Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Виртуальная сеть создает безопасную границу в среде Azure Container Apps. По умолчанию среды создаются с помощью виртуальной сети, которая автоматически создается. Однако использование существующей виртуальной сети предоставляет дополнительные сетевые функции Azure, такие как интеграция с Шлюзом приложений, группами безопасности сети и взаимодействием с ресурсами за частными конечными точками. Эта конфигурация важна для корпоративных клиентов, которым необходимо изолировать внутренние критически важные приложения из общедоступного Интернета.
При создании виртуальной сети следует учитывать следующие ситуации:
Если вы хотите, чтобы приложение-контейнер ограничивалось всем внешним доступом , создайте внутреннюю среду приложений контейнеров.
Если вы используете собственную виртуальную сеть, необходимо предоставить подсеть, выделенную исключительно вашему приложению контейнера. Эта подсеть недоступна другим службам.
Сетевые адреса назначаются из диапазона подсети, который вы определяете при создании среды.
Можно определить диапазон подсети, используемый средой "Приложения контейнеров".
Вы можете ограничить входящие запросы в среду исключительно виртуальной сетью, развернув среду как внутреннюю.
Замечание
При предоставлении собственной виртуальной сети создаются дополнительные управляемые ресурсы . Эти ресурсы влекут за собой затраты по соответствующим ставкам.
При начале разработки сети вокруг приложения-контейнера обратитесь к разделу "Планирование виртуальных сетей".
Замечание
Перемещение виртуальных сетей между различными группами ресурсов или подписками не допускается, если виртуальная сеть используется средой "Приложения контейнеров".
Подсеть
Интеграция виртуальной сети зависит от выделенной подсети. Выделение IP-адресов в подсети и поддерживаемых размерах подсети зависит от плана , который вы используете в приложениях контейнеров Azure.
Тщательно выберите размер подсети. Размеры подсети нельзя изменить после создания среды "Приложения контейнеров".
Разные типы среды имеют разные требования к подсети:
/27— минимальный размер подсети, необходимый для интеграции виртуальной сети.Необходимо делегировать вашу подсеть на
Microsoft.App/environments.При использовании внешней среды с внешним входом, маршруты входящего трафика проходят через общедоступный IP-адрес инфраструктуры, а не через вашу подсеть.
Контейнерные приложения автоматически резервируют 12 IP-адресов для интеграции с подсетью. Количество IP-адресов, необходимых для интеграции инфраструктуры, не зависит от требований масштабирования среды. Дополнительные IP-адреса выделяются в соответствии со следующими правилами в зависимости от типа профиля рабочей нагрузки, который вы используете, выделяются больше IP-адресов в зависимости от профиля рабочей нагрузки вашей среды:
Профиль выделенной рабочей нагрузки: по мере масштабирования приложения-контейнера каждый узел имеет один IP-адрес.
Профиль рабочей нагрузки потребления: каждый IP-адрес может быть общим для нескольких реплик. При планировании количества IP-адресов, необходимых для приложения, запланируйте 1 IP-адрес на 10 реплик.
При внесении изменения в редакцию в режиме единственной редакции адресное пространство на короткий период времени увеличивается вдвое для поддержки безостановочного развертывания. Это влияет на реальные поддерживаемые реплики или узлы для заданного размера подсети. В следующей таблице показаны как максимальные доступные адреса для блока CIDR, так и эффект горизонтального масштабирования.
Размер подсети Доступные IP-адреса1 Максимальное число узлов (профиль выделенной рабочей нагрузки)2 Максимальное число реплик (профиль рабочей нагрузки потребления)2 /23 498 249 2,490 /24 242 121 1,210 /25 114 57 570 /26 50 двадцать пять 250 /27 18 9 девяносто 1 Доступные IP-адреса — это размер подсети минус 14 IP-адресов, необходимых для инфраструктуры приложений контейнеров Azure, которая включает 5 IP-адресов, зарезервированных подсетью. 2 . Это относится к приложениям в режиме единой редакции.
Ограничения диапазона адресов подсети
Диапазоны адресов подсети не могут перекрываться со следующими диапазонами, зарезервированными Служба Azure Kubernetes:
- 169.254.0.0/16
- 172.30.0.0/16
- 172.31.0.0/16
- 192.0.2.0/24
Кроме того, среда профилей рабочей нагрузки резервирует следующие адреса:
- 100.100.0.0/17
- 100.100.128.0/19
- 100.100.160.0/19
- 100.100.192.0/19
Конфигурация подсети с помощью ИНТЕРФЕЙСА командной строки
При создании среды "Приложения контейнеров" вы предоставляете идентификаторы ресурсов для одной подсети.
Если вы используете CLI, параметр для определения идентификатора ресурса подсети — infrastructure-subnet-resource-id. Подсеть размещает компоненты инфраструктуры и контейнеры пользовательских приложений.
Если вы используете Azure CLI только со средой с оплатой за потребление, а диапазон platformReservedCidr определен, обе подсети не должны перекрываться с диапазоном IP-адресов, определенным в platformReservedCidr.
Интеграция шлюза NAT
Шлюз NAT можно использовать для упрощения исходящего подключения для исходящего интернет-трафика в виртуальной сети в среде профилей рабочих нагрузок.
При настройке шлюза NAT в подсети шлюз NAT предоставляет статический общедоступный IP-адрес для вашей среды. Весь исходящий трафик из приложения контейнера направляется через статический общедоступный IP-адрес шлюза NAT.
Управляемые ресурсы
При развертывании внутренней или внешней среды в собственной сети создается новая группа ресурсов в подписке Azure, в которой размещена ваша среда. Эта группа ресурсов содержит компоненты инфраструктуры, управляемые платформой "Контейнеры приложений Azure". Не изменяйте службы в этой группе или самой группе ресурсов.
Замечание
Пользовательские теги, назначенные среде контейнерных приложений, копируются ко всем ресурсам в группе ресурсов, включая саму группу ресурсов.
Имя группы ресурсов, созданной в подписке Azure, в которой размещена среда, имеет префикс ME_ по умолчанию, а имя группы ресурсов можно настроить при создании среды приложения контейнера.
Для внешних сред группа ресурсов содержит общедоступный IP-адрес, используемый специально для входящего подключения к внешней среде и подсистеме балансировки нагрузки. Для внутренних сред группа ресурсов содержит только подсистему балансировки нагрузки.
В дополнение к стандартному выставлению счетов за Azure Container Apps с вас также взимаются платежи за:
Один стандартный статический общедоступный IP-адрес для исходящего трафика при использовании внутренней или внешней среды, а также один стандартный статический общедоступный IP-адрес для входящего трафика при использовании внешней среды. Если вам нужны более общедоступные IP-адреса для исходящего трафика из-за проблем SNAT, откройте запрос в службу поддержки, чтобы запросить переопределение.
Одна стандартная подсистема балансировки нагрузки.
Стоимость обработанных данных (в GBS) включает как входящий трафик, так и исходящий трафик для операций управления.