Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Sieć wirtualna tworzy bezpieczną granicę wokół środowiska usługi Azure Container Apps. Domyślnie środowiska są tworzone za pomocą sieci wirtualnej, która jest generowana automatycznie. Jednak użycie istniejącej sieci wirtualnej zapewnia więcej funkcji sieciowych platformy Azure, takich jak integracja z usługą Application Gateway, sieciowe grupy zabezpieczeń i komunikacja z zasobami za prywatnymi punktami końcowymi. Ta konfiguracja jest ważna dla klientów korporacyjnych, którzy muszą odizolować wewnętrzne, krytyczne aplikacje z publicznego Internetu.
Podczas tworzenia sieci wirtualnej należy pamiętać o następujących sytuacjach:
Jeśli chcesz, aby aplikacja kontenera ograniczyła cały dostęp zewnętrzny, utwórz wewnętrzne środowisko usługi Container Apps.
Jeśli używasz własnej sieci wirtualnej, musisz podać podsieć dedykowaną wyłącznie dla aplikacji kontenera. Ta podsieć nie jest dostępna dla innych usług.
Adresy sieciowe są przypisywane z zakresu podsieci zdefiniowanego podczas tworzenia środowiska.
Zakres podsieci używany przez środowisko Container Apps można zdefiniować.
Możesz ograniczyć żądania przychodzące do środowiska wyłącznie do sieci wirtualnej, wdrażając środowisko jako wewnętrzne.
Uwaga / Notatka
Po podaniu własnej sieci wirtualnej tworzone są dodatkowe zarządzane zasoby. Te zasoby generują koszty według powiązanych stawek.
Podczas projektowania sieci wokół aplikacji kontenera zapoznaj się z tematem Planowanie sieci wirtualnych.
Uwaga / Notatka
Przenoszenie sieci wirtualnych między różnymi grupami zasobów lub subskrypcjami nie jest dozwolone, jeśli sieć wirtualna jest używana przez środowisko usługi Container Apps.
Podsieć
Integracja sieci wirtualnej zależy od dedykowanej podsieci. Alokacja adresów IP w podsieci i obsługiwanych rozmiarów podsieci zależy od planu używanego w usłudze Azure Container Apps.
Starannie wybierz rozmiar podsieci. Nie można modyfikować rozmiarów podsieci po utworzeniu środowiska usługi Container Apps.
Różne typy środowisk mają różne wymagania dotyczące podsieci:
/27to minimalny rozmiar podsieci wymagany do integracji sieci wirtualnej.Musisz delegować swoją podsieć do
Microsoft.App/environments.W przypadku korzystania ze środowiska zewnętrznego z zewnętrznym dostępem, ruch przychodzący przechodzi przez publiczny adres IP infrastruktury, zamiast przez twoją podsieć.
Usługa Container Apps automatycznie rezerwuje 12 adresów IP na potrzeby integracji z podsiecią. Liczba adresów IP wymaganych do integracji infrastruktury nie różni się w zależności od wymagań skalowania środowiska. Dodatkowe adresy IP są przydzielane zgodnie z następującymi zasadami, w zależności od typu profilu obciążenia używanego w środowisku:
Dedykowany profil obciążenia: w miarę skalowania aplikacji kontenerowej, każdy węzeł ma przypisany jeden adres IP.
Profil obciążenia zużycia: Każdy adres IP może być współużytkowany między wieloma replikami. Podczas planowania liczby adresów IP wymaganych dla aplikacji zaplanuj 1 adres IP na 10 replik.
Jeśli wprowadzisz zmianę w trybie pojedynczej rewizji, wymagana przestrzeń adresowa zostanie podwojona przez krótki czas w celu zapewnienia obsługi wdrożeń bez przestojów. Ma to wpływ na rzeczywiste, dostępne obsługiwane repliki lub węzły dla danego rozmiaru podsieci. W poniższej tabeli przedstawiono zarówno maksymalne dostępne adresy na blok CIDR, jak i wpływ na skalę poziomą.
