Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Container Apps fonctionne dans le contexte d’un environment qui exécute son propre réseau virtuel. Lorsque vous créez un environnement, quelques considérations clés informent les fonctionnalités de mise en réseau de vos applications conteneur : type d’environnement, type de réseau virtuel et niveau d’accessibilité.
Sélection de l’environnement
Container Apps a deux types d’environnement. Ils partagent la plupart des mêmes caractéristiques de mise en réseau, avec quelques différences clés.
| Type d’environnement | Types de plans pris en charge | Descriptif |
|---|---|---|
| Profils de charge de travail (par défaut) | Consommation, Dédié | Prend en charge les itinéraires définis par l’utilisateur (UDR), la sortie via Azure NAT Gateway et la création de points de terminaison privés dans l’environnement d’application conteneur. La taille minimale requise du sous-réseau est /27. |
| Consommation uniquement (héritée) | Consommation | Ne prend pas en charge les UDR, la sortie via Azure NAT Gateway, le peering via une passerelle distante ou d'autres sorties personnalisées. La taille minimale requise du sous-réseau est /23. |
Pour plus d’informations, consultez Types d’environnement.
Type de réseau virtuel
Par défaut, Container Apps est intégré au réseau Azure, qui est accessible publiquement sur Internet et ne peut communiquer qu’avec des points de terminaison accessibles à Internet. Vous avez également la possibilité de fournir un réseau virtuel existant lorsque vous créez votre environnement à la place. Après avoir créé un environnement avec le réseau par défaut Azure ou un réseau virtuel existant, vous ne pouvez pas modifier le type de réseau.
Utilisez un réseau virtuel existant lorsque vous avez besoin de Azure fonctionnalités de mise en réseau telles que :
- Groupes de sécurité réseau.
- Intégration à Azure Application Gateway.
- intégration Pare-feu Azure.
- Contrôler le trafic sortant à partir de votre application conteneur.
- Accès aux ressources derrière des points de terminaison privés dans votre réseau virtuel.
Si vous utilisez un réseau virtuel existant, vous devez fournir un sous-réseau dédié exclusivement à l’environnement Container Apps que vous déployez. Ce sous-réseau n’est pas accessible à d’autres services. Pour plus d’informations, consultez Configuration du réseau virtuel.
Niveau d’accessibilité
Vous pouvez configurer si votre application conteneur autorise l’entrée publique ou l’entrée uniquement à partir de votre réseau virtuel au niveau de l’environnement.
| Niveau d’accessibilité | Descriptif |
|---|---|
| Externe | Votre application conteneur peut accepter des demandes publiques. Les environnements externes sont déployés avec une adresse IP virtuelle sur une adresse IP externe et publique. |
| Interne | Les environnements internes n’ont aucun point de terminaison public et sont déployés avec une adresse IP virtuelle mappée à une adresse IP interne. Le point de terminaison interne est un équilibreur de charge interne Azure. Les adresses IP sont émises à partir de la liste des adresses IP privées du réseau virtuel existant. |
Accès au réseau public
Le paramètre d’accès au réseau public détermine si votre environnement Container Apps est accessible à partir de l’Internet public. La configuration de l’IP virtuelle de l’environnement détermine si vous pouvez changer ou non ce paramètre après avoir créé votre environnement. Le tableau suivant présente les valeurs valides de l’accès réseau public en fonction de la configuration de l’IP virtuelle de votre environnement.
| Adresse IP virtuelle | Accès réseau public pris en charge | Descriptif |
|---|---|---|
| Externe |
Enabled, Disabled |
L’environnement Container Apps a été créé avec un point de terminaison accessible sur Internet. Le paramètre d’accès au réseau public détermine si le trafic est accepté via le point de terminaison public ou uniquement par le biais de points de terminaison privés. Vous pouvez modifier ce paramètre après avoir créé l’environnement. |
| Interne | Disabled |
L’environnement Container Apps a été créé sans point de terminaison accessible par Internet. Vous ne pouvez pas modifier le paramètre d’accès au réseau public pour accepter le trafic à partir d’Internet. |
Pour créer des points de terminaison privés dans votre environnement Container Apps, vous devez définir l’accès au réseau public sur Disabled.
Les stratégies de mise en réseau Azure sont prises en charge par le paramètre d’accès au réseau public.
Configuration de l’entrée
Dans la section d’entrée , vous pouvez configurer les paramètres suivants :
Activez ou désactivez l’entrée (ingress) pour votre application conteneurisée.
Acceptez le trafic vers votre application conteneur depuis n’importe où ou depuis uniquement dans le même environnement Container Apps.
Définissez des règles de fractionnement du trafic entre les révisions de votre application. Pour plus d’informations, consultez Fractionnement du trafic.
Pour plus d’informations sur les scénarios de mise en réseau, consultez Ingress dans Azure Container Apps.
