إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يعمل Azure Container Apps في سياق environment، الذي يدير شبكته الافتراضية الخاصة. عند إنشاء البيئة، تؤثر بعض الاعتبارات الرئيسية على قدرات الشبكات لتطبيقات الحاويات لديك: نوع البيئة، نوع الشبكة الافتراضية، ومستوى الوصول.
تحديد البيئة
تطبيقات الحاويات لها نوعان من البيئة. تشتركان في العديد من خصائص الشبكة نفسها، مع بعض الاختلافات الرئيسية.
| نوع البيئة | أنواع الخطط المدعومة | الوصف |
|---|---|---|
| ملفات تعريف عبء العمل (الافتراضية) | الاستهلاك، مخصص | يدعم المسارات المعرفة من قبل المستخدم (UDRs)، والخروج عبر بوابة Azure NAT، وإنشاء نقاط نهاية خاصة في بيئة تطبيق الحاوية. الحد الأدنى لحجم الشبكة الفرعية المطلوبة هو /27. |
| الاستهلاك فقط (الإرث) | الاستهلاك | لا يدعم UDRs، ولا يخرج عبر بوابة Azure NAT، ولا يربط عبر بوابة بعيدة، أو أي خروج مخصص آخر. الحد الأدنى لحجم الشبكة الفرعية المطلوبة هو /23. |
لمزيد من المعلومات، راجع أنواع البيئة.
نوع الشبكة الظاهرية
افتراضيا، تطبيقات الحاويات متكاملة مع شبكة Azure، التي يمكن الوصول إليها للجمهور عبر الإنترنت ويمكنها التواصل فقط عبر نقاط النهاية المتاحة عبر الإنترنت. لديك أيضا خيار توفير شبكة افتراضية موجودة أثناء إنشاء بيئتك بدلا من ذلك. بعد إنشاء بيئة باستخدام شبكة Azure الافتراضية أو شبكة افتراضية موجودة، لا يمكنك تغيير نوع الشبكة.
استخدم شبكة افتراضية موجودة عندما تحتاج إلى ميزات شبكة Azure مثل:
- مجموعات أمن الشبكة.
- Azure Application Gateway integration.
- Azure Firewall integration.
- التحكم في حركة المرور الصادرة من تطبيق الحاويات الخاص بك.
- الوصول إلى الموارد خلف نقاط النهاية الخاصة في شبكتك الافتراضية.
إذا كنت تستخدم شبكة افتراضية موجودة، تحتاج إلى توفير شبكة فرعية مخصصة حصريا لبيئة تطبيقات الحاويات التي تقوم بنشرها. هذه الشبكة الفرعية غير متوفرة للخدمات الأخرى. لمزيد من المعلومات، راجع تكوين الشبكة الافتراضية.
مستوى إمكانية وصول ذوي الاحتياجات الخاصة
يمكنك تحديد ما إذا كان تطبيق الحاوية يسمح بالدخول العام أو الدخول فقط من داخل شبكتك الافتراضية على مستوى البيئة.
| مستوى إمكانية وصول ذوي الاحتياجات الخاصة | الوصف |
|---|---|
| خارجي | تطبيق الحاوية الخاص بك يمكنه قبول الطلبات العامة. يتم نشر البيئات الخارجية باستخدام عنوان IP افتراضي على عنوان IP خارجي موجه للعامة. |
| داخلي | البيئات الداخلية لا تحتوي على نقاط نهاية عامة ويتم نشرها باستخدام عنوان IP افتراضي مرتبط بعنوان IP داخلي. نقطة النهاية الداخلية هي موازن تحميل داخلي Azure. يتم إصدار عناوين IP من قائمة عناوين IP الخاصة بالشبكة الافتراضية الحالية. |
الوصول إلى الشبكة العامة
يحدد إعداد الوصول إلى الشبكة العامة ما إذا كانت بيئة تطبيقات الحاويات لديك متاحة من الإنترنت العام. يعتمد ما إذا كان يمكنك تغيير هذا الإعداد بعد إنشاء بيئتك على تكوين IP الظاهري للبيئة. يعرض الجدول التالي قيما صالحة للوصول إلى الشبكة العامة، اعتمادا على تكوين IP الظاهري لشبكة البيئة الخاصة بك.
