Sesiones de contenedor personalizadas de Azure Container Apps (versión preliminar)

Además del intérprete de código integrado que proporcionan las sesiones dinámicas de Azure Container Apps, también puede usar contenedores personalizados para definir sus propios espacios aislados de sesión.

Nota:

Las sesiones dinámicas de Azure Container Apps se encuentran actualmente en versión preliminar. Vea limitaciones de la versión preliminar para obtener más información.

Usos para sesiones de contenedor personalizadas

Los contenedores personalizados permiten crear soluciones adaptadas a sus necesidades. Permiten ejecutar código o aplicaciones en entornos que son rápidos y efímeros y ofrecen espacios aislados seguros con Hyper-V. Además, se pueden configurar con aislamiento de red opcional. Estos son algunos ejemplos:

• Intérpretes de código: si necesita ejecutar código que no es de confianza en espacios aislados seguros por un lenguaje no compatible con el intérprete integrado o necesita un control total sobre el entorno del intérprete de código.

• Ejecución aislada: cuando necesite ejecutar aplicaciones en escenarios hostiles y multiinquilino en los que cada inquilino o usuario tenga su propio entorno de espacio aislado. Estos entornos están aislados entre sí y de la aplicación host. Algunos ejemplos incluyen aplicaciones que ejecutan código proporcionado por el usuario, código que concede al usuario final acceso a un shell basado en la nube, agentes de IA y entornos de desarrollo.

Uso de sesiones de contenedor personalizadas

Para usar sesiones de contenedor personalizadas, primero debe crear un grupo de sesiones con una imagen de contenedor personalizada. Azure Container Apps inicia automáticamente contenedores en sus propios espacios aislados de Hyper-V mediante la imagen proporcionada. Una vez que se inicia el contenedor, está disponible para el grupo de sesiones.

Cuando la aplicación solicita una sesión, se asigna instantáneamente una instancia del grupo. La sesión permanece activa hasta que entra en un estado inactivo, que luego se detiene y destruye automáticamente.

Creación de un grupo de sesiones de contenedor personalizado

Para crear un grupo de sesiones de contenedor personalizado, debe proporcionar una imagen de contenedor y una configuración de grupo.

Se realiza la invocación o la comunicación con cada sesión mediante solicitudes HTTP. El contenedor personalizado debe exponer un servidor HTTP en un puerto que especifique para responder a estas solicitudes.

CLI de Azure

Para crear un grupo de sesiones de contenedor personalizado mediante la CLI de Azure, asegúrese de tener las versiones más recientes de la CLI de Azure y la extensión Azure Container Apps con los siguientes comandos:

az upgrade
az extension add --name containerapp --upgrade --allow-preview true -y

Los grupos de sesiones de contenedor personalizados requieren un perfil de carga de trabajo habilitado para el entorno de Azure Container Apps. Si no tiene un entorno, use el comando az containerapp env create -n <ENVIRONMENT_NAME> -g <RESOURCE_GROUP> --location <LOCATION> --enable-workload-profiles para crear uno.

Utilice el comando az containerapp sessionpool create para crear un grupo de sesiones de contenedor personalizado.

En el ejemplo siguiente se crea un grupo de sesiones denominado my-session-pool con una imagen de contenedor personalizada myregistry.azurecr.io/my-container-image:1.0.

Antes de enviar la solicitud, reemplace los marcadores de posición entre los corchetes <> por los valores adecuados para el grupo de sesiones y el identificador de sesión.

az containerapp sessionpool create \
    --name my-session-pool \
    --resource-group <RESOURCE_GROUP> \
    --environment <ENVIRONMENT> \
    --registry-server myregistry.azurecr.io \
    --registry-username <USER_NAME> \
    --registry-password <PASSWORD> \
    --container-type CustomContainer \
    --image myregistry.azurecr.io/my-container-image:1.0 \ 
    --cpu 0.25 --memory 0.5Gi \
    --target-port 80 \
    --cooldown-period 300 \
    --network-status EgressDisabled \
    --max-sessions 10 \
    --ready-sessions 5 \
    --env-vars "key1=value1" "key2=value2"

Este comando crea un grupo de sesiones con la siguiente configuración:

