Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Private Endpoint ermöglicht es Clients in Ihrem privaten Netzwerk, über Azure Private Link sicher mit Ihrer Azure Container Apps-Umgebung zu verbinden. Bei einer Private Link-Verbindung wird der Datenverkehr also vom öffentlichen Internet isoliert. Private Endpunkte verwenden eine private IP-Adresse in Ihrem Azure virtuellen Netzwerkadressraum und werden in der Regel mit einer privaten DNS-Zone konfiguriert.
Private Endpunkte werden sowohl für Verbrauchspläne als auch für dedizierte Pläne in Workload-Profilumgebungen unterstützt.
Abrechnung
Private Endpunkte verursachen zusätzliche Gebühren. Wenn Sie einen privaten Endpunkt in Azure Container Apps aktivieren, wird Folgendes in Rechnung gestellt:
- Azure Private Link – Abrechnung für die ressource Azure Private Link selbst.
- Azure Container Apps – Abrechnung für die dedizierte private Endpunktinfrastruktur für Azure Container Apps, die als separater Posten "Dedicated Plan Management" erscheint und sowohl für Verbrauchspläne als auch für dedizierte Pläne gilt.
Anleitungen
- Weitere Informationen zum Konfigurieren privater Endpunkte in Azure Container Apps finden Sie im Lernprogramm Use a private endpoint with an Azure Container Apps environment tutorial.
- Private Link-Konnektivität mit Azure Front Door wird für Azure Container Apps unterstützt. Weitere Informationen finden Sie unter Create a private link with Azure Front Door.
Überlegungen
- Um einen privaten Endpunkt zu verwenden, müssen Sie den öffentlichen Netzwerkzugriff deaktivieren. Standardmäßig ist der Zugriff über öffentliche Netzwerke aktiviert, was bedeutet, dass private Endpunkte deaktiviert sind.
- Um einen privaten Endpunkt mit einer benutzerdefinierten Domäne und einer Apex-Domäne als Datensatztyp „Hostname“ zu verwenden, müssen Sie eine private DNS-Zone mit demselben Namen wie Ihr öffentliches DNS konfigurieren. Konfigurieren Sie im Recordset die private IP-Adresse Ihres privaten Endpunkts anstelle der IP-Adresse der Container App-Umgebung. Wenn Sie Ihre benutzerdefinierte Domäne mit CNAME konfigurieren, bleibt das Setup unverändert. Weitere Informationen finden Sie unter Einrichten einer benutzerdefinierten Domäne mit einem vorhandenen Zertifikat.
- Das VNet Ihres privaten Endpunkts kann von dem mit Ihrer Container-App integrierten VNet getrennt werden.
- Sie können einen privaten Endpunkt sowohl zu neuen als auch vorhandenen Workloadprofilumgebungen hinzufügen.
Um eine Verbindung mit Ihren Container-Apps über einen privaten Endpunkt herzustellen, müssen Sie eine private DNS-Zone konfigurieren.
| Dienstleistung | Unterressource | Private DNS-Zonenname |
|---|---|---|
| Azure Container Apps (Microsoft.App/ManagedEnvironments) | verwaltete Umgebung | privatelink.{regionName}.azurecontainerapps.io |
Sie können auch private Endpunkte mit einer privaten Verbindung mit Azure Front Door anstelle des Anwendungsgateways
Domain Name System (DNS)
Das Konfigurieren von DNS im virtuellen Netzwerk Ihrer Azure Container Apps Umgebung ist aus den folgenden Gründen wichtig:
Mit DNS können Ihre Container-Apps Domänennamen in IP-Adressen auflösen. Auf diese Weise können sie Dienste innerhalb und außerhalb des virtuellen Netzwerks ermitteln und mit ihnen kommunizieren. Dazu gehören Dienste wie Azure Application Gateway, Netzwerksicherheitsgruppen und private Endpunkte.
Benutzerdefinierte DNS-Einstellungen verbessern die Sicherheit, indem Sie die VON Ihren Container-Apps vorgenommenen DNS-Abfragen steuern und überwachen können. Dadurch können potenzielle Sicherheitsbedrohungen identifiziert und abgemildert werden, indem sichergestellt wird, dass Ihre Container-Apps nur mit vertrauenswürdigen Domänen kommunizieren.
