Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Prywatny punkt końcowy platformy Azure umożliwia klientom znajdującym się w sieci prywatnej bezpieczne łączenie się ze środowiskiem usługi Azure Container Apps za pośrednictwem usługi Azure Private Link. Połączenie łącza prywatnego eliminuje narażenie na publiczny Internet. Prywatne punkty końcowe używają prywatnego adresu IP w przestrzeni adresowej sieci wirtualnej platformy Azure i są zwykle konfigurowane przy użyciu prywatnej strefy DNS.
Prywatne punkty końcowe są obsługiwane zarówno w przypadku planów Zużycie, jak i Dedykowane w środowiskach profilów obciążenia.
Fakturowanie
Prywatne punkty końcowe generują dodatkowe opłaty. Po włączeniu prywatnego punktu końcowego w usłudze Azure Container Apps opłaty są naliczane za następujące elementy:
- Azure Private Link — rozliczenia dla samego zasobu usługi Azure Private Link.
- Azure Container Apps — fakturowanie dedykowanej infrastruktury prywatnego punktu końcowego dla usługi Azure Container Apps, która pojawia się jako oddzielna opłata za zarządzanie planami dedykowanymi i ma zastosowanie zarówno do planów zużycia, jak i dedykowanych.
Poradniki
- Aby dowiedzieć się więcej na temat konfigurowania prywatnych punktów końcowych w usłudze Azure Container Apps, zobacz samouczek Używanie prywatnego punktu końcowego ze środowiskiem usługi Azure Container Apps.
- Łączność usługi Private Link z usługą Azure Front Door jest obsługiwana w przypadku usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz Tworzenie łącza prywatnego za pomocą usługi Azure Front Door .
Rozważania
- Aby użyć prywatnego punktu końcowego, należy wyłączyć dostęp do sieci publicznej. Domyślnie dostęp do sieci publicznej jest włączony, co oznacza, że prywatne punkty końcowe są wyłączone.
- Aby użyć prywatnego punktu końcowego z domeną niestandardową i domeną wierzchołka jako typem rekordu nazwy hosta, należy skonfigurować prywatną strefę DNS o takiej samej nazwie jak publiczny DNS. W zestawie rekordów skonfiguruj prywatny adres IP prywatnego punktu końcowego zamiast adresu IP środowiska aplikacji kontenera. Podczas konfigurowania domeny niestandardowej przy użyciu rekordu CNAME konfiguracja pozostaje niezmieniona. Aby uzyskać więcej informacji, zobacz Konfigurowanie domeny niestandardowej przy użyciu istniejącego certyfikatu.
- Sieć wirtualna prywatnego punktu końcowego może być oddzielona od sieci wirtualnej zintegrowanej z aplikacją kontenera.
- Prywatny punkt końcowy można dodać zarówno do nowych, jak i istniejących środowisk profilu obciążenia.
Aby połączyć się z aplikacjami kontenera za pośrednictwem prywatnego punktu końcowego, należy skonfigurować prywatną strefę DNS.
| Usługa | zasób podrzędny | nazwa prywatnej strefy DNS |
|---|---|---|
| Azure Container Apps (Microsoft.App/ManagedEnvironments) | zarządzane środowisko | privatelink.{regionName}.azurecontainerapps.io |
Możesz również używać prywatnych punktów końcowych z prywatnym połączeniem z usługą Azure Front Door zamiast usługi Application Gateway.
DNS
Konfigurowanie systemu DNS w sieci wirtualnej środowiska usługi Azure Container Apps jest ważne z następujących powodów:
Usługa DNS umożliwia aplikacjom kontenera rozpoznawanie nazw domen na adresy IP. Dzięki temu mogą odnajdywać i komunikować się z usługami w sieci wirtualnej i poza nimi. Obejmuje to usługi, takie jak Azure Application Gateway, sieciowe grupy zabezpieczeń i prywatne punkty końcowe.
Niestandardowe ustawienia DNS zwiększają bezpieczeństwo, umożliwiając kontrolowanie i monitorowanie zapytań DNS wykonanych przez aplikacje kontenera. Pomaga to identyfikować i ograniczać potencjalne zagrożenia bezpieczeństwa, zapewniając aplikacjom kontenera komunikację tylko z zaufanymi domenami.
Własne ustawienia DNS
Jeśli sieć wirtualna używa niestandardowego serwera DNS zamiast domyślnego serwera DNS dostarczonego przez platformę Azure, skonfiguruj serwer DNS do przekazywania nierozwiązanych zapytań DNS do 168.63.129.16usługi .
Rekursywne rozwiązywarki DNS platformy Azure używają tego adresu IP do rozwiązywania żądań. Podczas konfigurowania sieciowej grupy zabezpieczeń lub zapory nie blokuj 168.63.129.16 adresu, w przeciwnym razie środowisko usługi Container Apps nie będzie działać poprawnie.
Ingress w zakresie VNet
Jeśli planujesz używać ingress w obszarze sieci VNet w środowisku wewnętrznym, skonfiguruj swoje domeny na jeden z następujących sposobów:
Domeny inne niż niestandardowe: jeśli nie planujesz używania domeny niestandardowej, utwórz prywatną strefę DNS, która rozpoznaje domyślną domenę środowiska Container Apps na statyczny adres IP środowiska Container Apps. Możesz użyć usługi Azure Prywatna strefa DNS lub własnego serwera DNS. Jeśli używasz usługi Azure Private DNS, utwórz prywatną strefę DNS nazwaną jako domena domyślna środowiska aplikacji kontenera (
<UNIQUE_IDENTIFIER>.<REGION_NAME>.azurecontainerapps.io) z rekordemA. RekordAzawiera nazwę*<DNS Suffix>i statyczny adres IP środowiska Container Apps. Aby uzyskać więcej informacji, zobacz Tworzenie i konfigurowanie prywatnej strefy DNS platformy Azure.Domeny niestandardowe: jeśli planujesz używać domen niestandardowych i używasz zewnętrznego środowiska usługi Container Apps, użyj publicznie rozpoznawalnej domeny, aby dodać domenę niestandardową i certyfikat do aplikacji kontenera. Jeśli używasz wewnętrznego środowiska usługi Container Apps, nie ma weryfikacji powiązania DNS, ponieważ klaster jest dostępny tylko z poziomu sieci wirtualnej. Ponadto utwórz prywatną strefę DNS, która rozwiązuje domenę główną do statycznego adresu IP środowiska Container Apps. Możesz użyć usługi Azure Prywatna strefa DNS lub własnego serwera DNS. Jeśli używasz usługi Azure Private DNS, utwórz prywatną strefę DNS o nazwie domeny wierzchołka z rekordem
A, który wskazuje statyczny adres IP środowiska Container Apps.
Statyczny adres IP środowiska Container Apps jest dostępny w portalu Azure w sekcji niestandardowy sufiks DNS na stronie aplikacji kontenera lub za pomocą polecenia az containerapp env list Azure CLI.