Scénáře a zdroje informací týkající se virtuální sítě

  • Článek

Azure Virtual Network poskytuje zabezpečené privátní sítě pro vaše prostředky Azure a místní prostředky. Nasazením skupin kontejnerů do virtuální sítě Azure můžou kontejnery bezpečně komunikovat s dalšími prostředky ve virtuální síti.

Tento článek obsahuje základní informace o scénářích, omezeních a prostředcích virtuální sítě. Příklady nasazení pomocí Azure CLI najdete v tématu Nasazení instancí kontejneru do virtuální sítě Azure.

Důležité

Nasazení skupiny kontejnerů do virtuální sítě je obecně dostupné pro kontejnery Linuxu a Windows ve většině oblastí, kde je služba Azure Container Instances dostupná. Podrobnosti najdete v tématu Dostupnost prostředků a omezení kvót.

Scénáře

Skupiny kontejnerů nasazené do virtuální sítě Azure umožňují scénáře jako:

  • Přímá komunikace mezi skupinami kontejnerů ve stejné podsíti
  • Odeslání výstupu úlohy založeného na úlohách z instancí kontejneru do databáze ve virtuální síti
  • Načtení obsahu pro instance kontejneru z koncového bodu služby ve virtuální síti
  • Povolení komunikace kontejnerů s místními prostředky prostřednictvím brány VPN nebo ExpressRoute
  • Integrace se službou Azure Firewall za účelem identifikace odchozího provozu pocházejícího z kontejneru
  • Překlad názvů prostřednictvím interního Azure DNS pro komunikaci s prostředky Azure ve virtuální síti, jako jsou virtuální počítače
  • Řízení přístupu ke kontejnerům k podsítím nebo jiným síťovým prostředkům pomocí pravidel NSG

Nepodporované scénáře sítě

  • Azure Load Balancer – Umístění služby Azure Load Balancer před instancemi kontejnerů ve skupině síťových kontejnerů se nepodporuje.
  • Globální partnerský vztah virtuálních sítí – Globální partnerský vztah (připojení virtuálních sítí napříč oblastmi Azure) se nepodporuje.
  • Popisek veřejné IP adresy nebo DNS – Skupiny kontejnerů nasazené do virtuální sítě v současné době nepodporují zveřejnění kontejnerů přímo na internet s veřejnou IP adresou nebo plně kvalifikovaným názvem domény.
  • Spravovaná identita s virtuální sítí v oblastech Azure Government – Spravovaná identita s funkcemi virtuálních sítí se v oblastech Azure Government nepodporuje.

Další omezení

  • Pokud chcete nasadit skupiny kontejnerů do podsítě, podsíť nemůže obsahovat jiné typy prostředků. Před nasazením skupin kontejnerů do existující podsítě z ní odeberte všechny existující prostředky nebo vytvořte novou podsíť.
  • Pokud chcete nasadit skupiny kontejnerů do podsítě, musí být podsíť a skupina kontejnerů ve stejném předplatném Azure.
  • Sondu aktivity ani sondu připravenosti ve skupině kontejnerů nasazené do virtuální sítě nemůžete povolit.
  • Vzhledem k dalším síťovým prostředkům, která se týkají, jsou nasazení do virtuální sítě obvykle pomalejší než nasazení standardní instance kontejneru.
  • Odchozí připojení k portu 25 a 19390 se v tuto chvíli nepodporují. Port 19390 je potřeba otevřít v bráně firewall pro připojení k ACI z webu Azure Portal, když jsou skupiny kontejnerů nasazené ve virtuálních sítích.
  • U příchozích připojení by brána firewall měla také povolit všechny IP adresy ve virtuální síti.
  • Pokud připojujete skupinu kontejnerů k účtu úložiště Azure, musíte do daného prostředku přidat koncový bod služby.
  • Adresy IPv6 se v tuto chvíli nepodporují.
  • V závislosti na typu předplatného můžou být určité porty blokované.
  • Instance kontejnerů nečtou nebo nedědí nastavení DNS z přidružené virtuální sítě. Pro instance kontejnerů musí být explicitně nastavená nastavení DNS.

Požadované síťové prostředky

K nasazení skupin kontejnerů do virtuální sítě jsou potřeba tři prostředky virtuální sítě Azure: samotná virtuální síť , delegovaná podsíť v rámci virtuální sítě a profil sítě.

Virtuální síť

Virtuální síť definuje adresní prostor, ve kterém vytvoříte jednu nebo více podsítí. Potom nasadíte prostředky Azure (například skupiny kontejnerů) do podsítí ve vaší virtuální síti.

Podsíť (delegovaná)

Podsítě segmentují virtuální síť do samostatných adresních prostorů použitelných prostředky Azure, které do nich umístíte. Ve virtuální síti můžete vytvořit jednu nebo více podsítí.

Podsíť, kterou používáte pro skupiny kontejnerů, může obsahovat pouze skupiny kontejnerů. Před nasazením skupiny kontejnerů do podsítě musíte před zřízením explicitně delegovat podsíť. Po delegování je možné podsíť použít pouze pro skupiny kontejnerů. Pokud se do delegované podsítě pokusíte nasadit jiné prostředky než skupiny kontejnerů, operace selže.

Profil sítě

Důležité

Profily sítě byly vyřazeny z 2021-07-01 verze rozhraní API. Pokud používáte tuto nebo novější verzi, ignorujte všechny kroky a akce související se síťovými profily.

Profil sítě je šablona konfigurace sítě pro prostředky Azure. Určuje určité vlastnosti sítě pro daný prostředek, například podsíť, do které se má nasadit. Když poprvé použijete příkaz az container create k nasazení skupiny kontejnerů do podsítě (a tedy virtuální sítě), Azure pro vás vytvoří profil sítě. Tento profil sítě pak můžete použít pro budoucí nasazení do této podsítě.

Pokud chcete k nasazení skupiny kontejnerů do podsítě použít šablonu Resource Manageru, soubor YAML nebo programovou metodu, musíte zadat úplné ID prostředku Resource Manageru profilu sítě. Dříve vytvořený profil můžete použít pomocí příkazu az container create nebo vytvořit profil pomocí šablony Resource Manageru (viz příklad šablony a odkaz). Pokud chcete získat ID dříve vytvořeného profilu, použijte příkaz az network profile list .

Následující diagram znázorňuje několik skupin kontejnerů nasazených do podsítě delegovaného do služby Azure Container Instances. Jakmile do podsítě nasadíte jednu skupinu kontejnerů, můžete do ní nasadit více skupin kontejnerů zadáním stejného profilu sítě.

Skupiny kontejnerů ve virtuální síti

Další kroky