Partilhar via

Proteja as Aplicações de Contêiner do Azure com um Firewall de Aplicações Web no Gateway de Aplicações

Quando aloja as suas aplicações ou microserviços no Azure Container Apps, pode não querer publicá-los diretamente na internet. Em vez disso, você pode querer expô-los por meio de um proxy reverso.

Um reverse proxy é um serviço que se coloca à frente de um ou mais serviços. Interceta e direciona o tráfego recebido para o destino certo.

Com proxies reversos, pode colocar serviços à frente das suas aplicações que suportem funcionalidades transversais, incluindo:

  • Encaminhamento
  • Colocação em cache
  • Limitação de velocidade
  • Balanceamento de carga
  • Camadas de segurança
  • Filtragem de pedidos

Este artigo mostra como proteger as suas aplicações container utilizando um Firewall de Aplicações Web (WAF) no Azure Application Gateway com um ambiente interno de Aplicações Container.

Para obter mais informações sobre conceitos de rede em Aplicativos de Contêiner, consulte Ambiente de Rede em Aplicativos de Contêiner do Azure.

Pré-requisitos

  • Ambiente interno com rede virtual: Ter uma aplicação de contentores que esteja num ambiente interno e integrada com uma rede virtual. Para obter mais informações sobre como criar um aplicativo integrado de rede virtual, consulte Fornecer uma rede virtual para um ambiente interno de Aplicativos de Contêiner do Azure.

  • Certificados de segurança: Se precisar de usar encriptação TLS/SSL para o gateway da aplicação, precisa de um certificado público válido para se associar ao seu gateway de aplicação.

Recuperar o domínio do aplicativo de contêiner

Use as etapas a seguir para recuperar os valores do domínio padrão e do IP estático para configurar sua Zona DNS Privada.

  1. Na janela Visão geral do grupo de recursos no portal, selecione o seu aplicativo de contêiner.

  2. Na janela de Visão Geral do seu recurso de aplicação container, selecione o link para o ambiente Container Apps.

  3. Na janela Visão geral do recurso de ambiente do aplicativo contêiner, selecione Exibição JSON no canto superior direito da página para exibir a representação JSON do ambiente de aplicativos contêiner.

  4. Na vista JSON, localize a properties secção e encontre os seguintes valores:

    • Domínio padrão: Procurar properties.defaultDomain ou properties.environmentFqdn

    • IP estático: Pesquise por properties.staticIp

  5. Copie esses valores e cole-os num editor de texto. Usas o valor de domínio predefinido quando crias uma zona DNS privada na secção seguinte.

Criar e configurar uma zona DNS Privada do Azure

Para criar e configurar uma zona DNS privada Azure, complete os seguintes passos:

  1. Vá para o portal do Azure.

  2. Na barra de pesquisa, introduza Zona DNS Privada.

  3. Selecione Zona DNS Privada nos resultados da pesquisa.

  4. Selecione Criar.

  5. Introduza os seguintes valores:

    Cenário Ação
    Subscrição Selecione a subscrição do Azure.
    Grupo de recursos Selecione o grupo de recursos do seu aplicativo de contêiner.
    Nome Introduza a propriedade de domínio predefinida do Ambiente de Aplicações de Contentor da secção anterior (ou defaultDomain ou environmentFqdn).
    Localização do grupo de recursos Deixe como padrão. Não precisas de um valor porque as Zonas DNS Privadas são globais.

  6. Selecione Rever + criar. Após a conclusão da validação, selecione Criar.

  7. Depois que a zona DNS privada for criada, selecione Ir para recurso.

  8. Na janela de Visão Geral, selecione +Conjunto de Registo para adicionar um novo conjunto de registos.

  9. Na janela Adicionar conjunto de registros, insira os seguintes valores:

    Cenário Ação
    Nome Insira *.
    Tipo Selecione Registro de endereço A.
    TTL Mantenha os valores padrão.
    Unidade de TTL Mantenha os valores padrão.
    endereço IP Insira a propriedade IP estática do Ambiente de Aplicações de Contentores da secção anterior (staticIp).

