Configurer des restrictions d’entrée IP dans Azure Container Apps

Azure Container Apps vous permet de limiter le trafic entrant vers votre application conteneur en configurant les restrictions d’entrée IP via la configuration d’entrée.

Il existe deux types de restrictions :

  • Autoriser : autoriser le trafic entrant uniquement à partir des plages d’adresses que vous spécifiez dans les règles d’autorisation.
  • Refuser : refuser tout le trafic entrant uniquement à partir des plages d’adresses que vous spécifiez dans les règles de refus.

lorsqu’aucune règle de restriction IP n’est définie, tout le trafic entrant est autorisé.

Les règles de restrictions IP contiennent les propriétés suivantes :

Propriété Valeur Description
name chaîne nom de la règle.
description string Description de la règle.
ipAddressRange Plage d’adresses IP au format CIDR Plage d’adresses IP en notation CIDR.
action Autoriser ou Refuser Action à entreprendre pour la règle.

Le ipAddressRange paramètre accepte les adresses IPv4. Définissez chaque bloc d’adresses IPv4 en notation CIDR (Classless Inter-Domain Routing).

Remarque

Toutes les règles doivent être du même type. Vous ne pouvez pas combiner des règles d’autorisation et de refus.

Gérer les restrictions d’entrée IP

Vous pouvez gérer les règles de restrictions d’accès IP via les Portail Azure ou Azure CLI.

Ajouter des règles

  1. Accédez à votre application conteneur dans le Portail Azure.

  2. Sélectionnez Entrée dans le menu de gauche.

  3. Sélectionnez le bouton bascule du mode Restrictions de sécurité IP pour activer les restrictions IP. Vous pouvez choisir d’autoriser ou de refuser le trafic à partir des plages d’adresses IP spécifiées.

  4. Sélectionnez Ajouter pour créer la règle.

    Screenshot of IP restriction settings on container app Ingress page.

  5. Entrez des valeurs dans les champs suivants :

    Champ Description
    Adresse ou plage IPv4 Entrez l’adresse IP ou la plage d’adresses IP en notation CIDR. Par exemple, pour autoriser l’accès à partir d’une seule adresse IP, utilisez le format suivant : 10.200.10.2/32.
    Nom Entrez le nom de la règle.
    Description Entrez une description de la règle.
  6. Sélectionnez Ajouter.

  7. Répétez les étapes 4 à 6 pour ajouter d’autres règles.

  8. Une fois que vous avez terminé d’ajouter des règles, sélectionnez Enregistrer. Screenshot to save IP restrictions on container app Ingress page.

Mettre à jour une règle

  1. Accédez à votre application conteneur dans le Portail Azure.
  2. Sélectionnez Entrée dans le menu de gauche.
  3. Sélectionnez la règle à mettre à jour.
  4. Modifiez les paramètres de la règle.
  5. Sélectionnez Enregistrer pour enregistrer les mises à jour.
  6. Sélectionnez Enregistrer dans la page d’entrée pour enregistrer les règles mises à jour.

Supprimer une règle

  1. Accédez à votre application conteneur dans le Portail Azure.
  2. Sélectionnez Entrée dans le menu de gauche.
  3. Sélectionnez l’icône supprimer en regard de la règle à supprimer.
  4. Cliquez sur Enregistrer.

Vous pouvez gérer les restrictions d’accès IP à l’aide du az containerapp ingress access-restriction groupe de commandes. Ce groupe de commandes a les options suivantes :

  • set: Créez ou mettez à jour une règle.
  • remove: Supprimer une règle.
  • list: répertorier toutes les règles.

Créer ou mettre à jour des règles

Vous pouvez créer ou mettre à jour des restrictions IP à l’aide de la az containerapp ingress access-restriction set commande.

Le az containerapp ingress access-restriction set groupe de commandes utilise les paramètres suivants.

Argument Valeurs Description
--rule-name (requis) String Spécifie le nom de la règle de restriction d’accès.
--description String Spécifie une description de la règle de restriction d’accès.
--action (requis) Autoriser, Refuser Spécifie s’il faut autoriser ou refuser l’accès à partir de la plage d’adresses IP spécifiée.
--ip-address (requis) Adresse IP ou plage d’adresses IP en notation CIDR Spécifie la plage d’adresses IP à autoriser ou refuser.

Ajoutez d’autres règles en répétant la commande avec une valeur différente --rule-name et ---ip-address .

Créer des règles d’autorisation

L’exemple de az containerapp access-restriction set commande suivant crée une règle pour restreindre l’accès entrant à une plage d’adresses IP. Vous devez supprimer les règles de refus existantes avant de pouvoir ajouter des règles d’autorisation.

Remplacez les valeurs de l’exemple suivant par vos propres valeurs.

az containerapp ingress access-restriction set \
   --name <CONTAINER_APP_NAME> \
   --resource-group <RESOURCE_GROUP> \
   --rule-name "my allow rule" \
   --description "example of rule allowing access" \
   --ip-address 192.168.0.1/28 \
   --action Allow

Vous pouvez ajouter aux règles d’autorisation en répétant la commande avec une valeur différente--ip-address.--rule-name

Créer des règles de refus

L’exemple suivant de la az containerapp access-restriction set commande crée une règle d’accès pour refuser le trafic entrant à partir d’une plage d’adresses IP spécifiée. Vous devez supprimer les règles d’autorisation existantes avant de pouvoir ajouter des règles de refus.

Remplacez les espaces réservés dans l’exemple suivant par vos propres valeurs.

az containerapp ingress access-restriction set \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "my deny rule" \
  --description "example of rule denying access" \
  --ip-address 192.168.0.100/28 \
  --action Deny

Vous pouvez ajouter aux règles de refus en répétant la commande avec une valeur différente--ip-address.--rule-name Si vous utilisez un nom de règle qui existe déjà, la règle existante est mise à jour.

Mettre à jour une règle

Vous pouvez mettre à jour une règle à l’aide de la az containerapp ingress access-restriction set commande. Vous pouvez modifier la plage d’adresses IP et la description de la règle, mais pas le nom ou l’action de la règle.

Le --action paramètre est obligatoire, mais vous ne pouvez pas modifier l’action d’Autoriser vers Refuser ou vice versa.
Si vous omettez le ---description paramètre, la description est supprimée.

L’exemple suivant met à jour la plage d’adresses IP.

az containerapp ingress access-restriction set \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "my deny rule" \
  --ip-address 192.168.0.1/24 \
  --description "example of rule denying access" \
  --action Deny

Supprimer les restrictions d’accès

L’exemple de az containerapp ingress access-restriction remove commande suivant supprime une règle.

az containerapp ingress access-restriction list
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --rule-name "<your rule name>"

Répertorier les restrictions d’accès

L’exemple de az containerapp ingress access-restriction list commande suivant répertorie les règles de restriction IP pour l’application conteneur.

az containerapp ingress access-restriction list
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP>

Étapes suivantes