مشاركة عبر

تكوين الشبكة الظاهرية

تنشئ الشبكة الظاهرية حدودا آمنة حول بيئة Azure Container Apps. بشكل افتراضي، يتم إنشاء البيئات باستخدام VNet التي يتم إنشاؤها تلقائيا. ومع ذلك، يوفر استخدام شبكة ظاهرية موجودة المزيد من ميزات شبكة Azure مثل التكامل مع Application Gateway ومجموعات أمان الشبكة والاتصال بالموارد خلف نقاط النهاية الخاصة. هذا التكوين مهم لعملاء المؤسسات الذين يحتاجون إلى عزل التطبيقات الداخلية ذات المهام الحرجة عن الإنترنت العام.

أثناء إنشاء شبكة ظاهرية، ضع في اعتبارك الحالات التالية:

  • إذا كنت تريد أن يقيد تطبيق الحاوية جميع الوصول الخارجي، فبادر بإنشاء بيئة Container Apps داخلية.

  • إذا كنت تستخدم الشبكة الظاهرية الخاصة بك، فأنت بحاجة إلى توفير شبكة فرعية مخصصة حصريا لتطبيق الحاوية الخاص بك. هذه الشبكة الفرعية غير متوفرة للخدمات الأخرى.

  • يتم تعيين عناوين الشبكة من نطاق شبكة فرعية تحدده عند إنشاء البيئة.

    • يمكنك تحديد نطاق الشبكة الفرعية المستخدمة من قبل بيئة Container Apps.

    • يمكنك تقييد الطلبات الواردة إلى البيئة حصريا إلى VNet عن طريق نشر البيئة كداخلية.

إشعار

عند توفير الشبكة الظاهرية الخاصة بك، يتم إنشاء موارد مدارة إضافية. وتتكبد هذه الموارد تكاليف بأسعارها المرتبطة بها.

عند البدء في تصميم الشبكة حول تطبيق الحاوية، راجع تخطيط الشبكات الظاهرية.

رسم تخطيطي لكيفية استخدام بيئات Azure Container Apps ل V NET موجود، أو يمكنك توفير شبكتك الخاصة.

إشعار

لا يسمح بنقل VNets بين مجموعات موارد أو اشتراكات مختلفة إذا كانت VNet قيد الاستخدام من قبل بيئة Container Apps.

الشبكه الفرعيه

يعتمد تكامل الشبكة الظاهرية على شبكة فرعية مخصصة. يعتمد تخصيص عناوين IP في شبكة فرعية وأحجام الشبكة الفرعية المدعومة على الخطة التي تستخدمها في Azure Container Apps.

حدد حجم الشبكة الفرعية بعناية. لا يمكن تعديل أحجام الشبكة الفرعية بعد إنشاء بيئة Container Apps.

أنواع البيئة المختلفة لها متطلبات شبكة فرعية مختلفة:

  • /27 هو الحد الأدنى لحجم الشبكة الفرعية المطلوبة لتكامل الشبكة الظاهرية.

  • يجب تفويض الشبكة الفرعية الخاصة بك إلى Microsoft.App/environments.

  • عند استخدام بيئة خارجية مع دخول خارجي، توجه نسبة استخدام الشبكة الواردة من خلال IP العام للبنية الأساسية بدلا من الشبكة الفرعية.

  • تحتفظ Container Apps تلقائيا ب 12 عنوان IP للتكامل مع الشبكة الفرعية. لا يختلف عدد عناوين IP المطلوبة لتكامل البنية الأساسية بناء على متطلبات مقياس البيئة. يتم تخصيص عناوين IP إضافية وفقا للقواعد التالية اعتمادا على نوع ملف تعريف حمل العمل الذي تستخدمه يتم تخصيص المزيد من عناوين IP اعتمادا على ملف تعريف حمل العمل الخاص بالبيئة:

    • ملف تعريف حمل العمل المخصص: مع توسيع نطاق تطبيق الحاوية، يكون لكل عقدة عنوان IP واحد معين.

    • ملف تعريف حمل العمل الاستهلاك: يمكن مشاركة كل عنوان IP بين نسخ متماثلة متعددة. عند التخطيط لمقدار عناوين IP المطلوبة لتطبيقك، خطط لعنوان IP واحد لكل 10 نسخ متماثلة.