  10. Selecione OK para criar o conjunto de registros.

  11. Selecione novamente +Conjunto de registos para adicionar um segundo conjunto de registos.

  12. Na janela Adicionar conjunto de registros, insira os seguintes valores:

    Cenário Ação
    Nome Insira @.
    Tipo Selecione Registro de endereço A.
    TTL Mantenha os valores padrão.
    Unidade de TTL Mantenha os valores padrão.
    endereço IP Insira a propriedade IP estática do Ambiente de Aplicações de Contentores da secção anterior (staticIp).

  13. Selecione OK para criar o conjunto de registros.

  14. Selecione a janela ligações de rede virtual no menu do lado esquerdo da página.

  15. Selecione +Adicionar para criar um novo link com os seguintes valores:

    Cenário Ação
    Nome da ligação Digite my-vnet-pdns-link.
    Sei o ID de recurso da rede virtual Deixe-o desmarcado.
    Rede virtual Selecione a rede virtual à qual seu aplicativo de contêiner está integrado.
    Ativar registo automático Deixe-o desmarcado.

  16. Selecione OK para criar o link de rede virtual.

Criar e configurar o Gateway de Aplicação do Azure

Para criar e configurar um Azure Application Gateway, complete os seguintes passos:

  1. Vá para o portal do Azure.

  2. Na barra de pesquisa, digite Application Gateway.

  3. Selecione Application Gateway nos resultados da pesquisa.

Agora, insira os detalhes necessários na guia Noções básicas , Guia Front-ends , Guia Back-ends e Guia Configuração .

Separador Informações Básicas

Execute as seguintes etapas:

  1. Insira os seguintes valores na seção Detalhes do projeto.

    Cenário Ação
    Subscrição Selecione a subscrição do Azure.
    Grupo de recursos Selecione o grupo de recursos para seu aplicativo de contêiner.
    Nome do gateway do aplicativo Digite my-container-apps-agw.
    Região Selecione o local onde provisionou a sua aplicação Container.
    Escalão de serviço Selecione WAF V2. Você pode usar o Standard V2 se não precisar de WAF.
    Ativar o dimensionamento automático Deixe como predefinido. Para ambientes de produção, recomenda-se o dimensionamento automático. Consulte Autoscaling Azure Application Gateway.
    Zona de Disponibilidade Selecione Nenhuma. Para ambientes de produção, as zonas de disponibilidade são recomendadas para maior disponibilidade.
    HTTP2 mantenha o valor predefinido.
    Política WAF Selecione Criar novo e insira my-waf-policy para a Política WAF. Selecione OK. Se você escolheu Standard V2 para a camada, ignore esta etapa.
    Rede virtual Selecione a rede virtual à qual seu aplicativo de contêiner está integrado.
    Sub-rede Selecione Gerir configuração de sub-rede. Se já tens uma sub-rede que queres usar, seleciona essa sub-rede e salta para a secção de Frontends.

  2. Na janela Sub-redes de my-vnet, selecione +Sub-rede e insira os seguintes valores:

    Cenário Ação
    Nome Insira appgateway-subnet.
    Intervalo de endereços da sub-rede Mantenha os valores padrão.

  3. Para o restante das configurações, mantenha os valores padrão.

  4. Selecione Salvar para criar a nova sub-rede.

  5. Feche a janela Sub-redes para retornar à janela Criar gateway de aplicativo.

  6. Selecione os seguintes valores:

    Cenário Ação
    Sub-rede Selecione a sub-rede appgateway que você criou.

  7. Selecionar Próximo: Frontends para avançar.

Aba de frontends

Execute as seguintes etapas:

  1. Na guia Frontends, insira os seguintes valores:

    Cenário Ação
    Tipo de endereço IP da interface de frontend Selecione Público.
    Endereço IP público Selecione Adicionar novo. Digite my-frontend para o nome do seu frontend e selecione OK

    Nota

    Para o SKU Application Gateway v2, precisas de um IP de frontend público. Para obter mais informações, consulte Suporte a endereços IP públicos e privados e Gerenciar um endereço IP público com um Gateway de Aplicativo do Azure.