| عنوان IP ظاهري | الوصول إلى الشبكة العامة المدعومة | الوصف |
|---|---|---|
| خارجي |
Enabled، Disabled |
تم إنشاء بيئة تطبيقات الحاويات بنقطة نهاية يمكن الوصول إليها عبر الإنترنت. يحدد إعداد الوصول إلى الشبكة العامة ما إذا كانت حركة المرور مقبولة عبر نقطة النهاية العامة أم فقط عبر نقاط النهاية الخاصة. يمكنك تغيير هذا الإعداد بعد إنشاء البيئة. |
| داخلي | Disabled |
تم إنشاء بيئة تطبيقات الحاويات دون وجود نقطة نهاية متاحة عبر الإنترنت. لا يمكنك تغيير إعداد الوصول العام للشبكة لقبول حركة المرور من الإنترنت. |
لإنشاء نقاط نهاية خاصة في بيئة تطبيقات الحاويات الخاصة بك، يجب عليك تعيين الوصول إلى الشبكة العامة إلى Disabled.
تدعم سياسات الشبكات في Azure مع علم الوصول إلى الشبكة العامة.
تكوين الدخول
في قسم الدخول ، يمكنك ضبط الإعدادات التالية:
قم بتفعيل أو تعطيل نظام الدخول لتطبيق الحاوية الخاص بك.
اقبل حركة المرور إلى تطبيق الحاوية من أي مكان أو فقط من نفس بيئة تطبيقات الحاويات.
حدد قواعد تقسيم حركة المرور بين نسخ تطبيقك. لمزيد من المعلومات، راجع تقسيم نسبة استخدام الشبكة.
لمزيد من المعلومات حول سيناريوهات الشبكات، راجع Ingress في Azure Container Apps.
الميزات الواردة
| ميزة | تعرف على كيفية |
|---|---|
| الدخول تكوين الدخول |
التحكم في توجيه حركة المرور الخارجية والداخلية إلى تطبيق الحاوية. |
| الدخول المتميز | قم بتكوين إعدادات الدخول المتقدمة، مثل دعم ملف ملف عبء العمل للدخول ومهلة الخمول. |
| قيود IP | تقييد حركة المرور الواردة إلى تطبيق الحاوية الخاص بك حسب عنوان IP. |
| مصادقة شهادة العميل | تكوين مصادقة شهادة العميل (المعروفة أيضا باسم TLS المتبادلة أو mTLS) لتطبيق الحاوية. |
|
تقسيم نسبة استخدام الشبكة توزيع أزرق/أخضر |
تقسيم نسبة استخدام الشبكة الواردة بين المراجعات النشطة لتطبيق الحاوية. |
| علاقة الجلسة | توجيه جميع الطلبات من عميل إلى نفس النسخة المتماثلة من تطبيق الحاوية. |
| مشاركة الموارد عبر الأصول (CORS) | قم بتمكين CORS لتطبيق الحاوية الخاص بك، والذي يسمح بالطلبات المقدمة من خلال المستعرض إلى مجال لا يتطابق مع أصل الصفحة. |
| التوجيه المستند إلى المسار | استخدم القواعد لتوجيه الطلبات إلى تطبيقات حاوية مختلفة في بيئتك، اعتمادا على مسار كل طلب. |
| الشبكات الظاهرية | قم بتكوين الشبكة الافتراضية لبيئة تطبيقات الحاويات الخاصة بك. |
| DNS | قم بتكوين DNS لشبكة بيئة تطبيقات الحاويات الافتراضية الخاصة بك. |
| نقطة النهاية الخاصة | استخدم نقطة نهاية خاصة للوصول الآمن إلى تطبيق الحاوية دون تعريضه للإنترنت العام. |
| التكامل مع الواجهة الأمامية لـ Azure | اتصل مباشرة من الواجهة الأمامية لـ Azure بتطبيق حاوية باستخدام رابط خاص بدلا من الإنترنت العام. |
الميزات الصادرة
| ميزة | تعرف على كيفية |
|---|---|
| استخدام جدار حماية Azure | استخدم Azure Firewall للتحكم في نسبة استخدام الشبكة الصادرة من تطبيق الحاوية. |
| الشبكات الظاهرية | قم بتكوين الشبكة الافتراضية لبيئة تطبيقات الحاويات الخاصة بك. |
| تأمين شبكة افتراضية موجودة مع مجموعة أمن الشبكة | ساعد في تأمين الشبكة الافتراضية لبيئة تطبيقات الحاويات باستخدام مجموعة أمن الشبكة. |