Benutzerdefinierter DNS
Wenn Ihr VNet einen benutzerdefinierten DNS-Server anstelle des standardmäßigen Azure bereitgestellten DNS-Servers verwendet, konfigurieren Sie Ihren DNS-Server, um nicht aufgelöste DNS-Abfragen an 168.63.129.16 weiterzuleiten.
Azure rekursive Resolver verwendet diese IP-Adresse, um Anforderungen aufzulösen.
Wenn Sie Ihre Netzwerksicherheitsgruppe (Network Security Group, NSG) oder Firewall konfigurieren, unterscheiden sich die DNS-Anforderungen zwischen Workloadprofiltypen:
Verbrauchsplan: Sie müssen den Datenverkehr zum
AzurePlatformDNSDienst-Tag zulassen (einschließlich168.63.129.16). Das Blockieren dieses Diensttags verhindert, dass Ihre Container-Apps-Umgebung ordnungsgemäß funktioniert, auch wenn Sie einen benutzerdefinierten DNS-Server konfiguriert haben.Dedizierte Workload-Profile: Sie können das
AzurePlatformDNS-Diensttag blockieren, wenn gewünscht, da dedizierte Workload-Profile für die grundlegende Funktionalität keinen Zugriff auf die Azure-Plattform-DNS benötigen.
Von Bedeutung
Für Organisationen mit strengen DNS-Sicherheitsanforderungen (z. B. Banking und Gesundheitswesen) bieten dedizierte Workloadprofile die Möglichkeit, den DNS-Datenverkehrsfluss über Ihre benutzerdefinierten DNS-Server vollständig zu steuern, ohne dass Azure Plattform-DNS-Zugriff erforderlich ist.
Von Bedeutung
Benutzer privater DNS-Zonen dürfen die Auflösung von *.hcp.<LOCATION>.azmk8s.io, mcr.microsoft.com und anderen DNS-Anforderungen, die für AKS freigegeben und auf Azure Global erforderliche FQDN/Anwendungsregeln aufgeführt sind, NICHT blockieren oder außer Kraft setzen. Wenn Sie die Auflösung erforderlicher Einträge nicht gewährleisten, werden der Betrieb der Container-Apps-Umgebung und das Netzwerk unterbrochen.
VNet-Umfangseingang
Wenn Sie vorhaben, "VNet-scope ingress" in einer internen Umgebung zu verwenden, konfigurieren Sie Ihre Domänen in einer der folgenden Weisen:
Nicht benutzerdefinierte Domänen: Wenn Sie nicht planen, eine benutzerdefinierte Domäne zu verwenden, erstellen Sie eine private DNS-Zone, die die Standarddomäne der Container Apps-Umgebung in die statische IP-Adresse der Container Apps-Umgebung auflöst. Sie können Azure Private DNS oder Ihren eigenen DNS-Server verwenden. Wenn Sie Azure Private DNS verwenden, erstellen Sie eine private DNS Zone, die als Standarddomäne der Container-App-Umgebung (
<UNIQUE_IDENTIFIER>.<REGION_NAME>.azurecontainerapps.io) bezeichnet wird, mit einemA-Eintrag. DerA-Eintrag enthält den Namen*<DNS Suffix>und die statische IP-Adresse der Container Apps-Umgebung. Weitere Informationen finden Sie unter Create and configure an Azure Private DNS zone.Benutzerdefinierte Domänen: Wenn Sie benutzerdefinierte Domänen verwenden und eine externe Container Apps-Umgebung verwenden möchten, verwenden Sie eine öffentlich auflösbare Domäne, um der Container-App eine benutzerdefinierte Domäne und ein Zertifikat hinzuzufügen. Wenn Sie eine interne Container-Apps-Umgebung verwenden, gibt es keine Überprüfung für die DNS-Bindung, da der Cluster nur innerhalb des virtuellen Netzwerks verfügbar ist. Erstellen Sie außerdem eine private DNS-Zone, die die apex-Domäne in die statische IP-Adresse der Container Apps-Umgebung auflöst. Sie können Azure Private DNS oder Ihren eigenen DNS-Server verwenden. Wenn Sie Azure Private DNS verwenden, erstellen Sie eine Private DNS Zone namens apex domain, mit einem
A-Eintrag, der auf die statische IP-Adresse der Container-Apps-Umgebung verweist.
Die statische IP-Adresse der Container-Apps-Umgebung ist im Azure Portal in Custom DNS suffix der Container-App-Seite oder mithilfe des Befehls Azure CLI az containerapp env list verfügbar.