Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Un point de terminaison privé Azure permet aux clients situés dans votre réseau privé de se connecter en toute sécurité à votre environnement Azure Container Apps via Azure Private Link. Une connexion par liaison privée élimine toute exposition sur l’Internet public. Les points de terminaison privés utilisent une adresse IP privée dans votre espace d’adressage de réseau virtuel Azure et sont généralement configurés avec une zone DNS privée.
Les points de terminaison privés sont pris en charge pour les plans Consommation et Dédié dans les environnements de profil de charge de travail.
Facturation
Les points de terminaison privés entraînent des frais supplémentaires. Lorsque vous activez un point de terminaison privé dans Azure Container Apps, vous êtes facturé pour les éléments suivants :
- Azure Private Link - Facturation de la ressource Azure Private Link elle-même.
- Azure Container Apps - Facturation pour l’infrastructure de point de terminaison privé dédiée pour Azure Container Apps, qui apparaît comme une charge distincte de « Gestion des plans dédiés » et s’applique à la fois aux plans Consommation et Dédié.
Tutoriels
- Pour en savoir plus sur la configuration de points de terminaison privés dans Azure Container Apps, consultez le tutoriel Utiliser un point de terminaison privé avec un environnement Azure Container Apps.
- La connectivité par liaison privée avec Azure Front Door est prise en charge pour Azure Container Apps. Pour plus d’informations, consultez Créer une liaison privée avec Azure Front Door.
Considérations
- Pour utiliser un point de terminaison privé, vous devez désactiver l’accès au réseau public. Par défaut, l’accès au réseau public est activé, ce qui signifie que les points de terminaison privés sont désactivés.
- Pour utiliser un point de terminaison privé avec un domaine personnalisé et un domaine Apex comme Type d’enregistrement du nom d’hôte, vous devez configurer une zone DNS privée avec le même nom que votre DNS public. Dans le jeu d’enregistrements, configurez l’adresse IP privée de votre point de terminaison privé au lieu de l’adresse IP de l’environnement d’applications conteneur. Lorsque vous configurez votre domaine personnalisé avec CNAME, la configuration reste inchangée. Si vous souhaitez découvrir plus d’informations, consultez Configurer un domaine personnalisé avec un certificat existant.
- Le réseau virtuel de votre point de terminaison privé peut être distinct du réseau virtuel intégré à votre application conteneur.
- Vous pouvez ajouter un point de terminaison privé aux environnements de profil de charge de travail nouveaux et existants.
Pour vous connecter à vos applications conteneur via un point de terminaison privé, vous devez configurer une zone DNS privée.
| Service | sous-ressource | Nom de la zone DNS privée |
|---|---|---|
| Azure Container Apps (Microsoft.App/ManagedEnvironments) | environnement géré | privatelink.{regionName}.azurecontainerapps.io |
Vous pouvez également utiliser des points de terminaison privés avec une connexion privée à Azure Front Door à la place d’Application Gateway.
Système de noms de domaine (DNS)
La configuration du DNS dans le réseau virtuel de votre environnement Azure Container Apps est importante pour les raisons suivantes :
DNS permet à vos applications conteneur de résoudre les noms de domaine en adresses IP. Cela leur permet de découvrir et de communiquer avec les services au sein et en dehors du réseau virtuel. Cela inclut des services tels qu’Azure Application Gateway, des groupes de sécurité réseau et des points de terminaison privés.
Les paramètres DNS personnalisés améliorent la sécurité en vous permettant de contrôler et de surveiller les requêtes DNS effectuées par vos applications conteneur. Cela permet d’identifier et d’atténuer les menaces de sécurité potentielles, en garantissant que vos applications conteneur communiquent uniquement avec des domaines approuvés.
Système DNS personnalisé
Si votre réseau virtuel utilise un serveur DNS personnalisé plutôt que le serveur DNS fourni par Azure par défaut, configurez votre serveur DNS de façon à transférer les requêtes DNS non résolues vers 168.63.129.16.
Les résolveurs récursifs Azure utilisent cette adresse IP pour résoudre les requêtes. Lorsque vous configurez votre groupe de sécurité réseau (NSG) ou votre pare-feu, ne bloquez pas l’adresse 168.63.129.16 ; sinon, votre environnement Container Apps ne fonctionnera pas correctement.
Entrée de l’étendue du réseau virtuel
Si vous envisagez d’utiliser des entrées d’étendue de réseau virtuel dans un environnement interne, configurez vos domaines de l’une des façons suivantes :
Domaines non personnalisés : si vous ne prévoyez pas d’utiliser de domaine personnalisé, créez une zone DNS privée qui résout le domaine par défaut de l’environnement Container Apps sur l’adresse IP statique de l’environnement Container Apps. Vous pouvez utiliser un serveur DNS privé Azure ou votre propre serveur DNS. Si vous utilisez un serveur DNS privé Azure, créez une zone DNS privée nommée comme domaine par défaut de l’environnement Container Apps (
<UNIQUE_IDENTIFIER>.<REGION_NAME>.azurecontainerapps.io), avec un enregistrementA. L’enregistrementAcontenant le nom*<DNS Suffix>et l’adresse IP statique de l’environnement Container Apps. Pour plus d’informations, consultez Créer et configurer une zone DNS privée Azure.Domaines personnalisés : si vous envisagez d’utiliser des domaines personnalisés et que vous utilisez un environnement Container Apps externe, utilisez un domaine pouvant être résolu publiquement pour ajouter un domaine personnalisé et un certificat à l’application conteneur. Si vous utilisez un environnement Container Apps interne, il n’existe aucune validation pour la liaison DNS, car le cluster n’est disponible qu’à partir du réseau virtuel. En outre, créez une zone DNS privée qui résout le domaine apex à l’adresse IP statique de l’environnement Container Apps. Vous pouvez utiliser un serveur DNS privé Azure ou votre propre serveur DNS. Si vous utilisez un serveur DNS privé Azure, créez une zone DNS privée nommée « domaine apex » avec un enregistrement
Aqui pointe vers l’adresse IP statique de l’environnement Container Apps.
L’adresse IP statique de l’environnement Container Apps est accessible dans le portail Azure dans Suffixe DNS personnalisé, dans la page de l’application conteneur, ou à l’aide de la commande Azure CLI az containerapp env list.