Сценарии и ресурсы виртуальной сети

Виртуальная сеть Azure обеспечивает безопасное и конфиденциальное сетевое подключение для Azure и локальных ресурсов. Развертывание групп контейнеров в виртуальной сети Azure позволяет контейнерам безопасно обмениваться данными с другими ресурсами в виртуальной сети.

В этой статье содержатся общие сведения о сценариях, ограничениях и ресурсах виртуальной сети. Примеры развертывания с помощью Azure CLI см. в статье Развертывание экземпляров контейнеров в виртуальной сети Azure.

Сценарии

Группы контейнеров, развернутых в виртуальной сети Azure, позволяют реализовать такие сценарии:

• прямой обмен данными между группами контейнеров в одной и той же подсети;
• отправка выходных данных рабочей нагрузки на основе задач из экземпляров контейнеров в базу данных в виртуальной сети;
• получение содержимого для экземпляров контейнеров из конечной точки службы в виртуальной сети;
• включение обмена данными контейнеров с локальными ресурсами через VPN-шлюз или ExpressRoute;
• интеграция с Брандмауэром Azure для обнаружения исходящего трафика из контейнера;
• разрешение имен с использованием внутренних служб Azure DNS для взаимодействия с ресурсами Azure в виртуальной сети, например для виртуальных машин;
• использование правил NSG для управления доступом контейнеров к подсетям или другим сетевым ресурсам.

Неподдерживаемые сценарии сети

• Azure Load Balancer. Размещение Azure Load Balancer перед экземплярами контейнеров в сетевой группе контейнеров не поддерживается
• Пиринг глобальной виртуальной сети — глобальный пиринг (подключение виртуальных сетей между регионами Azure) не поддерживается.
• Общедоступный IP-адрес или метка DNS — группы контейнеров, развернутые в виртуальной сети, в настоящее время не поддерживают доступ к контейнерам непосредственно в Интернете с общедоступным IP-адресом или полным доменным именем.
• Управляемое удостоверение с виртуальная сеть в регионах Azure для государственных организаций . Управляемое удостоверение с возможностями виртуальной сети не поддерживается в регионах Azure для государственных организаций

Другие ограничения

• Для развертывания группы контейнеров в подсети эта подсеть не должна содержать другие типы ресурсов. Удалите все существующие ресурсы из существующей подсети перед развертыванием групп контейнеров в ней или создайте новую подсеть.
• Чтобы развернуть группы контейнеров в подсети, подсеть и группа контейнеров должны находиться в одной и той же подписке Azure.
• Из-за задействованных дополнительных сетевых ресурсов развертывание в виртуальной сети обычно происходит медленнее, чем развертывание стандартного экземпляра контейнера.
• Исходящие подключения к порту 25 и 19390 в настоящее время не поддерживаются. Порт 19390 необходимо открыть в брандмауэре для подключения к ACI из портал Azure при развертывании групп контейнеров в виртуальных сетях.
• Для входящих подключений брандмауэр также должен разрешать все IP-адреса в виртуальной сети.
• Если вы подключаете группу контейнеров к учетной записи служба хранилища Azure, необходимо добавить конечную точку службы в этот ресурс.
• В настоящее время адреса IPv6 не поддерживаются.
• В зависимости от типа подписки некоторые порты могут быть заблокированы.
• Экземпляры контейнеров не считывают или наследуют параметры DNS из связанной виртуальной сети. Параметры DNS должны быть явно заданы для экземпляров контейнеров.

Необходимые сетевые ресурсы

Для развертывания групп контейнеров в виртуальной сети требуется три ресурса виртуальной сети Azure: сама виртуальная сеть, делегированная подсеть в пределах этой виртуальной сети и сетевой профиль.

Виртуальная сеть

Виртуальная сеть определяет адресное пространство, в котором можно создать одну или несколько подсетей. Затем следует развернуть ресурсы Azure (например, группы контейнеров) в подсетях виртуальной сети.

Подсеть (делегированная)

Подсети сегментируют виртуальную сеть на отдельные адресные пространства, которые применяются для размещения ресурсов Azure. В виртуальной сети следует создать одну или несколько подсетей.

Подсеть, используемая для групп контейнеров, может содержать только группы контейнеров. Перед развертыванием группы контейнеров в подсети необходимо явно делегировать подсеть перед подготовкой. После делегирования подсеть можно использовать только для групп контейнеров. Если попытаться развернуть в делегированной подсети ресурсы, отличные от групп контейнеров, операция завершится ошибкой.

сетевой профиль.

Сетевой профиль — это шаблон конфигурации сети для ресурсов Azure. Он задает определенные свойства сети для ресурса, например подсеть, в который его следует развернуть. При первом использовании команды az container create для развертывания группы контейнеров в подсеть (и, соответственно, в виртуальную сеть) Azure создаст сетевой профиль. Затем этот сетевой профиль можно использовать для будущих развертываний в подсети.

Чтобы использовать шаблон Resource Manager, файл YAML или программный метод для развертывания группы контейнеров в подсеть, необходимо указать полный идентификатор ресурса Resource Manager сетевого профиля. Вы можете использовать профиль, созданный ранее с использованием команды az container create, или создать профиль с помощью шаблона Resource Manager (ознакомьтесь с примером шаблона и справочной документацией). Чтобы получить идентификатор ранее созданного профиля, используйте команду az network profile list.

На следующей схеме показаны несколько групп контейнеров, развернутых в подсети, делегированной Экземпляры контейнеров Azure. После развертывания одной группы контейнеров в подсети можно развернуть в ней несколько групп контейнеров, указав тот же сетевой профиль.

Следующие шаги

• Примеры развертывания с помощью Azure CLI см. в статье Развертывание экземпляров контейнеров в виртуальной сети Azure.
• Сведения о развертывании новой виртуальной сети, подсети, профиля сети и группы контейнеров с помощью шаблона Resource Manager см. в статье "Создание группы контейнеров Azure с виртуальной сетью".
• При использовании портал Azure для создания экземпляра контейнера можно также указать параметры для новой или существующей виртуальной сети на вкладке "Сеть".