Parámetro	Valor	Descripción
--name	my-session-pool	Nombre del grupo de sesiones.
--resource-group	my-resource-group	Grupo de recursos que contiene el grupo de sesiones.
--environment	my-environment	Nombre de id. de recurso del entorno de aplicación de contenedor.
--container-type	CustomContainer	Tipo de contenedor del grupo de sesiones. Debe ser CustomContainer para sesiones de contenedor personalizadas.
--image	myregistry.azurecr.io/my-container-image:1.0	Imagen de contenedor que se va a usar para el grupo de sesiones.
--registry-server	myregistry.azurecr.io	Nombre de host del servidor del registro de contenedor.
--registry-username	my-username	Nombre de usuario que va a iniciar sesión en el registro de contenedor.
--registry-password	my-password	Contraseña para iniciar sesión en el registro de contenedor.
--cpu	0.25	CPU necesaria en núcleos.
--memory	0.5Gi	Memoria necesaria.
--target-port	80	Puerto de sesión usado para el tráfico de entrada.
--cooldown-period	300	Número de segundos que una sesión puede estar inactiva antes de que finalice la sesión. El período de inactividad se restablece cada vez que se llama a la API de la sesión. El valor debe estar entre 300 y 3600.
--network-status	Designa si se permite el tráfico de red saliente desde la sesión. Los valores válidos son EgressDisabled (predeterminado) y EgressEnabled.
--max-sessions	10	Número máximo de sesiones que pueden asignarse al mismo tiempo.
--ready-sessions	5	Número de sesiones de destino que están listas en el grupo de sesiones todo el tiempo. Aumente este número si las sesiones se asignan más rápido de lo que el grupo se reabastece.
--env-vars	"key1=value1" "key2=value2"	Variables de entorno para establecer en el contenedor.

Para actualizar el grupo de sesiones, use el comando az containerapp sessionpool update.

Azure Resource Manager

Para crear un grupo de sesiones de contenedor personalizado mediante Azure Resource Manager, cree un recurso de grupo de sesiones con el tipo de recurso Microsoft.ContainerApps/sessionPools. En el ejemplo siguiente se muestra un fragmento de código de plantilla de ARM que crea un grupo de sesiones de contenedor personalizado.

Antes de enviar la solicitud, reemplace los marcadores de posición entre los corchetes <> por los valores adecuados para el grupo de sesiones y el identificador de sesión.

{
  "type": "Microsoft.App/sessionPools",
  "apiVersion": "2024-02-02-preview",
  "name": "my-session-pool",
  "location": "westus2",
  "properties": {
    "environmentId": "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.ContainerApps/environments/<ENVIRONMENT_NAME>",
    "poolManagementType": "Dynamic",
    "containerType": "CustomContainer",
    "scaleConfiguration": {
      "maxConcurrentSessions": 10,
      "readySessionInstances": 5
    },
    "dynamicPoolConfiguration": {
      "executionType": "Timed",
      "cooldownPeriodInSeconds": 600
    },
    "customContainerTemplate": {
      "containers": [
        {
          "image": "myregistry.azurecr.io/my-container-image:1.0",
          "name": "mycontainer",
          "resources": {
            "cpu": 0.25,
            "memory": "0.5Gi"
          },
          "command": [
            "/bin/sh"
          ],
          "args": [
            "-c",
            "while true; do echo hello; sleep 10;done"
          ],
          "env": [
            {
              "name": "key1",
              "value": "value1"
            },
            {
              "name": "key2",
              "value": "value2"
            }
          ]
        }
      ],
      "ingress": {
        "targetPort": 80
      }
    },
    "sessionNetworkConfiguration": {
      "status": "EgressEnabled"
    }
  }
}

Esta plantilla crea un grupo de sesiones con la siguiente configuración:

Parámetro	Valor	Descripción
name	my-session-pool	Nombre del grupo de sesiones.
location	westus2	Ubicación del grupo de sesiones.
environmentId	/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.ContainerApps/environments/<ENVIRONMENT_NAME>	Id. de recurso del entorno de aplicación de contenedor.
poolManagementType	Dynamic	Debe ser Dynamic para sesiones de contenedor personalizadas.
containerType	CustomContainer	Tipo de contenedor del grupo de sesiones. Debe ser CustomContainer para sesiones de contenedor personalizadas.
scaleConfiguration.maxConcurrentSessions	10	Número máximo de sesiones que pueden asignarse al mismo tiempo.
scaleConfiguration.readySessionInstances	5	Número de sesiones de destino que están listas en el grupo de sesiones todo el tiempo. Aumente este número si las sesiones se asignan más rápido de lo que el grupo se reabastece.
dynamicPoolConfiguration.executionType	Timed	Tipo de ejecución para el grupo de sesiones. Debe ser Timed para sesiones de contenedor personalizadas.
dynamicPoolConfiguration.cooldownPeriodInSeconds	600	Número de segundos que una sesión puede estar inactiva antes de que finalice la sesión. El período de inactividad se restablece cada vez que se llama a la API de la sesión. El valor debe estar entre 300 y 3600.
customContainerTemplate.containers[0].image	myregistry.azurecr.io/my-container-image:1.0	Imagen de contenedor que se va a usar para el grupo de sesiones.
customContainerTemplate.containers[0].name	mycontainer	nombre del contenedor.
customContainerTemplate.containers[0].resources.cpu	0.25	CPU necesaria en núcleos.
customContainerTemplate.containers[0].resources.memory	0.5Gi	Memoria necesaria.
customContainerTemplate.containers[0].env	Matriz de pares nombre-valor	Variables de entorno para establecer en el contenedor.
customContainerTemplate.containers[0].command	["/bin/sh"]	Comando que se va a ejecutar en el contenedor.
customContainerTemplate.containers[0].args	["-c", "while true; do echo hello; sleep 10;done"]	Argumentos que se pasan al comando.
customContainerTemplate.containers[0].ingress.targetPort	80	Puerto de sesión usado para el tráfico de entrada.
sessionNetworkConfiguration.status	EgressDisabled	Designa si se permite el tráfico de red saliente desde la sesión. Los valores válidos son EgressDisabled (predeterminado) y EgressEnabled.

