Pontos de extremidade privados e DNS para redes virtuais em ambientes de Aplicativos de Contêiner do Azure

O ponto de extremidade privado do Azure permite que os clientes localizados em sua rede privada se conectem com segurança ao seu ambiente de Aplicativos de Contêiner do Azure por meio do Azure Private Link. Uma conexão de link privado elimina a exposição à internet pública. Endpoints privados usam um endereço IP privado no espaço de endereços da rede virtual do Azure e normalmente são configurados com uma zona DNS privada.

Os endpoints privados são suportados tanto para planos de Consumo como para planos Dedicados em ambientes configurados para perfis de carga de trabalho.

Billing

Os terminais privados incorrem em custos adicionais. Ao ativar um ponto de extremidade privado nas Aplicações de Contentores do Azure, são cobrados os seguintes itens:

1. Azure Private Link - Cobrança do próprio recurso Azure Private Link.
2. Aplicações de Contentores do Azure - Cobrança da infraestrutura de ponto de extremidade privada dedicada para Aplicações de Contentores do Azure, que aparece como uma cobrança separada sob o título "Gerenciamento de Plano Dedicado" e aplica-se a ambos os planos de Consumo e Dedicado.

Tutoriais

• Para saber mais sobre como configurar endpoints privados em Aplicações de Contentor do Azure, consulte o tutorial "Usar um endpoint privado com um ambiente de Aplicações de Contentor do Azure".
• A conectividade de ligação privada com o Azure Front Door é suportada para Aplicações em Contentores do Azure. Consulte criar um link privado com o Azure Front Door para obter mais informações.

Considerações

• Para usar um ponto de extremidade privado, você deve desabilitar o acesso à rede pública. Por padrão, o acesso à rede pública está habilitado, o que significa que os pontos de extremidade privados estão desabilitados.
• Para utilizar um ponto de extremidade privado com um domínio personalizado e um domínio Apex como tipo de registro Hostname, é necessário configurar uma zona DNS privada com o mesmo nome do seu DNS público. No conjunto de registros, configure o endereço IP privado do ponto de extremidade privado em vez do endereço IP do ambiente do aplicativo contêiner. Quando você configura seu domínio personalizado com CNAME, a configuração não é alterada. Para obter mais informações, consulte Configurar domínio personalizado com certificado existente.
• A VNet do seu endpoint privado pode ser separada da VNet integrada com seu aplicativo de contêiner.
• Você pode adicionar um endpoint privado a ambientes de perfil de carga de trabalho novos e existentes.

Para se conectar aos seus aplicativos de contêiner por meio de um ponto de extremidade privado, você deve configurar uma zona DNS privada.

Você também pode usar endpoints privados com uma ligação privada ao Azure Front Door em vez do Application Gateway.

DNS

Configurar o DNS na rede virtual do seu ambiente de Aplicativos de Contêiner do Azure é importante pelos seguintes motivos:

• O DNS permite que seus aplicativos de contêiner resolvam nomes de domínio para endereços IP. Isso permite que eles descubram e se comuniquem com serviços dentro e fora da rede virtual. Isso inclui serviços como Azure Application Gateway, Grupos de Segurança de Rede e pontos de extremidade privados.

• As configurações de DNS personalizadas aumentam a segurança, permitindo que você controle e monitore as consultas DNS feitas por seus aplicativos de contêiner. Isso ajuda a identificar e mitigar possíveis ameaças à segurança, garantindo que seus aplicativos de contêiner se comuniquem apenas com domínios confiáveis.

DNS Personalizado

Se sua rede virtual usar um servidor DNS personalizado em vez do servidor DNS padrão fornecido pelo Azure, configure seu servidor DNS para encaminhar consultas DNS não resolvidas para 168.63.129.16. Os resolvedores recursivos do Azure usam esse endereço IP para resolver solicitações. Ao configurar seu grupo de segurança de rede (NSG) ou firewall, não bloqueie o 168.63.129.16 endereço, caso contrário, seu ambiente de Aplicativos de Contêiner não funcionará corretamente.

Ingresso no escopo da rede virtual

Se você planeja usar a entrada de escopo de rede virtual em um ambiente interno, configure seus domínios de uma das seguintes maneiras:

1. Domínios não personalizados: se você não planeja usar um domínio personalizado, crie uma zona DNS privada que resolva o domínio padrão do ambiente Aplicativos de Contêiner para o endereço IP estático do ambiente de Aplicativos de Contêiner. Você pode usar o DNS Privado do Azure ou seu próprio servidor DNS. Se você usar o DNS Privado do Azure, crie uma Zona DNS privada nomeada como domínio padrão do ambiente do Aplicativo de Contêiner (<UNIQUE_IDENTIFIER>.<REGION_NAME>.azurecontainerapps.io), com um A registro. O A registro contém o nome *<DNS Suffix> e o endereço IP estático do ambiente Container Apps. Para obter mais informações, consulte Criar e configurar uma zona DNS privada do Azure.

2. Domínios personalizados: se você planeja usar domínios personalizados e estiver usando um ambiente externo de Aplicativos de Contêiner, use um domínio resolúvel publicamente para adicionar um domínio e um certificado personalizados ao aplicativo de contêiner. Se você estiver usando um ambiente interno de Aplicativos de Contêiner, não haverá validação para a associação DNS, pois o cluster só está disponível na rede virtual. Adicionalmente, crie uma zona de DNS privado que resolva o domínio apex para o endereço IP estático do ambiente "Container Apps". Você pode usar o DNS Privado do Azure ou seu próprio servidor DNS. Se você usar o DNS Privado do Azure, crie uma Zona DNS Privada nomeada como o domínio do ápice, com um A registro que aponte para o endereço IP estático do ambiente de Aplicativos de Contêiner.

O endereço IP estático do ambiente de Aplicativos de Contêiner está disponível no portal do Azure no sufixo DNS personalizado da página do aplicativo de contêiner ou usando o comando CLI az containerapp env list do Azure.

Próximos passos