azure-Container-Apps können Sie eingehenden Datenverkehr auf Ihre Container-App beschränken, indem Sie IP-Eingangseinschränkungen über die Eingangskonfiguration konfigurieren.

Es gibt zwei Arten von Einschränkungen:

  • Allow: Allow inbound traffic only from address ranges you specify in allow rules.
  • Verweigern: Verweigern Sie alle eingehenden Datenverkehr nur aus Adressbereichen, die Sie in Deny-Regeln angeben.

wenn keine IP-Einschränkungsregeln definiert sind, ist der gesamte eingehende Datenverkehr zulässig.

IP-Einschränkungensregeln enthalten die folgenden Eigenschaften:

Eigenschaft Wert Beschreibung
name Zeichenfolge Der Name der Regel.
Beschreibung string Eine Beschreibung der Regel.
ipAddressRange IP-Adressbereich im CIDR-Format Der IP-Adressbereich in der CIDR-Schreibweise.
action Zulassen oder Verweigern Die Aktion, die für die Regel ausgeführt werden soll.

Der ipAddressRange Parameter akzeptiert IPv4-Adressen. Definieren Sie jeden IPv4-Adressblock in der CiDR-Schreibweise (Classless Inter-Do Standard Routing).

Hinweis

Alle Regeln müssen denselben Typ aufweisen. Zulassungs- und Verweigerungsregeln können nicht kombiniert werden.

Verwalten von IP-Eingangsbeschränkungen

Sie können REGELN für IP-Zugriffsbeschränkungen über die Azure-Portal oder azure CLI verwalten.

Hinzufügen von Regeln

  1. Wechseln Sie in der Azure-Portal zu Ihrer Container-App.

  2. Wählen Sie im linken Menü die Option "Einsteigen " aus.

  3. Wählen Sie den Umschalter für ip-Sicherheitseinschränkungen aus, um IP-Einschränkungen zu aktivieren. Sie können den Datenverkehr aus den angegebenen IP-Adressbereichen zulassen oder verweigern.

  4. Wählen Sie Hinzufügen aus, um die Regel zu erstellen.

    Screenshot of IP restriction settings on container app Ingress page.

  5. Geben Sie Werte in die folgenden Felder ein:

    Feld Beschreibung
    IPv4-Adresse oder Bereich Geben Sie die IP-Adresse oder den Bereich der IP-Adressen in der CIDR-Schreibweise ein. Um beispielsweise den Zugriff von einer einzelnen IP-Adresse zuzulassen, verwenden Sie das folgende Format: 10.200.10.2/32.
    Name Geben Sie einen Namen für die Regel ein.
    Beschreibung Geben Sie eine Beschreibung für die Regel ein.
  6. Klicken Sie auf Hinzufügen.

  7. Wiederholen Sie die Schritte 4 bis 6, um weitere Regeln hinzuzufügen.

  8. Wenn Sie mit dem Hinzufügen von Regeln fertig sind, wählen Sie "Speichern" aus. Screenshot to save IP restrictions on container app Ingress page.

Aktualisieren einer Regel

  1. Wechseln Sie in der Azure-Portal zu Ihrer Container-App.
  2. Wählen Sie im linken Menü die Option "Einsteigen " aus.
  3. Wählen Sie die Regel aus, die Sie aktualisieren möchten.
  4. Ändern Sie die Regeleinstellungen.
  5. Wählen Sie " Speichern" aus, um die Updates zu speichern.
  6. Wählen Sie auf der Seite "Ingress" die Option "Speichern" aus, um die aktualisierten Regeln zu speichern.

Eine Regel löschen

  1. Wechseln Sie in der Azure-Portal zu Ihrer Container-App.
  2. Wählen Sie im linken Menü die Option "Einsteigen " aus.
  3. Wählen Sie das Löschsymbol neben der Regel aus, die Sie löschen möchten.
  4. Wählen Sie Speichern aus.

Sie können IP-Zugriffsbeschränkungen mithilfe der az containerapp ingress access-restriction Befehlsgruppe verwalten. Diese Befehlsgruppe verfügt über die folgenden Optionen:

  • set: Erstellen oder Aktualisieren einer Regel.
  • remove: Löschen einer Regel.
  • list: Listet alle Regeln auf.