Rozmiar podsieci Dostępne adresyIP 1 Maksymalna liczba węzłów (profil dedykowanego obciążenia)2 Maksymalna liczba replik (profil obciążenia przetwarzania)2 /23 498 249 2,490 /24 242 121 1,210 /25 114 57 570 /26 50 25 250 /27 18 9 90 1 Dostępne adresy IP to rozmiar podsieci minus 14 adresów IP wymaganych dla infrastruktury usługi Azure Container Apps, która obejmuje 5 adresów IP zarezerwowanych przez podsieć. 2 Dotyczy to aplikacji w trybie pojedynczej rewizji.
Ograniczenia zakresu adresów podsieci
Zakresy adresów podsieci nie mogą nakładać się na następujące zakresy zarezerwowane przez usługi Azure Kubernetes Services:
- 169.254.0.0/16
- 172.30.0.0/16
- 172.31.0.0/16
- 192.0.2.0/24
Ponadto środowisko profilów obciążeń rezerwuje następujące adresy:
- 100.100.0.0/17
- 100.100.128.0/19
- 100.100.160.0/19
- 100.100.192.0/19
Konfiguracja podsieci przy użyciu CLI
W miarę tworzenia środowiska usługi Container Apps należy podać identyfikatory zasobów dla jednej podsieci.
Jeśli używasz interfejsu wiersza polecenia, parametrem do zdefiniowania identyfikatora zasobu podsieci jest infrastructure-subnet-resource-id. Podsieć hostuje składniki infrastruktury i kontenery aplikacji użytkownika.
Jeśli używasz Azure CLI w środowisku tylko na potrzeby rozliczeń (Consumption-only), a zakres platformReservedCidr jest zdefiniowany, obie podsieci nie mogą pokrywać się z zakresem adresów IP zdefiniowanym w elemencie platformReservedCidr.
Integracja bramy NAT
Brama NAT umożliwia uproszczenie łączności dla wychodzącego ruchu internetowego w sieci wirtualnej w środowisku profilów roboczych.
Podczas konfigurowania gateway NAT w swojej podsieci, gateway udostępnia statyczny, publiczny adres IP dla Twojego środowiska. Cały ruch wychodzący z aplikacji kontenera jest kierowany przez statyczny publiczny adres IP NAT Gateway.
Zasoby zarządzane
Podczas wdrażania środowiska wewnętrznego lub zewnętrznego w sieci zostanie utworzona nowa grupa zasobów w subskrypcji platformy Azure, w której jest hostowane środowisko. Ta grupa zasobów zawiera składniki infrastruktury zarządzane przez platformę Azure Container Apps. Nie należy modyfikować usług w tej grupie ani samej grupie zasobów.
Uwaga / Notatka
Tagi zdefiniowane przez użytkownika przypisane do środowiska usługi Container Apps są replikowane do wszystkich zasobów w grupie zasobów, w tym samej grupy zasobów.
Nazwa grupy zasobów utworzonej w subskrypcji platformy Azure, w której hostowane jest środowisko, jest domyślnie poprzedzona prefiksem ME_ , a nazwa grupy zasobów można dostosować podczas tworzenia środowiska aplikacji kontenera.
W przypadku środowisk zewnętrznych grupa zasobów zawiera publiczny adres IP używany specjalnie do łączności przychodzącej ze środowiskiem zewnętrznym i modułem równoważenia obciążenia. W przypadku środowisk wewnętrznych grupa zasobów zawiera tylko moduł równoważenia obciążenia.
Oprócz standardowego rozliczania aplikacji kontenerowych Azure, jesteś obciążany za:
Jeden standardowy statyczny publiczny adres IP dla ruchu wychodzącego w przypadku korzystania ze środowiska wewnętrznego lub zewnętrznego oraz jeden standardowy statyczny publiczny adres IP dla ruchu przychodzącego w przypadku korzystania ze środowiska zewnętrznego. Jeśli potrzebujesz więcej publicznych adresów IP na potrzeby ruchu wychodzącego z powodu problemów z SNAT, otwórz zgłoszenie do pomocy technicznej, aby poprosić o większy limit.
Jeden standardowy moduł równoważenia obciążenia.
Koszt przetwarzanych danych (w GB) obejmuje zarówno ruch przychodzący, jak i wychodzący na potrzeby operacji zarządzania.