Rete per le app di Azure Container - Acceleratore di zona di destinazione

App contenitore è responsabile della gestione degli aggiornamenti del sistema operativo, del ridimensionamento, dei processi di failover e dell'allocazione delle risorse in un ambiente app contenitore. Gli ambienti incapsulano una o più app o processi contenitore creando un limite sicuro tramite una rete virtuale.

Per impostazione predefinita, viene creata automaticamente una rete virtuale per l'ambiente dell'app contenitore. Tuttavia, se si vuole un controllo più dettagliato sulla rete, è possibile usare una rete virtuale preesistente durante la creazione dell'ambiente dell'app contenitore.

Gli ambienti possono accettare richieste esterne o possono essere bloccati solo alle richieste interne .

Gli ambienti esterni espongono app contenitore usando un indirizzo IP virtuale accessibile tramite Internet pubblico. In alternativa, gli ambienti interni espongono le app contenitore in un indirizzo IP all'interno della rete virtuale. È possibile limitare il traffico all'interno dell'ambiente dell'app contenitore o tramite la rete virtuale. Per altre informazioni, vedere Considerazioni sulla sicurezza per l'acceleratore di zona di destinazione delle app di Azure Container.

Considerazioni

• Requisiti della subnet:

  • Per un ambiente nella rete virtuale è necessaria una subnet dedicata. Il CIDR della subnet deve essere /23 o più grande per gli ambienti /27 a consumo o superiore per gli ambienti dei profili di carico di lavoro.

• Gestione degli indirizzi IP:

  • Una base di 60 INDIRIZZI IP è riservata nella rete virtuale. Questa quantità può aumentare man mano che l'ambiente del contenitore viene ridimensionato man mano che ogni revisione dell'app ottiene un indirizzo IP dalla subnet. Gli indirizzi IP in uscita potrebbero cambiare nel tempo.

  • Sono supportati solo gli indirizzi IPv4 (IPv6 non è supportato).

  • Una risorsa IP pubblica gestita gestisce le richieste in uscita e il traffico di gestione, indipendentemente dal fatto che si disponga di un ambiente esterno o interno.

• Sicurezza di rete:

  • È possibile bloccare una rete tramite gruppi di sicurezza di rete (NSG) con regole più restrittive rispetto alle regole predefinite del gruppo di sicurezza di rete che controllano tutto il traffico in ingresso e in uscita per un ambiente.

• Proxy e crittografia:

  • App contenitore usa un proxy Envoy come proxy HTTP perimetrale. Tutte le richieste HTTP vengono reindirizzate automaticamente agli HTTP. Envoy termina tls (Transport Layer Security) dopo aver superato il limite. La sicurezza a livello di trasporto reciproco (mTLS) è disponibile solo quando si usa Dapr. Tuttavia, poiché Envoy termina mTLS, le chiamate in ingresso da Envoy alle app contenitore abilitate per Dapr non vengono crittografate.

• Considerazioni sul DNS:

  • Durante la distribuzione di un ambiente, App contenitore esegue molte ricerche DNS. Alcune di queste ricerche fanno riferimento ai domini interni di Azure. Se si forza il traffico DNS tramite la soluzione DNS personalizzata, configurare il server DNS per inoltrare query DNS non risolte a DNS di Azure.

  • Per le applicazioni in esecuzione internamente nelle app contenitore, il sistema si basa sulle zone di DNS privato di Azure per risolvere il nome DNS nell'indirizzo IP interno. All'interno della zona DNS privato è possibile puntare un record con caratteri jolly (*) A all'indirizzo IP del servizio di bilanciamento del carico interno.

• Gestione del traffico in uscita:

  • Il traffico di rete in uscita (in uscita) deve essere instradato attraverso un cluster di appliance virtuale di rete o di Firewall di Azure.

• Bilanciamento del carico tra ambienti:

  • Per eseguire l'applicazione in più ambienti di app contenitore per motivi di resilienza o prossimità, è consigliabile usare un servizio di bilanciamento del carico globale, ad esempio Gestione traffico di Azure o Frontdoor di Azure.

• Sicurezza di rete:

  • Usare i gruppi di sicurezza di rete (NSG) per proteggere la rete e bloccare il traffico in ingresso e in uscita non necessario.

  • Usare Protezione DDoS di Azure per l'ambiente delle app di Azure Container.

  • Usare collegamento privato per connessioni di rete sicure e connettività privata basata su IP ad altri servizi di Azure gestiti.

  • Verificare che tutti gli endpoint per la soluzione (interna ed esterna) accettino solo connessioni crittografate TLS (HTTPS).

  • Usare un web application firewall con l'ingresso HTTPS/TCP per applicazioni Web con connessione Internet e critiche per la sicurezza.

  • In alcuni scenari, è possibile esporre un'applicazione Web app contenitore direttamente a Internet e proteggerla con servizi di terze parti rete CDN/WAF.

Consigli

• Configurazione di rete: distribuire le app contenitore in una rete virtuale personalizzata per ottenere un maggiore controllo sulla configurazione di rete.

• Connettività in ingresso sicura: quando si pubblicano servizi con connessione Internet, usare app Azure lication Gateway (SKU WAF_v2) o Frontdoor di Azure (con Web Application Firewall) per proteggere la connettività in ingresso.

• Gestione del traffico interno: usare una configurazione di rete interna per servizi come app Azure lication Gateway o Frontdoor di Azure, assicurando che il traffico dal servizio di bilanciamento del carico all'ambiente delle app di Azure Container usi una connessione interna.

• Esposizione di applicazioni: abilitare l'ingresso per esporre l'applicazione tramite HTTP o porta TCP.

Riferimenti

• Architettura di rete nelle app Azure Container
• Protezione di una rete virtuale personalizzata nelle app Azure Container
• Proxy di rete in App Azure Container
• Restrizioni relative all'ingresso IP nelle app Azure Container
• Supporto per route definite dall'utente
• Configurare la route definita dall'utente con Firewall di Azure