  2. Selecione Next: Backends.

Guia Back-ends

O pool backend encaminha pedidos para os servidores backend apropriados. Pode compor pools de backend a partir de qualquer combinação dos seguintes recursos:

  • Placas de Interface de Rede (NICs)
  • Endereços IP públicos
  • Endereços IP internos
  • Conjuntos de Dimensionamento de Máquinas Virtuais
  • Nomes de domínio totalmente qualificados (FQDN)
  • Backends multilocatários como Azure App Service e Container Apps

Neste exemplo, você cria um pool de back-end direcionado ao seu aplicativo de contêiner.

Para criar um pool backend, complete os seguintes passos:

  1. Selecione Adicionar um pool de back-end.

  2. Abra um novo separador e vá para a sua aplicação de contentores.

  3. Na janela Visão geral do aplicativo de contêiner, localize a URL do aplicativo e copie-a.

  4. Volte à guia Backends e insira os seguintes valores na janela Adicionar um pool de back-end:

    Cenário Ação
    Nome Digite my-agw-backend-pool.
    Adicionar um pool de back-end sem alvos Selecione Não.
    Tipo de destino Selecione Endereço IP ou FQDN.
    Objetivo Insira a URL do aplicativo de contêiner que você copiou e remova o prefixo https://. Esse local é o FQDN do seu aplicativo de contêiner.

  5. Selecione Adicionar.

  6. Na guia Back-ends, selecione Next: Configuration.

Aba de Configuração

Na aba Configuração, liga o frontend e o pool de backend que criou usando uma regra de roteamento.

Para conectar o pool de front-end e back-end, execute as seguintes etapas:

  1. Selecione Adicionar uma regra de roteamento. Introduza os seguintes valores:

    Cenário Ação
    Nome Insira my-agw-routing-rule.
    Prioridade Digite 1.

  2. Na guia Ouvinte, insira os seguintes valores:

    Cenário Ação
    Nome do ouvinte Digite my-agw-listener.
    IP de Front-end Selecione Público.
    Protocolo Selecione HTTPS. Se você não tiver um certificado que deseja usar, selecione HTTP
    Porta Digite 443. Se você escolheu HTTP para seu protocolo, digite 80 e pule para a seção de domínio padrão/personalizado.
    Escolha um certificado Selecione Carregar um certificado. Se o certificado estiver armazenado no Cofre de Chaves, você poderá selecionar Escolher um certificado no Cofre de Chaves.
    Nome do certificado Insira um nome para o seu certificado.
    Ficheiro de certificado PFX Selecione seu certificado público válido.
    Palavra-passe Introduza a palavra-passe do seu certificado.

    Se pretender utilizar o domínio predefinido, introduza os seguintes valores:

    Cenário Ação
    Tipo de ouvinte Selecione Básico
    URL da página de erro Deixar como Não

    Como alternativa, se você quiser usar um domínio personalizado, insira os seguintes valores:

    Cenário Ação
    Tipo de ouvinte Selecione Multi-site
    Tipo de host Selecione Solteiro
    Nomes de host Introduza o Domínio Personalizado que pretende utilizar.
    URL da página de erro Deixar como Não

  3. Selecione o separador Backend targets e insira os seguintes valores:

  4. Alterne para o separador Destinos de Backend e insira os seguintes valores:

    Cenário Ação
    Tipo de destino Selecione my-agw-backend-pool que você criou anteriormente.
    Configurações de back-end Selecione Adicionar novo.

  5. Na janela Adicionar back-end de configuração, insira os seguintes valores:

    Cenário Ação
    Nome das configurações de back-end Insira my-agw-backend-setting.
    Protocolo de back-end Selecione HTTPS.
    Porta traseira Digite 443.
    Usar certificado CA conhecido Selecione Yes (Sim).
    Substituir por novo nome de host Selecione Yes (Sim).
    Substituição do nome do host Selecione Escolha o nome do host a partir do alvo de back-end.
    Criar sondas personalizadas Selecione Não.