Fonctionnalités en entrée
| Caractéristique | Découvrez comment |
|---|---|
|
Entrée Configurer les entrées |
Contrôlez le routage du trafic externe et interne vers votre application conteneur. |
| Entrée Premium | Configurez des paramètres d’entrée avancés, tels que la prise en charge du profil de charge de travail pour l’entrée et le délai d’inactivité. |
| Restrictions d’adresse IP | Limitez le trafic entrant vers votre application conteneur par adresse IP. |
| Authentification par certificat client | Configurez l’authentification par certificat client (également appelée TLS mutuel ou mTLS) pour votre application conteneur. |
|
Fractionnement du trafic Déploiement bleu/vert |
Fractionnez le trafic entrant entre les révisions actives de votre application conteneur. |
| Affinité de session | Acheminer toutes les requêtes d’un client vers la même réplique de votre application de conteneur. |
| Partage de ressources entre origines (CORS) | Activez CORS pour votre application conteneur, ce qui autorise les requêtes effectuées via le navigateur à un domaine qui ne correspond pas à l’origine de la page. |
| Routage basé sur le chemin | Utilisez des règles pour router les demandes vers différentes applications conteneur dans votre environnement, en fonction du chemin d’accès de chaque requête. |
| Réseaux virtuels | Configurez le réseau virtuel pour votre environnement Container Apps. |
| DNS | Configurez DNS pour le réseau virtuel de votre environnement Container Apps. |
| Point de terminaison privé | Utilisez un point de terminaison privé pour accéder en toute sécurité à votre application conteneur sans l’exposer à l’Internet public. |
| Intégrer à Azure Front Door | Connectez-vous directement à partir de Azure Front Door à une application conteneur à l’aide d’une liaison privée au lieu d’Internet public. |
Fonctionnalités en sortie
| Caractéristique | Découvrez comment |
|---|---|
| Utilisation du Pare-feu Azure | Utilisez le Pare-feu Azure pour contrôler le trafic sortant à partir de votre application conteneur. |
| Réseaux virtuels | Configurez le réseau virtuel pour votre environnement Container Apps. |
| Sécurisation d’un réseau virtuel existant avec un groupe de sécurité réseau | Aidez à sécuriser le réseau virtuel de votre environnement Container Apps à l’aide d’un groupe de sécurité réseau. |
| Intégration à la passerelle NAT Azure | Utilisez Azure NAT Gateway pour simplifier la connectivité Internet sortante dans votre réseau virtuel dans un environnement de profil de charge de travail. |
Articles pratiques
| Article | Découvrez comment |
|---|---|
| Fournir un réseau virtuel à un environnement Azure Container Apps | Utilisez un réseau virtuel. |
| Protéger Azure Container Apps avec Web Application Firewall sur Application Gateway | Configurez Azure Web Application Firewall sur Azure Application Gateway. |
| Contrôle du trafic sortant dans Azure Container Apps avec des itinéraires définis par l’utilisateur | Activez les UDR. |
| Use mTLS dans Azure Container Apps | Générez une application mTLS dans Container Apps. |
| Utilisez un point de terminaison privé avec un environnement Azure Container Apps | Utilisez un point de terminaison privé pour accéder en toute sécurité à votre application conteneur sans l’exposer à l’Internet public. |
| Créer une liaison privée à une application conteneur avec Azure Front Door | Connectez-vous directement à partir de Azure Front Door à une application conteneur à l’aide d’une liaison privée au lieu d’Internet public. |
Sécurité de l'environnement
Vous pouvez sécuriser votre environnement de profil de charge de travail pour le trafic réseau d’entrée et de sortie en effectuant les actions suivantes :
Créez votre environnement Container Apps interne dans un environnement de profil de charge de travail. Pour connaître les étapes, consultez Gérer des profils de charge de travail avec Azure CLI.
Intégrer Container Apps à Application Gateway.
Configurez un UDR pour acheminer tout le trafic via Pare-feu Azure.
Comportement du proxy de périmètre HTTP
Azure Container Apps utilise un proxy HTTP edge qui met fin à TLS et achemine les requêtes vers chaque application.
Les applications HTTP sont mises à l’échelle en fonction du nombre de requêtes et de connexions HTTP. Envoy achemine le trafic interne à l’intérieur de clusters.
Les connexions en aval prennent en charge HTTP/1.1 et HTTP/2. Envoy détecte et met à niveau automatiquement les connexions si la connexion cliente nécessite une mise à niveau.
Vous définissez des connexions en amont en définissant la transport propriété sur l’objet d’entrée .
Dépendances du portail
Pour chaque application dans Container Apps, il existe deux URL.
Le runtime Container Apps génère initialement un nom de domaine complet (FQDN) utilisé pour accéder à votre application. Pour obtenir le nom de domaine complet de votre application conteneur, accédez à votre application conteneur dans le portail Azure. Dans le volet Vue d’ensemble , le nom de domaine complet est la valeur url de l’application .
Une deuxième URL est également générée pour vous. Cet emplacement permet d’accéder au service de diffusion des journaux et à la console. Si nécessaire, ajoutez https://azurecontainerapps.dev/ à la liste des autorisations de votre pare-feu ou de votre serveur proxy.
Ports et adresses IP
Les ports suivants sont exposés pour les connexions entrantes :
| Protocole | Ports |
|---|---|
| HTTP/HTTPS | 80, 443 |
Les adresses IP ont les types suivants :
| Type | Descriptif |
|---|---|
| Adresse IP entrante publique | Utilisé pour le trafic d’application dans un déploiement externe et pour le trafic de gestion dans les déploiements internes et externes. |
| Adresse IP publique sortante | Utilisée en tant qu’adresse IP source pour les connexions sortantes quittant le réseau virtuel. Ces connexions ne sont pas routées vers un réseau privé virtuel. Les adresses IP sortantes peuvent changer au fil du temps. L’utilisation de Azure NAT Gateway ou d’un autre proxy pour le trafic sortant à partir d’un environnement Container Apps est prise en charge uniquement dans un environnement de profil workload. |
| Adresse IP de l’équilibreur de charge interne | Existe uniquement dans un environnement interne. |