Configuración de redes virtuales

Una red virtual crea un límite de seguridad alrededor de la Azure Container Apps environment. De forma predeterminada, los entornos se crean con una red virtual que se genera automáticamente. Sin embargo, el uso de una red virtual existente proporciona más características de red Azure, como la integración con Azure Application Gateway, grupos de seguridad de red y la comunicación con recursos detrás de puntos de conexión privados. Esta configuración es importante para los clientes empresariales que necesitan aislar las aplicaciones internas y críticas de la red pública de Internet.

A medida que cree una red virtual, tenga en cuenta las siguientes situaciones:

• Si quiere que la aplicación de contenedor restrinja todo el acceso externo, cree un entorno interno de Container Apps.

• Si usa su propia red virtual, debe proporcionar una subred dedicada exclusivamente a la aplicación contenedora. Esta subred no está disponible para otros servicios.

• Las direcciones de red se asignan desde un intervalo de subredes que se define a medida que se crea el entorno.

  • Puede definir el intervalo de subredes que usa el entorno de Container Apps.

  • Puede restringir las solicitudes entrantes al entorno exclusivamente a la red virtual mediante la implementación del entorno como interno.

Nota:

Al proporcionar su propia red virtual, se crean recursos administrados adicionales. Estos recursos incurren en costos a sus tarifas asociadas.

A medida que empiece a diseñar la red en torno a la aplicación de contenedor, consulte Planear redes virtuales.

Nota:

No se permite mover redes virtuales entre diferentes grupos de recursos o suscripciones si un entorno de Container Apps usa la red virtual.

Subred

La integración de red virtual depende de una subred dedicada. La asignación de direcciones IP en una subred y los tamaños de subred admitidos dependen del plan que usa en Container Apps.

Seleccione cuidadosamente el tamaño de la subred. No se pueden modificar los tamaños de subred después de crear un entorno de Container Apps.

Cada tipo de entorno tiene sus propios requisitos de subred:

Entorno de perfil de carga de trabajo

• El tamaño mínimo de subred necesario para la integración de red virtual es /27.

• Debe delegar su subred en Microsoft.App/environments.

• Cuando se usa un entorno externo con entrada externa, el tráfico entrante se enruta a través de la dirección IP pública de la infraestructura en lugar de a través de la subred.

• Container Apps reserva automáticamente 12 direcciones IP para la integración con la subred. El número de direcciones IP necesarias para la integración de la infraestructura no varía en función de las demandas de escala del entorno.

  Las direcciones IP adicionales se asignan según las reglas siguientes, en función del tipo de perfil de carga de trabajo que use:

  • Perfil de carga de trabajo dedicado: a medida que la aplicación de contenedor se escala horizontalmente, cada nodo tiene asignada una dirección IP.

  • Perfil de carga de trabajo de consumo: cada dirección IP se puede compartir entre varias réplicas. Cuando planee el número de direcciones IP necesarias para la aplicación, planee una dirección IP por cada 10 réplicas.

• Al realizar un cambio en una revisión en modo de revisión única, el espacio de direcciones necesario se duplica durante un breve período para admitir implementaciones sin tiempo de inactividad. Esta duplicación afecta a las réplicas o nodos admitidos reales y disponibles para un tamaño de subred determinado. En la tabla siguiente se muestran las direcciones máximas disponibles por bloque CIDR y el impacto en la escala horizontal.

  Tamaño de la subred	Direcciones IP disponibles1	Número máximo de nodos (perfil de carga de trabajo dedicado)2	Número máximo de réplicas (perfil de carga de trabajo de consumo)2
  /23	498	249	2,490
  /24	242	121	1,210
  /25	114	57	570
  /26	50	25	250
  /27	18	9	90

  ¹ El número de direcciones IP disponibles es el tamaño de la subred menos las 14 direcciones IP necesarias para Azure Container Apps infraestructura (que incluye 5 direcciones IP que reserva la subred).

  ² Estas cifras incluyen las aplicaciones en modo de revisión única.

Entorno de solo consumo

• El tamaño mínimo de subred necesario para la integración de red virtual es /23.

• Su subred no debe estar delegada a ningún servicio, incluido Microsoft.App/environments.

• El entorno de ejecución de Container Apps reserva un mínimo de 60 direcciones IP para la infraestructura de la red virtual. La cantidad de direcciones reservadas puede aumentar hasta 256 a medida que las aplicaciones de su entorno escalan.

• A medida que las aplicaciones se escalan, se asigna una nueva dirección IP a cada nueva réplica.

• Al realizar un cambio en una revisión en modo de revisión única, el espacio de direcciones necesario se duplica durante un breve período, para admitir implementaciones sin tiempo de inactividad. Esta duplicación afecta al número real de réplicas compatibles y disponibles para un tamaño de subred concreto.

