Scénáře a zdroje informací týkající se virtuální sítě

Důležité

Pokud nasadíte skupinu kontejnerů do virtuální sítě, musíte pro odchozí připojení použít bránu NAT. Toto je jediná podporovaná konfigurace pro odchozí připojení ze skupiny kontejnerů ve virtuální síti. Další informace o konfiguraci této konfigurace najdete v tématu Konfigurace služby NAT Gateway pro statickou IP adresu pro odchozí provoz ze skupiny kontejnerů .

Azure Virtual Network poskytuje zabezpečené privátní sítě pro vaše prostředky Azure a místní prostředky. Nasazením skupin kontejnerů do virtuální sítě Azure můžou kontejnery bezpečně komunikovat s dalšími prostředky ve virtuální síti.

Tento článek obsahuje základní informace o scénářích, omezeních a prostředcích virtuální sítě. Příklady nasazení pomocí Azure CLI najdete v tématu Nasazení instancí kontejneru do virtuální sítě Azure.

Důležité

Nasazení skupiny kontejnerů do virtuální sítě je obecně dostupné pro kontejnery Linuxu a Windows ve většině oblastí, kde je služba Azure Container Instances dostupná. Podrobnosti najdete v tématu Dostupnost prostředků a omezení kvót.

Scénáře

Skupiny kontejnerů nasazené do virtuální sítě Azure umožňují scénáře jako:

• Přímá komunikace mezi skupinami kontejnerů ve stejné podsíti
• Odeslání výstupu úkolové zátěže z instancí kontejneru do databáze ve virtuální síti
• Načtení obsahu pro instance kontejneru z koncového bodu služby ve virtuální síti
• Povolte komunikaci kontejnerů s místními prostředky prostřednictvím VPN brány nebo ExpressRoute
• Integrace se službou Azure Firewall za účelem identifikace odchozího provozu pocházejícího z kontejneru
• Rozhodování o názvech přes interní Azure DNS pro komunikaci s Azure prostředky ve virtuální síti, jako jsou virtuální počítače
• Řízení přístupu ke kontejnerům k podsítím nebo jiným síťovým prostředkům pomocí pravidel NSG

Nepodporované scénáře sítě

• Azure Load Balancer – Umístění služby Azure Load Balancer před instancemi kontejnerů ve skupině síťových kontejnerů se nepodporuje.
• Globální partnerský vztah virtuálních sítí – Globální partnerský vztah (připojení virtuálních sítí napříč oblastmi Azure) se nepodporuje.
• Veřejná IP adresa nebo označení DNS – Skupiny kontejnerů nasazené do virtuální sítě v současné době nepodporují přímé vystavení kontejnerů na internet s použitím veřejné IP adresy nebo plně kvalifikovaného názvu domény.
• Spravovaná identita s virtuální sítí v oblastech Azure Government – Spravovaná identita s funkcemi virtuálních sítí se v oblastech Azure Government nepodporuje.

Další omezení

• Pokud chcete nasadit skupiny kontejnerů do podsítě, podsíť nemůže obsahovat jiné typy prostředků. Před nasazením skupin kontejnerů do ní odeberte všechny existující prostředky z existující podsítě nebo vytvořte novou podsíť.
• Pokud chcete nasadit skupiny kontejnerů do podsítě, musí být podsíť a skupina kontejnerů ve stejném předplatném Azure.
• Vzhledem k dodatečným síťovým prostředkům, které jsou zapojeny, je nasazení do virtuální sítě obvykle pomalejší než nasazení standardní kontejnerové instance.
• Odchozí připojení k portu 25 a 19390 se v tuto chvíli nepodporují. Port 19390 je potřeba otevřít v bráně firewall pro připojení k ACI z webu Azure Portal, když jsou skupiny kontejnerů nasazené ve virtuálních sítích.
• U příchozích připojení by brána firewall měla také povolit všechny IP adresy ve virtuální síti.
• Pokud připojujete skupinu kontejnerů k účtu úložiště Azure, musíte do daného prostředku přidat koncový bod služby.
• Adresy IPv6 se v tuto chvíli nepodporují.
• V závislosti na typu předplatného můžou být určité porty blokované.
• Instance kontejnerů nečtou nebo nedědí nastavení DNS z přidružené virtuální sítě. Pro instance kontejnerů musí být explicitně nastavená nastavení DNS.

