Puntos de conexión privados y DNS para redes virtuales en entornos de Azure Container Apps

El punto de conexión privado de Azure permite a los clientes ubicados en la red privada conectarse de forma segura al entorno de Azure Container Apps a través de Azure Private Link. Una conexión de vínculo privado elimina la exposición a la red pública de Internet. Los puntos de conexión privados usan una dirección IP privada en el espacio de direcciones de la red virtual de Azure y normalmente se configuran con una zona DNS privada.

Los puntos de conexión privados son compatibles con los planes de consumo y dedicados en entornos de perfil de carga de trabajo.

Facturación

Los puntos de conexión privados incurren en cargos adicionales. Al habilitar un punto de conexión privado en Azure Container Apps, se le factura lo siguiente:

1. Azure Private Link : facturación del propio recurso de Azure Private Link.
2. Azure Container Apps: facturación de la infraestructura de punto de conexión privado dedicado para Azure Container Apps, que aparece como un cargo independiente de "Administración de planes dedicados" y se aplica a los planes de consumo y dedicados.

Tutoriales

• Para más información sobre cómo configurar puntos de conexión privados en Azure Container Apps, consulte el tutorial Uso de un punto de conexión privado con un entorno de Azure Container Apps.
• La conectividad de Private Link con Azure Front Door es compatible con Azure Container Apps. Consulte Creación de un vínculo privado con Azure Front Door para más información.

Consideraciones

• Para usar un punto de conexión privado, debe deshabilitar el acceso a la red pública. De forma predeterminada, el acceso a la red pública está habilitado, lo que significa que los puntos de conexión privados están deshabilitados.
• Para usar un punto de conexión privado con un dominio personalizado y un dominio de Apex como tipo de registro nombre de host, debe configurar una zona DNS privada con el mismo nombre que el DNS público. En el conjunto de registros, configure la dirección IP privada del punto de conexión privado en lugar de la dirección IP del entorno de la aplicación contenedora. Al configurar el dominio personalizado con CNAME, el programa de instalación no cambia. Para más información, consulte Configuración de un dominio personalizado con un certificado existente.
• La red virtual del punto de conexión privado puede ser independiente de la red virtual integrada con la aplicación de contenedor.
• Puede agregar un punto de conexión privado a entornos de perfil de carga de trabajo nuevos y existentes.

Para conectarse a las aplicaciones de contenedor a través de un punto de conexión privado, debe configurar una zona DNS privada.

También puede usar puntos de conexión privados con una conexión privada a Azure Front Door en lugar de Application Gateway.

DNS (Sistema de Nombres de Dominio)

La configuración de DNS en la red virtual del entorno de Azure Container Apps es importante por los siguientes motivos:

• DNS permite a las aplicaciones de contenedor resolver nombres de dominio en direcciones IP. Esto les permite detectar y comunicarse con servicios dentro y fuera de la red virtual. Esto incluye servicios como Azure Application Gateway, grupos de seguridad de red y puntos de conexión privados.

• La configuración de DNS personalizada mejora la seguridad al permitirle controlar y supervisar las consultas DNS realizadas por las aplicaciones de contenedor. Esto ayuda a identificar y mitigar posibles amenazas de seguridad, ya que garantiza que las aplicaciones de contenedor solo se comuniquen con dominios de confianza.

DNS personalizado

Si la red virtual usa un servidor DNS personalizado en lugar del servidor DNS predeterminado que proporciona Azure, configure el servidor DNS para reenviar consultas de DNS sin resolver a 168.63.129.16. Los solucionadores recursivos de Azure usan esta dirección IP para resolver solicitudes. Al configurar el grupo de seguridad de red (NSG) o el firewall, no bloquee la 168.63.129.16 dirección; de lo contrario, el entorno de Container Apps no funcionará correctamente.

Entrada de ámbito de red virtual

Si tiene previsto usar la entrada de ámbito de red virtual en un entorno interno, configure sus dominios de una de las siguientes maneras:

1. Dominios no personalizados: si no tiene previsto usar un dominio personalizado, cree una zona DNS privada que resuelva el dominio predeterminado del entorno de Container Apps en la dirección IP estática del entorno de Container Apps. Puede usar DNS privado de Azure o su propio servidor DNS. Si usa DNS privado de Azure, cree una zona DNS privada denominada como dominio predeterminado del entorno de aplicación de contenedor (<UNIQUE_IDENTIFIER>.<REGION_NAME>.azurecontainerapps.io), con un registro A. El registro A contiene el nombre *<DNS Suffix> y la dirección IP estática del entorno de Container Apps. Para más información, consulte Creación y configuración de una zona DNS privada de Azure.

2. Dominios personalizados: si tiene previsto usar dominios personalizados y usa un entorno externo de Container Apps, use un dominio que se pueda resolver públicamente para agregar un dominio personalizado y un certificado a la aplicación contenedora. Si usa un entorno interno de Container Apps, no hay ninguna validación para el enlace DNS, ya que el clúster solo está disponible desde dentro de la red virtual. Además, cree una zona DNS privada que resuelva el dominio apex en la dirección IP estática del entorno de Container Apps. Puede usar DNS privado de Azure o su propio servidor DNS. Si usa DNS privado de Azure, cree una zona DNS privada con el nombre del dominio apex, con un registro A que apunte a la dirección IP estática del entorno de Container Apps.

La dirección IP estática del entorno de Container Apps está disponible en Azure Portal en sufijo DNS personalizado de la página de la aplicación de contenedor o mediante el comando az containerapp env list de la CLI de Azure.

Pasos siguientes