  • عند إجراء تغيير على مراجعة في وضع مراجعة واحدة، تتم مضاعفة مساحة العنوان المطلوبة لفترة زمنية قصيرة من أجل دعم عمليات نشر وقت التعطل الصفري. يؤثر هذا على النسخ المتماثلة أو العقد المدعومة الحقيقية والمتوفرة لحجم شبكة فرعية معينة. يعرض الجدول التالي كل من الحد الأقصى للعناوين المتوفرة لكل كتلة CIDR والتأثير على المقياس الأفقي.

    حجم الشبكة الفرعية عناوين IP المتوفرة1 الحد الأقصى للعقد (ملف تعريف حمل العمل المخصص)2 الحد الأقصى للنسخ المتماثلة (ملف تعريف حمل عمل الاستهلاك)2
    /23 498 249 2,490
    /24 242 121 1,210
    /25 114 57 570
    /26 50 25 250
    /27 18 9 90

    1 عناوين IP المتوفرة هي حجم الشبكة الفرعية مطروحا منها عناوين IP ال 14 المطلوبة للبنية الأساسية لتطبيقات حاوية Azure التي تتضمن 5 عناوين IP محجوزة من قبل الشبكة الفرعية. 2 هذا هو المحاسبة للتطبيقات في وضع المراجعة الفردية.

قيود نطاق عناوين الشبكة الفرعية

لا يمكن أن تتداخل نطاقات عناوين الشبكة الفرعية مع النطاقات التالية المحجوزة بواسطة خدمات Azure Kubernetes:

  • 169.254.0.0/16
  • 172.30.0.0/16
  • 172.31.0.0/16
  • 192.0.2.0/24

بالإضافة إلى ذلك، تحتفظ بيئة ملفات تعريف حمل العمل بالعناوين التالية:

  • 100.100.0.0/17
  • 100.100.128.0/19
  • 100.100.160.0/19
  • 100.100.192.0/19

تكوين الشبكة الفرعية مع CLI

عند إنشاء بيئة Container Apps، يمكنك توفير معرفات الموارد لشبكة فرعية واحدة.

إذا كنت تستخدم CLI، فإن المعلمة لتعريف معرف مورد الشبكة الفرعية هي infrastructure-subnet-resource-id. تستضيف الشبكة الفرعية مكونات البنية الأساسية وحاويات تطبيقات المستخدم.

إذا كنت تستخدم Azure CLI مع بيئة Consumption فقط وتم تعريف نطاق platformReservedCidr ، يجب ألا تتداخل كلتا الشبكتين الفرعيتين مع نطاق IP المحدد في platformReservedCidr.

تكامل بوابة NAT

يمكنك استخدام بوابة NAT لتبسيط الاتصال الصادر لحركة مرور الإنترنت الصادرة في شبكتك الظاهرية في بيئة ملفات تعريف حمل العمل.

عند تكوين بوابة NAT على الشبكة الفرعية الخاصة بك، توفر بوابة NAT عنوان IP عاما ثابتا للبيئة الخاصة بك. يتم توجيه جميع حركة المرور الصادرة من تطبيق الحاوية من خلال عنوان IP العام الثابت لبوابة NAT.

إشعار

لا يدعم حاليا الدمج مع بوابة NAT القياسية في وحدة VLV VLV.

الموارد المُدارة

عند نشر بيئة داخلية أو خارجية في شبكتك الخاصة، يتم إنشاء مجموعة موارد جديدة في اشتراك Azure حيث تتم استضافة بيئتك. تحتوي مجموعة الموارد هذه على مكونات البنية الأساسية التي يديرها النظام الأساسي Azure Container Apps. لا تقم بتعديل الخدمات في هذه المجموعة أو مجموعة الموارد نفسها.

إشعار

يتم نسخ العلامات المعرفة من قبل المستخدم المعينة لبيئة Container Apps إلى جميع الموارد داخل مجموعة الموارد، بما في ذلك مجموعة الموارد نفسها.

اسم مجموعة الموارد التي تم إنشاؤها في اشتراك Azure حيث تتم استضافة بيئتك مسبوقا ME_ بشكل افتراضي، ويمكن تخصيص اسم مجموعة الموارد أثناء إنشاء بيئة تطبيق الحاوية.

بالنسبة للبيئات الخارجية، تحتوي مجموعة الموارد على عنوان IP عام يستخدم خصيصا للاتصال الوارد بالبيئة الخارجية وموازن التحميل. بالنسبة للبيئات الداخلية، تحتوي مجموعة الموارد على موازن تحميل فقط.

بالإضافة إلى فوترة Azure Container Apps القياسية، تتم محاسبتك على:

الخطوات التالية

إدارة الاتصالات الصادرة باستخدام Azure Firewall

  • Last updated on