Požadované síťové prostředky

K nasazení skupin kontejnerů do virtuální sítě jsou potřeba tři prostředky virtuální sítě Azure: samotná virtuální síť , delegovaná podsíť v rámci virtuální sítě a profil sítě.

Virtuální síť

Virtuální síť definuje adresní prostor, ve kterém vytvoříte jednu nebo více podsítí. Potom nasadíte prostředky Azure (například skupiny kontejnerů) do podsítí ve vaší virtuální síti.

Podsíť (delegovaná)

Podsítě segmentují virtuální síť do samostatných adresních prostorů, které lze použít pro prostředky Azure, jež v nich umístíte. Ve virtuální síti můžete vytvořit jednu nebo více podsítí.

Podsíť, kterou používáte pro skupiny kontejnerů, může obsahovat pouze skupiny kontejnerů. Před nasazením skupiny kontejnerů do podsítě musíte podsíť před jejím zřízením explicitně delegovat. Po delegování je možné podsíť použít pouze pro skupiny kontejnerů. Pokud se do delegované podsítě pokusíte nasadit jiné prostředky než skupiny kontejnerů, operace selže.

Odchozí připojení

Brána NAT by měla být nakonfigurovaná s veřejnou IP adresou, aby odchozí toky skupin kontejnerů procházely přes tuto veřejnou IP adresu. Zákazníci tak také můžou používat IP adresy označené službou nebo mít příslušná pravidla NSG.

Pomocí následujícího příkazu [az network nat gateway create][az-network-nat-gateway-create] vytvořte bránu NAT, která používá veřejnou IP adresu, kterou jste vytvořili v předchozím kroku.

az network nat gateway create \
  --resource-group $resourceGroup \
  --name myNATgateway \
  --public-ip-addresses myPublicIP \
  --idle-timeout 10

Profil sítě

Důležité

Profily sítě byly vyřazeny z 2021-07-01 verze rozhraní API. Pokud používáte tuto nebo novější verzi, ignorujte všechny kroky a akce související se síťovými profily.

Profil sítě je šablona konfigurace sítě pro prostředky Azure. Určuje určité vlastnosti sítě pro daný prostředek, například podsíť, do které se má nasadit. Když poprvé použijete příkaz az container create k nasazení skupiny kontejnerů do podsítě (a tedy virtuální sítě), Azure pro vás vytvoří profil sítě. Tento profil sítě pak můžete použít pro budoucí nasazení do této podsítě.

Pokud chcete k nasazení skupiny kontejnerů do podsítě použít šablonu Resource Manageru, soubor YAML nebo programovou metodu, musíte zadat úplné ID prostředku Resource Manageru profilu sítě. Dříve vytvořený profil můžete použít pomocí příkazu az container create nebo vytvořit profil pomocí šablony Resource Manageru (viz příklad šablony a odkaz). Pokud chcete získat ID dříve vytvořeného profilu, použijte příkaz az network profile list .

Následující diagram znázorňuje několik skupin kontejnerů nasazených do podsítě delegovaného do služby Azure Container Instances. Jakmile do podsítě nasadíte jednu skupinu kontejnerů, můžete do ní nasadit více skupin kontejnerů zadáním stejného profilu sítě.

Další kroky

• Příklady nasazení pomocí Azure CLI najdete v tématu Nasazení instancí kontejnerů do virtuální sítě Azure.
• Pokud chcete nasadit novou virtuální síť, podsíť, profil sítě a skupinu kontejnerů pomocí šablony Resource Manageru, přečtěte si téma Vytvoření skupiny kontejnerů Azure s virtuální sítí.
• Při vytváření instance kontejneru pomocí webu Azure Portal můžete také zadat nastavení nové nebo existující virtuální sítě na kartě Sítě .