  6. Em Request Header Rewrite, configure as seguintes definições:

    • Ativar regravação de cabeçalho de solicitação: selecione Sim.
    • Adicione um cabeçalho de solicitação:
      • Nome do cabeçalho: X-Forwarded-Host
      • Valor: {http_req_host}

    Essa ação garante que o cabeçalho original Host da solicitação do cliente seja preservado e acessível pelo aplicativo de back-end.

  7. Seleciona Adicionar para adicionar as definições do backend.

  8. Na janela Adicionar uma regra de roteamento, selecione Adicionar novamente.

  9. Selecione Next: Tags.

  10. Selecione Próximo: Rever + criar, depois selecione Criar.

Pode estabelecer uma ligação segura a ambientes internos de aplicações de contentor usando ligação privada. Com ligação privada, o seu Gateway de Aplicações pode comunicar com a sua Container App no backend através da rede virtual.

  1. Depois de criar o Gateway de Aplicações, selecione Ir para o recurso.

  2. No menu à esquerda, selecione Link privado e, em seguida, selecione Adicionar.

  3. Introduza os seguintes valores:

    Cenário Ação
    Nome Digite my-agw-private-link.
    Sub-rede de ligação privada Selecione a sub-rede que quer usar para criar o link privado.
    Configuração de IP de Front-end Selecione o IP frontend para seu Application Gateway.

  4. Em Configurações de endereço IP privado, selecione Adicionar.

  5. Selecione Adicionar na parte inferior da janela.

Preservar o cabeçalho do host original para redirecionamentos e SSO

Quando configura o Azure Application Gateway como um proxy inverso e ativa o Override com a nova definição do nome do host , o Host cabeçalho é modificado. Modificar o cabeçalho pode interferir com aplicativos que dependem do valor original do host para gerar URLs de redirecionamento, links absolutos ou suportar fluxos de autenticação OpenID Connect (OIDC).

Para encaminhar o cabeçalho original do host, pode injetar o cabeçalho no usando a funcionalidade de reescrita de cabeçalho do Application Gateway.

Configurar injeção de X-Forwarded-Host

Para ativar a X-Forwarded-Host injeção:

  1. No separador Configuração , selecione a secção de Definições Backend da regra de roteamento do seu Gateway de Aplicação:

    • Habilite a regravação do cabeçalho da solicitação.
    • Adicione um novo cabeçalho de solicitação com os seguintes valores:
      • Nome do cabeçalho: X-Forwarded-Host
      • Valor: {http_req_host}

    A sua aplicação de backend pode agora ler o host do pedido original usando o X-Forwarded-Host cabeçalho.

Nota

Ao configurar regras de reescrita de cabeçalhos, certifique-se de usar a sintaxe correta das variáveis. As variáveis do servidor devem usar o prefixo apropriado, como http_req_ para cabeçalhos de pedido. Para resolução de erros de configuração das regras de reescrita, consulte Reescrever cabeçalhos HTTP e URL com o Application Gateway.

Verificar o aplicativo de contêiner

  1. Encontre o endereço IP público do gateway de aplicativo em sua página Visão geral ou você pode pesquisar o endereço. Para pesquisar, selecione Todos os recursos e digite my-container-apps-agw-pip na caixa de pesquisa. Em seguida, selecione o IP nos resultados da pesquisa.

  2. Vá ao endereço IP público do gateway de aplicação.

  3. Sua solicitação é roteada automaticamente para o aplicativo de contêiner, que verifica se o gateway de aplicativo foi criado com êxito.

Limpar recursos

Quando não precisar mais dos recursos criados, exclua o grupo de recursos. Ao excluir o grupo de recursos, você também remove todos os recursos relacionados.

Para eliminar o grupo de recursos:

  1. No menu do portal do Azure, selecione Grupos de recursos ou procure e selecione Grupos de recursos.

  2. Na página Grupos de recursos, procure e selecione my-container-apps.

  3. Na página de grupo de recursos , selecione Eliminar grupo de recursos.

  4. Insira my-container-apps em ESCREVER O NOME DO GRUPO DE RECURSOS e depois selecione Eliminar.

Próximos passos

Firewall do Azure em Aplicações de Contentores do Azure

  • Last updated on