Ressources et scénarios relatifs aux réseaux virtuels

Article
04/11/2023

Un réseau virtuel Azure fournit un accès réseau privé et sécurisé à vos ressources Azure et locales. En déployant des groupes de conteneurs dans un réseau virtuel Azure, vos conteneurs peuvent communiquer en toute sécurité avec d’autres ressources dans le réseau virtuel.

Cet article fournit des informations générales sur les scénarios, limitations et ressources relatifs aux réseaux virtuels. Pour obtenir des exemples de déploiement à l’aide d’Azure CLI, consultez Déployer des instance de conteneur dans un réseau virtuel Azure.

Important

Le déploiement d’un groupe de conteneurs sur un réseau virtuel est généralement disponible pour les conteneurs Linux et Windows, dans la plupart des régions où Azure Container Instances est disponible. Pour plus de détails, consultez Disponibilité des ressources et limites de quotas.

Scénarios

Les groupes de conteneurs déployés dans un réseau virtuel Azure autorisent les scénarios suivants :

Communication directe entre les groupes de conteneurs dans le même sous-réseau
Envoyer la sortie d’une charge de travail basée sur des tâches à partir d’instances de conteneur à une base de données dans le réseau virtuel
Récupérer le contenu des instances de conteneur à partir d’un point de terminaison de service dans le réseau virtuel
Activer la communication de conteneurs avec les ressources locales par le biais d’une passerelle VPN ou ExpressRoute
Intégrer avec Pare-feu Azure pour identifier le trafic sortant en provenance du conteneur
Résoudre les noms par le biais du système Azure DNS interne pour la communication avec les ressources Azure sur le réseau virtuel, telles que les machines virtuelles
Utiliser des règles de groupe de sécurité réseau pour contrôler l’accès du conteneur aux sous-réseaux ou autres ressources réseau

Scénarios de mise en réseau non pris en charge

Azure Load Balancer - Le placement d’un équilibreur de charge Azure devant des instances de conteneurs dans un groupe de conteneurs en réseau n’est pas pris en charge.
Peering mondial de réseaux virtuels - Le peering mondial (connexion de réseaux virtuels entre des régions Azure) n’est pas pris en charge
Étiquette DNS ou adresse IP publique - Les groupes de conteneurs déployés sur un réseau virtuel ne prennent actuellement pas en charge l’exposition de conteneurs directement sur Internet avec une adresse IP publique ou un nom de domaine complet.
Identité managée avec Réseau virtuel dans les régions Azure Government : l’identité managée avec des fonctionnalités de mise en réseau virtuelle n’est pas prise en charge dans les régions Azure Government

Autres limitations

Pour que vous puissiez déployer des groupes de conteneurs sur un sous-réseau, celui-ci ne doit pas contenir d’autres types de ressources. Supprimez toutes les ressources d’un sous-réseau avant de déployer des groupes de conteneurs dans celui-ci, ou créez un sous-réseau.
Pour déployer des groupes de conteneurs sur un sous-réseau, le sous-réseau et le groupe de conteneurs doivent se trouver sur le même abonnement Azure.
Vous ne pouvez pas activer de probe liveness ni de probe readiness dans un groupe de conteneurs déployé sur un réseau virtuel.
En raison des ressources réseau supplémentaires impliquées, les déploiements sur un réseau virtuel sont généralement plus lents que les déploiements d’une instance de conteneur standard.
Les connexions sortantes vers les ports 25 et 19390 ne sont pas prises en charge pour l’instant. Le port 19390 doit être ouvert dans votre pare-feu pour la connexion à ACI depuis le Portail Azure lorsque des groupes de conteneurs sont déployés dans des réseaux virtuels.
Pour les connexions entrantes, le pare-feu doit également autoriser toutes les adresses IP au sein du réseau virtuel.
Si vous connectez votre groupe de conteneurs à un compte Stockage Azure, vous devez ajouter un point de terminaison de service à cette ressource.
Les adresses IPv6 ne sont pas prises en charge pour l’instant.
Selon le type de votre abonnement, certains ports peuvent être bloqués.

Ressources réseau requises

Trois ressources de réseau virtuel Azure sont requises pour déployer des groupes de conteneurs dans un réseau virtuel : le réseau virtuel lui-même, un sous-réseau délégué dans le réseau virtuel et un profil réseau.

Réseau virtuel

Un réseau virtuel définit l’espace d’adressage dans lequel vous créez un ou plusieurs sous-réseaux. Ensuite, vous déployez des ressources Azure (par exemple, des groupes de conteneurs) dans les sous-réseaux de votre réseau virtuel.

Sous-réseau (délégué)

Les sous-réseaux segmentent le réseau virtuel en espaces d’adressage distincts utilisables par les ressources Azure que vous placez dedans. Vous créez un ou plusieurs sous-réseaux dans un réseau virtuel.

Le sous-réseau que vous utilisez pour les groupes de conteneurs ne peut contenir que des groupes de conteneurs. Lorsque vous déployez d’abord un groupe de conteneurs dans un sous-réseau, Azure délègue ce sous-réseau à Azure Container Instances. Une fois délégué, le sous-réseau ne peut être utilisé que pour les groupes de conteneur. Si vous tentez de déployer des ressources autres que des groupes de conteneurs dans un sous-réseau délégué, l’opération échoue.

Profil réseau

Important

Les profils réseau ont été retirés depuis la version 2021-07-01 de l’API. Si vous utilisez cette version ou une version plus récente, ignorez les étapes et actions relatives aux profils réseau.

Un profil réseau est un modèle de configuration de réseau pour les ressources Azure. Il spécifie certaines propriétés réseau de la ressource, par exemple le sous-réseau dans lequel il doit être déployé. Lorsque vous utilisez pour la première fois la commande az container create pour déployer un groupe de conteneurs sur un sous-réseau (et donc un réseau virtuel), Azure crée un profil réseau pour vous. Vous pouvez ensuite utiliser ce profil réseau pour les déploiements futurs dans le sous-réseau.

Pour utiliser un modèle Resource Manager, un fichier YAML ou une méthode de programmation pour déployer un groupe de conteneurs dans un sous-réseau, vous devez fournir l’ID de ressource Resource Manager complet d’un profil réseau. Vous pouvez utiliser un profil précédemment créé à l’aide de az container create ou créer un profil à l’aide d’un modèle Resource Manager (voir l’exemple de modèle et la référence). Pour obtenir l’ID d’un profil précédemment créé, utilisez la commande az network profile list.

Dans le diagramme suivant, plusieurs groupes de conteneurs ont été déployés dans un sous-réseau délégué à Azure Container Instances. Une fois que vous avez déployé un groupe de conteneurs dans un sous-réseau, vous pouvez déployer d’autres groupes de conteneurs dans ce dernier en spécifiant le même profil réseau.

Container groups within a virtual network

Étapes suivantes

Pour obtenir des exemples de déploiement avec Azure CLI, consultez Déployer des instance de conteneur dans un réseau virtuel Azure.
Pour déployer un réseau virtuel, un sous-réseau, un profil réseau et un groupe de conteneurs nouveaux à l’aide d’un modèle Resource Manager, consultez Créer un groupe de conteneurs Azure avec un réseau virtuel.
Lorsque vous utilisez le portail Azure pour créer une instance de conteneur, vous pouvez également définir les paramètres d'un réseau virtuel nouveau ou existant dans l'onglet Mise en réseau.