Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Виртуальная сеть создает границу безопасности вокруг Контейнеры приложений Azure environment. По умолчанию среды создаются с виртуальной сетью, которая создается автоматически. Однако использование существующей виртуальной сети предоставляет больше сетевых возможностей Azure, таких как интеграция с Шлюз приложений Azure, группами безопасности сети и обмен данными с ресурсами через частные конечные точки. Эта конфигурация важна для корпоративных клиентов, которым необходимо изолировать внутренние критически важные приложения из общедоступного Интернета.
При создании виртуальной сети следует учитывать следующие ситуации:
Если вы хотите, чтобы ваше приложение-контейнер ограничивало весь внешний доступ, создайте внутреннюю среду контейнерных приложений.
Если вы используете собственную виртуальную сеть, необходимо предоставить подсеть, выделенную исключительно вашему приложению-контейнеру. Эта подсеть недоступна другим службам.
Сетевые адреса назначаются из диапазона подсети, который вы задаёте при создании среды.
Можно определить диапазон подсети, который использует среда "Приложения контейнеров".
Вы можете ограничить входящие запросы в среду исключительно виртуальной сетью, развернув среду как внутреннюю.
Замечание
При предоставлении собственной виртуальной сети создаются дополнительные управляемые ресурсы . Эти ресурсы влекут за собой затраты по соответствующим ставкам.
При начале разработки сети вокруг приложения-контейнера обратитесь к разделу "Планирование виртуальных сетей".
Замечание
Перемещение виртуальных сетей между различными группами ресурсов или подписками не допускается, если среда контейнерных приложений использует виртуальную сеть.
Подсеть
Интеграция виртуальной сети зависит от выделенной подсети. Выделение IP-адресов в подсети и поддерживаемые размеры подсети зависят от плана, который вы используете в Container Apps.
Тщательно выберите размер подсети. Невозможно изменить размеры подсети после создания среды "Приложения контейнеров".
Каждый тип среды имеет собственные требования к подсети:
Минимальный размер подсети, необходимый для интеграции с виртуальной сетью, —
/27.Необходимо делегировать вашу подсеть на
Microsoft.App/environments.При использовании внешней среды с внешним входящим трафиком входящий трафик маршрутизируется через общедоступный IP-адрес инфраструктуры, а не через вашу подсеть.
Контейнерные приложения автоматически резервируют 12 IP-адресов для интеграции с подсетью. Количество IP-адресов, необходимых для интеграции инфраструктуры, не зависит от требований масштабирования среды.
Дополнительные IP-адреса выделяются в соответствии со следующими правилами в зависимости от типа используемого профиля рабочей нагрузки:
Профиль выделенной рабочей нагрузки: по мере масштабирования приложения-контейнера каждый узел имеет один IP-адрес.
Профиль рабочей нагрузки потребления: каждый IP-адрес можно совместно использовать между несколькими репликами. При планировании количества IP-адресов, необходимых для приложения, запланируйте один IP-адрес на 10 реплик.
При внесении изменений в редакцию в однократном режиме необходимое адресное пространство увеличивается в течение короткого периода для поддержки развертываний без простоев. Это удвоение влияет на реальные, доступные поддерживаемые реплики или узлы для определенного размера подсети. В следующей таблице показаны как максимальные доступные адреса для блока CIDR, так и эффект горизонтального масштабирования.
Размер подсети Доступные IP-адреса1 Максимальные узлы (профиль выделенной рабочей нагрузки)2 Максимальные реплики (профиль рабочей нагрузки потребления)2 /23 498 249 2,490 /24 242 121 1,210 /25 114 57 570 /26 50 двадцать пять 250 /27 18 9 девяносто 1 Количество доступных IP-адресов — это размер подсети минус 14 IP-адресов, необходимых для инфраструктуры Контейнеры приложений Azure (включая 5 IP-адресов, которые резервирует подсеть).
2 Эти числа учитывают приложения в режиме одной редакции.
Ограничения для диапазонов адресов подсети
Диапазоны адресов подсети не могут перекрываться со следующими диапазонами, которые резервирует Служба Azure Kubernetes:
- 169.254.0.0/16
- 172.30.0.0/16
- 172.31.0.0/16
- 192.0.2.0/24
Кроме того, среда профиля рабочей нагрузки резервирует следующие адреса:
- 100.100.0.0/17
- 100.100.128.0/19
- 100.100.160.0/19
- 100.100.192.0/19
Конфигурация подсети с помощью интерфейса командной строки
При создании среды "Приложения контейнеров" вы предоставляете идентификаторы ресурсов для одной подсети.
Если вы используете Azure CLI, параметр для указания идентификатора ресурса подсети — infrastructure-subnet-resource-id. Подсеть размещает компоненты инфраструктуры и контейнеры пользовательских приложений.
Если вы используете Azure CLI с средой только для использования и диапазоном platformReservedCidr, обе подсети не должны перекрываться с диапазоном IP-адресов, определенным в platformReservedCidr.
Интеграция с Azure NAT Gateway
Вы можете использовать Azure NAT Gateway для упрощения подключения к исходящему интернет-трафику в виртуальной сети в среде профиля рабочей нагрузки.
При настройке шлюза преобразования сетевых адресов (NAT) в подсети шлюз NAT предоставляет статический общедоступный IP-адрес для вашей среды. Весь исходящий трафик из приложения-контейнера направляется через статический общедоступный IP-адрес шлюза NAT.
Замечание
SKU StandardV2 для Azure NAT Gateway в настоящее время не поддерживается для интеграции.
Управляемые ресурсы
При развертывании внутренней или внешней среды в собственной сети создается новая группа ресурсов в подписке Azure, в которой размещена ваша среда. Эта группа ресурсов содержит компоненты инфраструктуры, которым управляет платформа Контейнеры приложений Azure. Не изменяйте службы в этой группе или самой группе ресурсов.
Замечание
Пользовательские теги, назначенные среде контейнерных приложений, копируются ко всем ресурсам в группе ресурсов, включая саму группу ресурсов.
Имя группы ресурсов, созданной в подписке Azure, в которой размещена среда, по умолчанию имеет префикс ME_. Имя группы ресурсов можно настроить при создании среды "Приложения контейнеров".
Для внешних сред группа ресурсов содержит общедоступный IP-адрес, используемый специально для входящего подключения к внешней среде и подсистеме балансировки нагрузки. Для внутренних сред группа ресурсов содержит только подсистему балансировки нагрузки.
Помимо стандартной оплаты Container Apps, с вас взимается плата за следующее:
Один стандартный статический общедоступный IP-адрес для исходящего трафика, если вы используете внутреннюю или внешнюю среду, а также один стандартный статический общедоступный IP-адрес для входящего трафика, если вы используете внешнюю среду. Если вам нужны более общедоступные IP-адреса для исходящего трафика из-за проблем с исходным NAT (SNAT), откройте запрос в службу поддержки, чтобы запросить переопределение.
Одна стандартная подсистема балансировки нагрузки.
Стоимость обработанных данных (в гигабайтах) включает как вход, так и исходящий трафик для операций управления.