Erstellen oder Aktualisieren von Regeln

Sie können IP-Einschränkungen mithilfe des az containerapp ingress access-restriction set Befehls erstellen oder aktualisieren.

Die az containerapp ingress access-restriction set Befehlsgruppe verwendet die folgenden Parameter.

Argument Werte Beschreibung
--rule-name (erforderlich) String Gibt den Namen der Zugriffseinschränkungsregel an.
--description String Gibt eine Beschreibung für die Zugriffseinschränkungsregel an.
--action (erforderlich) Zulassen/Verweigern Gibt an, ob der Zugriff über den angegebenen IP-Adressbereich zugelassen oder verweigert werden soll.
--ip-address (erforderlich) IP-Adresse oder -Bereich von IP-Adressen in CIDR-Notation Gibt den IP-Adressbereich an, der zugelassen oder verweigert werden soll.

Fügen Sie weitere Regeln hinzu, indem Sie den Befehl mit anderen --rule-name und ---ip-address Werten wiederholen.

Erstellen von Zulassungsregeln

Der folgende Beispielbefehl az containerapp access-restriction set erstellt eine Regel, um den eingehenden Zugriff auf einen IP-Adressbereich einzuschränken. Sie müssen alle vorhandenen Ablehnungsregeln löschen, bevor Sie beliebige Zulassungsregeln hinzufügen können.

Ersetzen Sie die Werte im folgenden Beispiel durch ihre eigenen Werte.

az containerapp ingress access-restriction set \
   --name <CONTAINER_APP_NAME> \
   --resource-group <RESOURCE_GROUP> \
   --rule-name "my allow rule" \
   --description "example of rule allowing access" \
   --ip-address 192.168.0.1/28 \
   --action Allow

Sie können den Zulassungsregeln hinzufügen, indem Sie den Befehl mit anderen --ip-address Werten --rule-name wiederholen.

Erstellen von Verweigerungsregeln

Im folgenden Beispiel des az containerapp access-restriction set Befehls wird eine Zugriffsregel erstellt, um eingehenden Datenverkehr aus einem angegebenen IP-Bereich zu verweigern. Sie müssen alle vorhandenen Zulassungsregeln löschen, bevor Sie Verweigerungsregeln hinzufügen können.

Ersetzen Sie die Platzhalter im folgenden Beispiel durch eigene Werte.

az containerapp ingress access-restriction set \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "my deny rule" \
  --description "example of rule denying access" \
  --ip-address 192.168.0.100/28 \
  --action Deny

Sie können den Verweigerungsregeln hinzufügen, indem Sie den Befehl mit anderen --ip-address Werten --rule-name wiederholen. Wenn Sie einen bereits vorhandenen Regelnamen verwenden, wird die vorhandene Regel aktualisiert.

Aktualisieren einer Regel

Sie können eine Regel mithilfe des az containerapp ingress access-restriction set Befehls aktualisieren. Sie können den IP-Adressbereich und die Regelbeschreibung ändern, aber nicht den Regelnamen oder die Aktion.

Der --action Parameter ist erforderlich, aber Sie können die Aktion nicht von "Ablehnen zulassen" oder umgekehrt ändern.
Wenn Sie den ---description Parameter weglassen, wird die Beschreibung gelöscht.

Im folgenden Beispiel wird der IP-Adressbereich aktualisiert.

az containerapp ingress access-restriction set \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "my deny rule" \
  --ip-address 192.168.0.1/24 \
  --description "example of rule denying access" \
  --action Deny

Entfernen von Zugriffsbeschränkungen

Mit dem folgenden Beispielbefehl az containerapp ingress access-restriction remove wird eine Regel entfernt.

az containerapp ingress access-restriction list
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "<your rule name>"

Zugriffsbeschränkungen auflisten

Im folgenden Beispielbefehl az containerapp ingress access-restriction list werden die IP-Einschränkungsregeln für die Container-App aufgeführt.

az containerapp ingress access-restriction list
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP>

Nächste Schritte