Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Un réseau virtuel crée une limite sécurisée autour de votre environnement Azure Container Apps. Par défaut, les environnements sont créés avec un réseau virtuel généré automatiquement. Toutefois, l’utilisation d’un réseau virtuel existant fournit davantage de fonctionnalités réseau Azure telles que l’intégration à Application Gateway, les groupes de sécurité réseau et la communication avec des ressources derrière des points de terminaison privés. Cette configuration est importante pour les clients d’entreprise qui doivent isoler les applications internes et stratégiques de l’Internet public.
Lorsque vous créez un réseau virtuel, gardez à l’esprit les situations suivantes :
Si vous souhaitez que votre application de conteneur limite tout accès extérieur, créez un environnement Container Apps interne.
Si vous utilisez votre propre réseau virtuel, vous devez fournir un sous-réseau dédié exclusivement à votre application conteneur. Ce sous-réseau n’est pas accessible à d’autres services.
Des adresses réseau sont attribuées à partir d’une plage de sous-réseau que vous définissez lors de la création de l’environnement.
Vous pouvez définir la plage de sous-réseau utilisée par l’environnement Container Apps.
Vous pouvez restreindre les requêtes entrantes dans l’environnement exclusivement au réseau virtuel en déployant l’environnement en interne.
Remarque
Lorsque vous fournissez votre propre réseau virtuel, des ressources managées supplémentaires sont créées. Ces ressources entraînent des coûts à leurs tarifs associés.
Lorsque vous commencez à concevoir le réseau autour de votre application conteneur, reportez-vous à Planifier des réseaux virtuels.
Remarque
Le déplacement de réseaux virtuels entre différents groupes de ressources ou abonnements n’est pas autorisé si le réseau virtuel est utilisé par un environnement Container Apps.
Subnet
L’intégration au réseau virtuel dépend d’un sous-réseau dédié. L’allocation d’adresses IP dans un sous-réseau et les tailles de sous-réseau prises en charge dépendent du plan que vous utilisez dans Azure Container Apps.
Sélectionnez soigneusement la taille de votre sous-réseau. Les tailles de sous-réseau ne peuvent pas être modifiées après que vous avez créé un environnement Container Apps.
Différents types d’environnement ont des exigences de sous-réseau différentes :
/27est la taille minimale du sous-réseau requise pour l’intégration de réseau virtuel.Vous devez déléguer votre sous-réseau à
Microsoft.App/environments.Lorsque vous utilisez un environnement externe avec une entrée externe, le trafic entrant est routé via l’adresse IP publique de l’infrastructure plutôt que via votre sous-réseau.
Container Apps réserve automatiquement 12 adresses IP pour l’intégration au sous-réseau. Le nombre d’adresses IP requises pour l’intégration de l’infrastructure ne varie pas en fonction des exigences de mise à l’échelle de l’environnement. Des adresses IP supplémentaires sont allouées en fonction des règles suivantes en fonction du type de profil de charge de travail que vous utilisez d’autres adresses IP sont allouées en fonction du profil de charge de travail de votre environnement :
Profil de charge de travail dédié : à mesure que votre application conteneur subit un scale-out, chaque nœud a une adresse IP affectée.
Profil de charge de travail de consommation : chaque adresse IP peut être partagée entre plusieurs réplicas. Lors de la planification du nombre d’adresses IP requises pour votre application, planifiez une adresse IP pour dix réplicas.
Lorsque vous apportez une modification à une révision en mode révision unique, l’espace d’adressage requis est doublé pendant une courte période afin de prendre en charge les déploiements sans temps d’arrêt. Cela affecte les réplicas ou nœuds pris en charge réels et disponibles pour une taille de sous-réseau donnée. Le tableau suivant indique à la fois le nombre maximal d’adresses disponibles par bloc CIDR et l’effet sur la mise à l’échelle horizontale.
Taille du sous-réseau Adresses IP disponibles 1 Nombre maximal de nœuds (profil de charge de travail dédiée)2 Nombre maximal de réplicas (profil de charge de travail de consommation)2 /23 498 249 2,490 /24 242 121 1,210 /25 114 57 570 /26 50 25 250 /27 18 9 90 1 Les adresses IP disponibles sont la taille du sous-réseau moins les 14 adresses IP requises pour l’infrastructure Azure Container Apps qui comprend 5 adresses IP réservées par le sous-réseau. 2 Ceci prend en compte les applications en mode révision unique.
Restrictions de plage d’adresses de sous-réseau
Les plages d’adresses de sous-réseau ne peuvent pas chevaucher les plages suivantes réservées par Azure Kubernetes Services :
- 169.254.0.0/16
- 172.30.0.0/16
- 172.31.0.0/16
- 192.0.2.0/24
En outre, un environnement de profils de charge de travail réserve les adresses suivantes :
- 100.100.0.0/17
- 100.100.128.0/19
- 100.100.160.0/19
- 100.100.192.0/19
Configuration de sous-réseau avec l’interface CLI
Quand vous créez un environnement Container Apps, vous indiquez des ID de ressource pour un seul sous-réseau.
Si vous utilisez l’interface CLI, le paramètre infrastructure-subnet-resource-id permet de définir l’ID de ressource de sous-réseau. Le sous-réseau héberge les composants d’infrastructure et les conteneurs d’application utilisateur.
Si vous utilisez Azure CLI avec un environnement Consommation uniquement et que la plage PlatformReservedCidr est définie, les deux sous-réseaux ne doivent pas chevaucher la plage IP définie dans platformReservedCidr.
Intégration de la passerelle NAT
Vous pouvez utiliser NAT Gateway afin de simplifier la connectivité sortante pour votre trafic Internet sortant dans votre réseau virtuel dans un environnement de profils de charge de travail.
Lorsque vous configurez NAT Gateway sur votre sous-réseau, NAT Gateway fournit une adresse IP publique statique pour votre environnement. Tout le trafic sortant de votre application conteneur est routé via l’adresse IP publique statique de NAT Gateway.
Ressources managées
Quand vous déployez un environnement interne ou externe dans votre propre réseau, un nouveau groupe de ressources est créé dans l’abonnement Azure où votre environnement est hébergé. Ce groupe de ressources contient les composants d’infrastructure managés par la plateforme Azure Container Apps. Ne modifiez ni les services de ce groupe, ni le groupe de ressources lui-même.
Remarque
Les balises définies par l’utilisateur affectées à votre environnement Container Apps sont répliquées sur toutes les ressources du groupe de ressources, y compris le groupe de ressources lui-même.
Le nom du groupe de ressources créé dans l’abonnement Azure où votre environnement est hébergé est précédé par défaut de ME_, et le nom du groupe de ressources peut être personnalisé lorsque vous créez votre environnement d’application conteneur.
Pour les environnements externes, le groupe de ressources contient une adresse IP publique utilisée spécifiquement pour la connectivité entrante à votre environnement externe et un équilibreur de charge. Pour les environnements internes, le groupe de ressources contient uniquement un équilibreur de charge.
En plus de la facturation standard pour Azure Container Apps, vous êtes facturé pour :
Une adresse IP publique statique standard pour la sortie si vous utilisez un environnement interne ou externe, plus une adresse IP publique statique standard pour l’entrée si vous utilisez un environnement externe. Si vous avez besoin de davantage d’adresses IP publiques pour la sortie en raison de problèmes SNAT (Source Network Address Translation), ouvrez un ticket de support pour demander un remplacement.
Un équilibreur de charge standard.
Le coût des données traitées (Go) inclut à la fois les entrées et les sorties pour les opérations de gestion.