| Azure تكامل بوابة NAT | استخدم بوابة Azure NAT لتبسيط الاتصال الخارجي بالإنترنت في شبكتك الافتراضية في بيئة ملف تعريف العمال العملية. |
مقالات إرشادية
| مقالة | تعرف على كيفية |
|---|---|
| توفير شبكة افتراضية لبيئة Azure Container Apps | استخدام شبكة ظاهرية. |
| Protect Azure Container Apps مع Web Application Firewall على Application Gateway | Configure Azure Web Application Firewall on Azure Application Gateway. |
| التحكم في حركة المرور الصادرة في Azure Container Apps باستخدام المسارات التي يحددها المستخدم | فعل UDRs. |
| استخدم mTLS في Azure Container Apps | ابن تطبيق mTLS في تطبيقات الحاويات. |
| استخدم نقطة نهاية خاصة مع بيئة Azure Container Apps | استخدم نقطة نهاية خاصة للوصول الآمن إلى تطبيق الحاوية دون تعريضه للإنترنت العام. |
| إنشاء رابط خاص لتطبيق حاوية باستخدام الواجهة الأمامية لـ Azure | اتصل مباشرة من الواجهة الأمامية لـ Azure بتطبيق حاوية باستخدام رابط خاص بدلا من الإنترنت العام. |
أمان البيئة
يمكنك المساعدة في تأمين بيئة ملف عبء العمل الخاص بك لحركة المرور الداخلة والخارجة من خلال اتخاذ الإجراءات التالية:
أنشئ بيئة تطبيقات الحاويات الداخلية في بيئة ملف تعريف عبء العمل. للحصول على خطوات، راجع إدارة ملفات تعريف حمل العمل باستخدام Azure CLI.
دمج تطبيقات الحاويات مع Application Gateway.
قم بتكوين UDR لتوجيه جميع حركة المرور عبر Azure Firewall.
سلوك وكيل حافة HTTP
يستخدم Azure Container Apps بروكسي HTTP على الحافة الذي ينهي TLS ويوجه الطلبات إلى كل تطبيق.
مقياس تطبيقات HTTP استنادا إلى عدد طلبات واتصالات HTTP. يوجه Envoy حركة المرور الداخلية داخل المجموعات.
تدعم الاتصالات اللاحقة HTTP/1.1 وHTTP/2. يقوم Envoy باكتشاف الاتصالات وترقيتها تلقائيا إذا كان اتصال العميل يحتاج إلى ترقية.
أنت تعرف الاتصالات الأعلى عن طريق تعيين transport الخاصية على الكائن المدخل .
التبعيات الخاصة بالمدخل
لكل تطبيق في تطبيقات الحاويات، هناك عنوانان للرابط.
يبدأ وقت تشغيل تطبيقات الحاويات بإنشاء اسم نطاق مؤهل بالكامل (FQDN) يستخدم للوصول إلى تطبيقك. للحصول على FQDN لتطبيق الحاوية، اذهب إلى تطبيق الحاوية الخاص بك في بوابة Azure. في صفحة النظرة العامة ، FQDN هو قيمة URL التطبيق .
يتم أيضا إنشاء عنوان URL ثان لك. هذا الموقع يمنح الوصول إلى خدمة بث السجلات ووحدة التحكم. إذا لزم الأمر، أضف https://azurecontainerapps.dev/ إلى قائمة التصاريح الخاص بجدار الحماية أو الوكيل الخاص بك.
المنافذ وعناوين IP
المنافذ التالية مكشوفة للاتصالات الواردة:
| البروتوكول | Ports |
|---|---|
| HTTP/HTTPS | 80, 443 |
عناوين IP لها الأنواع التالية:
| النوع | الوصف |
|---|---|
| الملكية الفكرية العامة الواردة | يستخدم لحركة مرور التطبيقات في النشر الخارجي، ولإدارة حركة المرور في كل من النشر الداخلي والخارجي. |
| IP العام الصادر | يستخدم ك IP "من" للاتصالات الصادرة التي تترك الشبكة الظاهرية. لا تُوجه هذه الاتصالات إلى VPN. قد تتغير عناوين IP الصادرة مع مرور الوقت. استخدام بوابة Azure NAT أو أي وكيل آخر لحركة المرور الصادرة من بيئة تطبيقات الحاويات مدعوم فقط في بيئة ملف ملف workload. |
| IP موازن التحميل الداخلي | يوجد فقط في بيئة داخلية. |