Importante

Si la sesión se usa para ejecutar código que no es de confianza, no incluya información ni datos a los que no quiera que acceda el código que no es de confianza. Supongamos que el código es malintencionado y tiene acceso completo al contenedor, incluidas sus variables de entorno, secretos y archivos.

Trabajar con sesiones

La aplicación interactúa con una sesión mediante la API de administración del grupo de sesiones.

Un punto de conexión de administración de grupos para sesiones de contenedor personalizadas sigue este formato: https://<SESSION_POOL>.<ENVIRONMENT_ID>.<REGION>.azurecontainerapps.io.

Para recuperar el punto de conexión de administración de un grupo de sesiones, use el comando az containerapp sessionpool show:

az containerapp sessionpool show \
    --name <SESSION_POOL_NAME> \
    --resource-group <RESOURCE_GROUP> \
    --query "properties.poolManagementEndpoint" \
    --output tsv

Todas las solicitudes al punto de conexión de administración del grupo deben incluir un encabezado Authorization con un token de portador. Para obtener información sobre cómo autenticar con la API de administración de grupo, lea Autenticación.

Cada solicitud de API también debe incluir el parámetro de cadena de consulta identifier con el identificador de sesión. Este identificador de sesión único permite a la aplicación interactuar con sesiones específicas. Para obtener más información sobre los identificadores de sesión, consulte Identificadores de sesión.

Importante

El identificador de sesión es información confidencial que requiere un proceso seguro al crear y administrar su valor. Para proteger este valor, la aplicación debe asegurarse de que cada usuario o inquilino solo tiene acceso a sus propias sesiones. Si no se protege el acceso a las sesiones, se puede producir un acceso incorrecto o no autorizado a los datos almacenados en las sesiones de los usuarios. Para obtener más información, consulte Identificadores de sesión

Reenvío de solicitudes al contenedor de la sesión:

Todo lo que se encuentra en la ruta de acceso que sigue al punto de conexión de administración del grupo base se reenvía al contenedor de la sesión.

Por ejemplo, si realiza una llamada a <POOL_MANAGEMENT_ENDPOINT>/api/uploadfile, la solicitud se enruta al contenedor de la sesión en 0.0.0.0:<TARGET_PORT>/api/uploadfile.

Interacción continua con la sesión:

Puede seguir realizando solicitudes a la misma sesión. Si no hay ninguna solicitud a la sesión durante más tiempo que el período de recuperación, la sesión se elimina automáticamente.

Solicitud de ejemplo

En el ejemplo siguiente se muestra una solicitud a una sesión de contenedor personalizada por un identificador de usuario.

Antes de enviar la solicitud, reemplace los marcadores de posición entre los corchetes <> por valores específicos de la solicitud.

POST https://<SESSION_POOL_NAME>.<ENVIRONMENT_ID>.<REGION>.azurecontainerapps.io/<API_PATH_EXPOSED_BY_CONTAINER>?identifier=<USER_ID>
Authorization: Bearer <TOKEN>
{
  "command": "echo 'Hello, world!'"
}

Esta solicitud se reenvía a la sesión de contenedor personalizada con el identificador del id. del usuario. Si la sesión aún no se está ejecutando, Azure Container Apps asigna una sesión del grupo antes de reenviar la solicitud.

En el ejemplo, el contenedor de la sesión recibe la solicitud en http://0.0.0.0:<INGRESS_PORT>/<API_PATH_EXPOSED_BY_CONTAINER>.

Pasos siguientes

Información general sobre las sesiones dinámicas de Azure Container Apps