Scénáře a zdroje informací týkající se virtuální sítě

Článek
05/27/2023

Azure Virtual Network poskytuje zabezpečené privátní sítě pro vaše prostředky Azure a místní prostředky. Nasazením skupin kontejnerů do virtuální sítě Azure můžou kontejnery bezpečně komunikovat s dalšími prostředky ve virtuální síti.

Tento článek obsahuje základní informace o scénářích, omezeních a prostředcích virtuální sítě. Příklady nasazení pomocí Azure CLI najdete v tématu Nasazení instancí kontejneru do virtuální sítě Azure.

Důležité

Nasazení skupiny kontejnerů do virtuální sítě je obecně dostupné pro kontejnery Linuxu a Windows ve většině oblastí, kde je k dispozici Azure Container Instances. Podrobnosti najdete v tématu Oblasti a dostupnost prostředků.

Scénáře

Skupiny kontejnerů nasazené do virtuální sítě Azure umožňují následující scénáře:

Přímá komunikace mezi skupinami kontejnerů ve stejné podsíti
Odeslání výstupu úloh založených na úlohách z instancí kontejneru do databáze ve virtuální síti
Načtení obsahu pro instance kontejneru z koncového bodu služby ve virtuální síti
Povolení kontejnerové komunikace s místními prostředky prostřednictvím brány VPN nebo ExpressRoute
Integrace s Azure Firewall za účelem identifikace odchozího provozu pocházejícího z kontejneru
Překlad názvů pro komunikaci s prostředky Azure ve virtuální síti, jako jsou virtuální počítače, přes interní Azure DNS
Použití pravidel NSG k řízení přístupu kontejneru k podsítím nebo jiným síťovým prostředkům

Nepodporované scénáře sítě

Azure Load Balancer – Umístění Azure Load Balancer před instance kontejneru ve skupině kontejnerů v síti se nepodporuje.
Globální peering virtuálních sítí – Globální peering (propojení virtuálních sítí mezi oblastmi Azure) se nepodporuje.
Popisek veřejné IP adresy nebo DNS – Skupiny kontejnerů nasazené do virtuální sítě v současné době nepodporují zveřejnění kontejnerů přímo na internet s veřejnou IP adresou nebo plně kvalifikovaným názvem domény.
Spravovaná identita s Virtual Network v Azure Government oblastech – Spravovaná identita s možnostmi virtuální sítě se v Azure Government oblastech nepodporuje.

Další omezení

Pokud chcete nasadit skupiny kontejnerů do podsítě, nemůže podsíť obsahovat jiné typy prostředků. Před nasazením skupin kontejnerů do existující podsítě z ní odeberte všechny existující prostředky nebo vytvořte novou podsíť.
Pokud chcete nasadit skupiny kontejnerů do podsítě, musí být podsíť a skupina kontejnerů ve stejném předplatném Azure.
Ve skupině kontejnerů nasazené do virtuální sítě nemůžete povolit sondu aktivity ani sondu připravenosti .
Kvůli dalším síťovým prostředkům jsou nasazení do virtuální sítě obvykle pomalejší než nasazení standardní instance kontejneru.
Odchozí připojení k portům 25 a 19390 se v tuto chvíli nepodporují. Port 19390 musí být otevřený v bráně firewall pro připojení k ACI z Azure Portal při nasazení skupin kontejnerů ve virtuálních sítích.
U příchozích připojení by brána firewall měla také povolit všechny IP adresy v rámci virtuální sítě.
Pokud připojujete skupinu kontejnerů k účtu služby Azure Storage, musíte do daného prostředku přidat koncový bod služby .
Adresy IPv6 se v tuto chvíli nepodporují.
V závislosti na typu předplatného můžou být některé porty blokované.

Požadované síťové prostředky

K nasazení skupin kontejnerů do virtuální sítě se vyžadují tři prostředky Azure Virtual Network: samotná virtuální síť, delegovaná podsíť ve virtuální síti a profil sítě.

Virtuální síť

Virtuální síť definuje adresní prostor, ve kterém vytvoříte jednu nebo více podsítí. Potom nasadíte prostředky Azure (například skupiny kontejnerů) do podsítí ve vaší virtuální síti.

Podsíť (delegovaná)

Podsítě segmentují virtuální síť do samostatných adresních prostorů použitelných prostředky Azure, které do nich umístíte. Ve virtuální síti můžete vytvořit jednu nebo více podsítí.

Podsíť, kterou používáte pro skupiny kontejnerů, může obsahovat pouze skupiny kontejnerů. Když poprvé nasadíte skupinu kontejnerů do podsítě, Azure tuto podsíť deleguje na Azure Container Instances. Po delegování je možné podsíť použít pouze pro skupiny kontejnerů. Pokud se do delegované podsítě pokusíte nasadit jiné prostředky než skupiny kontejnerů, operace selže.

Profil sítě

Důležité

Profily sítě byly vyřazeny z 2021-07-01 verze rozhraní API. Pokud používáte tuto nebo novější verzi, ignorujte všechny kroky a akce související s profily sítě.

Profil sítě je šablona konfigurace sítě pro prostředky Azure. Určuje určité vlastnosti sítě pro daný prostředek, například podsíť, do které se má nasadit. Když poprvé použijete příkaz az container create k nasazení skupiny kontejnerů do podsítě (a tím i virtuální sítě), Azure za vás vytvoří profil sítě. Tento profil sítě pak můžete použít pro budoucí nasazení do této podsítě.

Pokud chcete k nasazení skupiny kontejnerů do podsítě použít šablonu Resource Manager, soubor YAML nebo programovou metodu, musíte zadat úplné ID prostředku Resource Manager profilu sítě. Můžete použít profil vytvořený dříve pomocí příkazu az container create nebo profil vytvořit pomocí šablony Resource Manager (viz příklad a reference k šabloně). Pokud chcete získat ID dříve vytvořeného profilu, použijte příkaz az network profile list .

V následujícím diagramu je do podsítě delegovaného na Azure Container Instances nasazeno několik skupin kontejnerů. Jakmile do podsítě nasadíte jednu skupinu kontejnerů, můžete do ní nasadit další skupiny kontejnerů zadáním stejného profilu sítě.

Skupiny kontejnerů v rámci virtuální sítě

Další kroky

Příklady nasazení pomocí Azure CLI najdete v tématu Nasazení instancí kontejneru do virtuální sítě Azure.
Pokud chcete nasadit novou virtuální síť, podsíť, profil sítě a skupinu kontejnerů pomocí šablony Resource Manager, přečtěte si téma Vytvoření skupiny kontejnerů Azure s virtuální sítí.
Při použití Azure Portal k vytvoření instance kontejneru můžete také zadat nastavení pro novou nebo exsting virtuální síť na kartě Sítě.