Поделиться через


Об экземплярах контейнеров Azure

Контейнеры — это популярное средство упаковки и развертывания облачных приложений, а также управления ими. Служба "Экземпляры контейнеров Azure" предоставляет самый быстрый и простой способ запуска контейнера в Azure без управления виртуальными машинами и применения службы более высокого уровня.

Служба "Экземпляры контейнеров Azure" — идеальное решение для любых сценариев, которые могут выполняться в изолированных контейнерах, включая простые приложения, автоматизацию задач и задания сборки. Для сценариев, требующих полной оркестрации контейнера, включая поиск служб по нескольким контейнерам, автоматическое масштабирование и координированное обновление приложений, рекомендуем использовать службу Azure Kubernetes. Мы рекомендуем ознакомиться с рекомендациями и ограничениями и часто задаваемыми вопросами, чтобы понять рекомендации при развертывании экземпляров контейнеров.

Быстрый запуск

В вопросе скорости запуска контейнеры обеспечивают значительные преимущества по сравнению с виртуальными машинами. Служба "Экземпляры контейнеров Azure" может в считаные секунды запустить контейнер в Azure без подготовки виртуальных машин и управления ими.

Получите образы контейнеров Linux или Windows из Docker Hub, частного реестра контейнеров Azure или из другого облачного реестра Docker. Ознакомьтесь с часто задаваемыми вопросами , чтобы узнать, какие реестры поддерживают ACI. Служба "Экземпляры контейнеров Azure" кэширует несколько распространенных базовых образов ОС, помогая ускорить развертывание пользовательских образов приложений.

Получение доступа к контейнеру

Служба "Экземпляры контейнеров Azure" позволяет предоставлять группы контейнеров прямо в Интернете с помощью общедоступного IP-адреса и полного доменного имени. Когда вы создаете экземпляр контейнера, вы можете указать собственную метку DNS-имени, благодаря чему приложения будет доступно по адресу собственная_метка.регион_azure.azurecontainer.io.

Экземпляры контейнеров Azure также поддерживают выполнение команды в работающем контейнере, предоставляя интерактивную оболочку для разработки приложений и устранения неполадок. Получение доступа осуществляется по протоколу HTTPS с использованием протокола TLS для защиты клиентских подключений.

Внимание

По состоянию на 13 января 2020 г. Экземпляры контейнеров Azure требует всех безопасных подключений с серверов и приложений для использования TLS 1.2. Поддержка TLS 1.0 и 1.1 прекращена.

Развертывания с соблюдением требований

Безопасность на уровне низкоуровневой оболочки

Исторически контейнеры предложили изоляцию зависимостей приложений и управление ресурсами, но недостаточно ужесточили для враждебного мультитенантного использования. Служба "Экземпляры контейнеров Azure" обеспечивает изоляцию приложения в контейнере, как на виртуальной машине.

Данные клиентов

Служба Экземпляры контейнеров Azure не хранит данные клиента. Однако он сохраняет идентификаторы подписок подписки, используемой для создания ресурсов. Хранение идентификаторов подписок необходимо, чтобы группы контейнеров продолжали работать должным образом.

Настраиваемые размеры

Обычно контейнеры оптимизированы для выполнения одного приложения. Однако требования таких приложений могут быть самыми разнообразными. Служба "Экземпляры контейнеров Azure" обеспечивает оптимальное использование ресурсов в соответствии с требованиями к ядрам ЦП и объему памяти. Оплата зависит от требуемых ресурсов и начисляется посекундно, позволяя вам оптимизировать расходы в соответствии с фактическими потребностями.

Для заданий с большим объемом вычислений, таких как машинное обучение, в службе "Экземпляры контейнеров Azure" можно запланировать использование ресурсов GPU NVIDIA Tesla (доступны в предварительной версии) в контейнерах Linux.

Постоянное хранилище

Чтобы получать и сохранять данные состояния с помощью службы "Экземпляры контейнеров Azure", рекомендуем установить прямое подключение к общим файловым ресурсам Azure, поддерживаемым службой хранилища Azure.

Контейнеры Linux и Windows

Служба "Экземпляры контейнеров Azure" позволяет создавать расписание для контейнеров Windows и Linux в одном и том же API. При создании групп контейнеров можно указать предпочтения типа ОС.

Некоторые функции сейчас ограничены контейнерами Linux.