Restricciones para intervalos de direcciones de subred

Entorno de perfil de carga de trabajo

Los intervalos de direcciones de subred no se pueden superponer con los siguientes intervalos que Azure Kubernetes Service reserva:

• 169.254.0.0/16
• 172.30.0.0/16
• 172.31.0.0/16
• 192.0.2.0/24

Además, un entorno de perfil de carga de trabajo reserva las siguientes direcciones:

• 100.100.0.0/17
• 100.100.128.0/19
• 100.100.160.0/19
• 100.100.192.0/19

Entorno de solo consumo

Los intervalos de direcciones de subred no se pueden superponer con los siguientes intervalos que Azure Kubernetes Service reserva:

• 169.254.0.0/16
• 172.30.0.0/16
• 172.31.0.0/16
• 192.0.2.0/24

Si creó el entorno de Container Apps con un CIDR de servicio personalizado, asegúrese de que la subred de la aplicación de contenedor (o cualquier subred conectada mediante emparejamiento) no entre en conflicto con el rango de su CIDR de servicio personalizado.

Configuración de subred con la CLI

A medida que se crea un entorno de Container Apps, se proporcionan id. de recursos para una única subred.

Si usa el CLI de Azure, el parámetro para definir el identificador de recurso de subred es infrastructure-subnet-resource-id. La subred hospeda componentes de infraestructura y contenedores de aplicaciones de usuario.

Si usa la CLI de Azure con un entorno exclusivo de consumo y se define el intervalo platformReservedCidr, ninguna de las dos subredes debe superponerse con el rango de direcciones IP definido en platformReservedCidr.

integración de Azure NAT Gateway

Puede usar Azure NAT Gateway para simplificar la conectividad para el tráfico saliente de Internet en la red virtual en un entorno de perfil de carga de trabajo.

Al configurar una puerta de enlace de traducción de direcciones de red (NAT) en la subred, la puerta de enlace NAT proporciona una dirección IP pública estática para su entorno. Todo el tráfico saliente de la aplicación contenedora se enruta a través de la dirección IP pública estática de la puerta de enlace NAT.

Nota:

La SKU standardV2 de Azure NAT Gateway no se admite actualmente para la integración.

Recursos administrados

Al implementar un entorno interno o externo en su propia red, se crea un grupo de recursos en la suscripción de Azure donde se hospeda el entorno. Este grupo de recursos contiene componentes de infraestructura que administra la plataforma Azure Container Apps. No modifique los servicios de este grupo ni el propio grupo de recursos.

Nota:

Las etiquetas definidas por el usuario asignadas al entorno de Container Apps se replican en todos los recursos del grupo de recursos, incluido el propio grupo de recursos.

Entorno de perfil de carga de trabajo

El nombre del grupo de recursos creado en la suscripción de Azure donde se hospeda el entorno tiene el prefijo ME_ de forma predeterminada. Puede personalizar el nombre del grupo de recursos a medida que crea el entorno de Container Apps.

Para entornos externos, el grupo de recursos contiene una dirección IP pública que se usa específicamente para la conectividad entrante con el entorno externo y un equilibrador de carga. En el caso de los entornos internos, el grupo de recursos solo contiene un equilibrador de carga.

Además de la facturación estándar de Container Apps, se le factura lo siguiente:

• Una dirección IP pública estática estándar para la salida si usa un entorno interno o externo, además de una dirección IP pública estática estándar para la entrada si usa un entorno externo. Si necesita más direcciones IP públicas para el tráfico de salida debido a problemas de NAT de origen (SNAT), abra un caso de soporte para solicitar una excepción.

• Un equilibrador de carga estándar.

El costo de los datos procesados (en gigabytes) incluye tanto la entrada como la salida para las operaciones de administración.

Entorno de solo consumo

El nombre del grupo de recursos creado en la suscripción de Azure donde se hospeda el entorno tiene el prefijo MC_ de forma predeterminada. No se puede personalizar el nombre del grupo de recursos al crear una aplicación de contenedor. El grupo de recursos contiene direcciones IP públicas que se usan específicamente para la conectividad saliente desde el entorno, así como un equilibrador de carga.

Además de la facturación estándar de Container Apps, se le factura lo siguiente:

• Una IP pública estática estándar para la salida. Si necesita más direcciones IP de salida debido a problemas de NAT de origen (SNAT), abra un ticket de soporte para solicitar una excepción.

• Dos equilibradores de carga estándar si usa un entorno interno o un equilibrador de carga estándar si usa un entorno externo. Cada equilibrador de carga tiene menos de seis reglas.

El costo de los datos procesados (en gigabytes) incluye tanto la entrada como la salida para las operaciones de administración.

Paso siguiente

Integrate un entorno de Azure Container Apps con Azure Firewall