Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma rede virtual cria um limite seguro em torno de seu ambiente de Aplicativos de Contêiner do Azure. Por padrão, os ambientes são criados com uma VNet gerada automaticamente. No entanto, o uso de uma VNet existente fornece mais recursos de rede do Azure, como integração com o Application Gateway, Grupos de Segurança de Rede e comunicação com recursos por trás de endpoints privados. Essa configuração é importante para clientes corporativos que precisam isolar aplicativos internos e críticos da Internet pública.
Ao criar uma rede virtual, tenha em mente as seguintes situações:
Se você quer que o aplicativo de contêiner restrinja todo o acesso externo, crie um ambiente interno dos Aplicativos de Contêiner.
Se você usar sua própria VNet, precisará fornecer uma sub-rede dedicada exclusivamente ao seu aplicativo de contêiner. Essa sub-rede não está disponível para outros serviços.
Os endereços de rede são atribuídos de um intervalo de sub-rede que você define quando o ambiente é criado.
Você pode definir o intervalo de sub-rede usado pelo ambiente dos Aplicativos de Contêiner.
Você pode restringir as solicitações de entrada no ambiente exclusivamente à VNet implantando o ambiente como interno.
Observação
Ao fornecer sua própria rede virtual, serão criados recursos gerenciados adicionais. Esses recursos incorrem em custos a suas taxas associadas.
Ao começar a projetar a rede em torno do seu aplicativo de contêiner, veja Planejar redes virtuais.
Observação
A movimentação de VNets entre diferentes grupos de recursos ou assinaturas não será permitida se a VNet estiver em uso por um ambiente de Aplicativos de Contêiner.
Sub-rede
A integração de rede virtual depende de uma sub-rede dedicada. A alocação de endereços IP em uma sub-rede e os tamanhos de sub-rede com suporte dependem do plano que você está usando nos Aplicativos de Contêiner do Azure.
Selecione o tamanho da sub-rede com cuidado. Os tamanhos de sub-rede não podem ser modificados depois que você cria um ambiente de Aplicativos de Contêiner.
Diferentes tipos de ambiente têm diferentes requisitos de sub-rede:
/27é o tamanho mínimo de sub-rede necessário para a integração de rede virtual.Você deve delegar sua sub-rede para
Microsoft.App/environments.Ao usar um ambiente externo com entrada externa, o tráfego de entrada é roteado pelo IP público da infraestrutura, e não pela sub-rede.
Os Aplicativos de Contêiner reservam automaticamente 12 endereços IP para integração com a sub-rede. O número de endereços IP necessários para a integração da infraestrutura não varia de acordo com as demandas de escala do ambiente. Endereços IP adicionais são alocados de acordo com as seguintes regras, dependendo do tipo de perfil de carga de trabalho que você está usando mais endereços IP são alocados dependendo do perfil de carga de trabalho do seu ambiente:
Perfil de carga de trabalho dedicada: à medida que o aplicativo de contêiner se expande, cada nó tem um endereço de IP atribuído.
Perfil da carga de trabalho de consumo: cada endereço IP pode ser compartilhado entre várias réplicas. Ao planejar quantos endereços IP são necessários para seu aplicativo, planeje um endereço IP para cada dez réplicas.
Ao fazer uma alteração em uma revisão no modo de revisão única, o espaço de endereço necessário é duplicado por um curto período de tempo para dar suporte a implantações sem tempo de inatividade. Isso afeta as réplicas ou os nós reais com suporte disponíveis para um determinado tamanho de sub-rede. A tabela a seguir mostra os endereços máximos disponíveis por bloco CIDR e o efeito na escala horizontal.
Tamanho da sub-rede Endereços IP disponíveis1 Nós máximos (perfil de carga de trabalho dedicado)2 Máximo de réplicas (perfil de carga de trabalho de Consumo)2 /23 498 249 2,490 /24 242 121 1,210 /25 114 57 570 /26 50 vinte e cinco 250 /27 18 9 90 1 Os endereços IP disponíveis são do tamanho da sub-rede menos os 14 endereços IP necessários para a infraestrutura de Aplicativos de Contêiner do Azure, que inclui cinco endereços IP reservados pela sub-rede. 2 Isso é a contabilização de aplicativos no modo de revisão única.
Restrições de intervalo de endereços de sub-rede
Os intervalos de endereços de sub-rede não podem se sobrepor aos seguintes intervalos reservados pelos Serviços de Kubernetes do Azure:
- 169.254.0.0/16
- 172.30.0.0/16
- 172.31.0.0/16
- 192.0.2.0/24
Além disso, um ambiente de perfis de carga de trabalho reserva os seguintes endereços:
- 100.100.0.0/17
- 100.100.128.0/19
- 100.100.160.0/19
- 100.100.192.0/19
Configuração de sub-rede com a CLI
Quando um ambiente de Aplicativos de Contêiner é criado, você fornece IDs de recurso para duas sub-redes diferentes.
Se você estiver usando a CLI, o parâmetro para definir a ID do recurso de sub-rede será infrastructure-subnet-resource-id. A sub-rede hospeda componentes de infraestrutura e contêineres de aplicativo de usuário.
Se você estiver usando a CLI do Azure com um ambiente somente consumo e o intervalo platformReservedCidr estiver definido, ambas as sub-redes não deverão se sobrepor ao intervalo de IP definido em platformReservedCidr.
Integração do gateway da NAT
Você pode usar o Gateway da NAT para simplificar a conectividade de saída para o tráfego de saída da internet na sua rede virtual em um ambiente de perfis de carga de trabalho.
Ao configurar um Gateway da NAT em sua sub-rede, o Gateway da NAT fornece um endereço IP público estático para seu ambiente. Todo o tráfego de saída do aplicativo de contêiner é roteado por meio do endereço IP público estático do Gateway da NAT.
Recursos gerenciados
Ao implantar um ambiente interno ou externo em sua própria rede, um novo grupo de recursos é criado na assinatura do Azure em que seu ambiente está hospedado. Este grupo de recursos contém componentes de infraestrutura gerenciados pela plataforma de Aplicativos de Contêiner do Azure. Não modifique os serviços neste grupo ou no próprio grupo de recursos.
Observação
As marcas definidas pelo usuário atribuídas ao seu ambiente de Aplicativos de Contêiner são replicadas para todos os recursos dentro do grupo de recursos, incluindo o próprio grupo de recursos.
O nome do grupo de recursos criado na assinatura do Azure em que seu ambiente está hospedado é prefixado com ME_ por padrão e o nome do grupo de recursos pode ser personalizado ao criar seu ambiente de aplicativo de contêiner.
Para ambientes externos, o grupo de recursos contém um endereço IP público usado especificamente para conectividade de entrada com seu ambiente externo e um balanceador de carga. Para ambientes internos, o grupo de recursos contém apenas um balanceador de carga.
Além da cobrança dos Aplicativos de Contêiner do Azure, você será cobrado por:
Um IP estático padrão para saída, se estiver usando um ambiente interno ou externo, e um IP estático padrão para entrada, se estiver usando um ambiente externo. Se você precisar de mais IPs para saída devido a problemas de SNAT, abra um tíquete de suporte para solicitar uma substituição.
Um balanceador de carga de padrão.
Os custos de dados processados (em GBs) incluem a entrada e a saída das operações de gerenciamento.