Для развертываний контейнеров Windows используйте образы на основе стандартных базовых образов Windows.

Coscheduled groups

Служба "Экземпляры контейнеров Azure" поддерживает установку расписания для многоконтейнерных групп, для которых задан одни и те же хост-компьютер, локальная сеть, хранилище и жизненный цикл. Это позволяет объединить основной контейнер приложений с другими дополнительными контейнерами, такими как расширения для ведения журналов.

Развертывание виртуальной сети

Экземпляры контейнеров Azure позволяют развертывать экземпляры контейнеров в виртуальной сети Azure. Экземпляры контейнеров, развернутые в подсети виртуальной сети, могут безопасно взаимодействовать с другими ресурсами виртуальной сети, включая локальные ресурсы. Взаимодействие происходит через шлюз VPN или ExpressRoute.

Развертывание конфиденциального контейнера

Конфиденциальные контейнеры в ACI позволяют запускать контейнеры в доверенной среде выполнения (TEE), которая обеспечивает защиту конфиденциальности и целостности оборудования для рабочих нагрузок контейнеров. Конфиденциальные контейнеры в ACI могут защищать используемые данные и шифровать данные, обрабатываемые в памяти. Конфиденциальные контейнеры в ACI поддерживаются как номер SKU, который можно выбрать при развертывании рабочей нагрузки. Дополнительные сведения см. в разделе "Конфиденциальные группы контейнеров".

Развертывание точечных контейнеров

Контейнеры ACI Spot позволяют клиентам запускать прерывания, контейнерные рабочие нагрузки на неиспользуемую емкость Azure со скидкой до 70 % по сравнению с контейнерами ACI с регулярным приоритетом. Локальные контейнеры ACI могут быть упрещены, когда Azure сталкивается с нехваткой избыточной емкости, и они подходят для рабочих нагрузок без строгих требований к доступности. Клиентам выставляются счета за использование памяти и ядра в секунду. Чтобы использовать контейнеры ACI Spot, можно развернуть рабочую нагрузку с определенным флагом свойств, указывающим, что вы хотите использовать группы контейнеров Spot и воспользоваться моделью скидок. Дополнительные сведения см. в разделе "Точечные группы контейнеров".

Рекомендации

Учетные данные пользователя, передаваемые через интерфейс командной строки (CLI), хранятся в виде обычного текста в серверной части. Хранение учетных данных в виде обычного текста является угрозой безопасности; Корпорация Майкрософт рекомендует клиентам хранить учетные данные пользователей в переменных среды CLI, чтобы убедиться, что они шифруются и преобразуются при хранении в серверной части.

Если группа контейнеров перестает работать, рекомендуется перезапустить контейнер, проверить код приложения или конфигурацию локальной сети перед открытием запроса на поддержку.

Образы контейнеров не могут превышать 15 ГБ, любые изображения, превышающие этот размер, могут привести к непредвиденному поведению: насколько большим может быть образ контейнера?

Некоторые базовые образы Windows Server больше не совместимы с Экземпляры контейнеров Azure:
Какие базовые образы ОС Windows поддерживаются?

Если группа контейнеров перезапускается, IP-адрес группы контейнеров может измениться. Мы советуем использовать жестко закодированный IP-адрес в вашем сценарии. Если вам нужен статический общедоступный IP-адрес, используйте Шлюз приложений: статический IP-адрес для группы контейнеров — Экземпляры контейнеров Azure | Microsoft Learn

Существуют порты, зарезервированные для функциональных возможностей службы. Мы советуем не использовать эти порты, так как их использование приводит к неожиданному поведению: резервирует ли служба ACI порты для функциональных возможностей службы?

Если у вас возникли проблемы с развертыванием или запуском контейнера, сначала проверьте руководство по устранению неполадок для распространенных ошибок и проблем.

Группы контейнеров могут перезапуститься из-за событий обслуживания платформы. Эти события обслуживания выполняются для обеспечения непрерывного улучшения базовой инфраструктуры: контейнер имел изолированную перезагрузку без явного ввода пользователем.

ACI не разрешает привилегированные операции контейнера. Рекомендуется не зависеть от использования корневого каталога для вашего сценария.

Следующие шаги

Разверните контейнер Azure с помощью одной команды, воспользовавшись нашим кратким руководством.