Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Azure Container Apps opera en el contexto de un entorno, que usa su propia red virtual. Al crear un entorno, algunas consideraciones clave informan sobre las funcionalidades de red de las aplicaciones de contenedor: tipo de entorno, tipo de red virtual y nivel de accesibilidad.
Selección del entorno
Container Apps tiene dos tipos de entorno. Comparten muchas de las mismas características de red, con algunas diferencias clave.
| Tipo de entorno | Tipos de plan admitidos | Descripción |
|---|---|---|
| Perfiles de carga de trabajo (valor predeterminado) | Consumo, dedicado | Admite rutas definidas por el usuario (UDR), salida a través de Azure NAT Gateway y creación de puntos de conexión privados en el entorno de la aplicación contenedora. El tamaño mínimo necesario de subred es /27. |
| Solo consumo (legado) | Consumo | No admite UDR, salida a través de Azure NAT Gateway, emparejamiento a través de una puerta de enlace remota u otra salida personalizada. El tamaño mínimo necesario de subred es /23. |
Para obtener más información, consulte Tipos de entorno.
Tipo de red virtual
De forma predeterminada, Container Apps se integra con la red Azure, a la que se puede acceder públicamente a través de Internet y solo puede comunicarse con puntos de conexión accesibles a Internet. También tiene la opción de proporcionar una red virtual existente a medida que cree el entorno en su lugar. Después de crear un entorno con la red de Azure predeterminada o una red virtual existente, no se puede cambiar el tipo de red.
Use una red virtual existente cuando necesite Azure características de red como:
- Grupos de seguridad de red.
- Integración de Azure Application Gateway.
- Integración de Azure Firewall.
- Control del tráfico saliente de su aplicación de contenedor.
- Acceso a recursos detrás de puntos de conexión privados en la red virtual.
Si usa una red virtual existente, debe proporcionar una subred dedicada exclusivamente al entorno de Container Apps que implemente. Esta subred no está disponible para otros servicios. Para más información, consulte Configuración de red virtual.
Nivel de accesibilidad
Puede configurar, a nivel de entorno, si la aplicación de contenedor permite el tráfico de entrada público o solo el tráfico de entrada desde dentro de su red virtual.
| Nivel de accesibilidad | Descripción |
|---|---|
| Externo | La aplicación contenedora puede aceptar solicitudes públicas. Los entornos externos se implementan con una dirección IP virtual en una dirección IP externa orientada al público. |
| Interno | Los entornos internos no tienen puntos de conexión públicos y se implementan con una dirección IP virtual asignada a una dirección IP interna. El punto de conexión interno es un equilibrador de carga interno Azure. Las direcciones IP se emiten a partir de la lista de direcciones IP privadas de la red virtual existente. |
Acceso a una red pública
La configuración del acceso a la red pública determina si el entorno de Container Apps es accesible desde la red pública de Internet. Si puede cambiar esta configuración después de crear el entorno depende de la configuración de IP virtual del entorno. En la tabla siguiente se muestran valores válidos para el acceso a la red pública, en función de la configuración de IP virtual del entorno.
| IP virtual | Acceso de red pública admitido | Descripción |
|---|---|---|
| Externo |
Enabled, Disabled |
El entorno de Container Apps se creó con un punto de conexión accesible para Internet. La configuración del acceso a la red pública determina si el tráfico se acepta a través del punto de conexión público o solo a través de puntos de conexión privados. Puede cambiar esta configuración después de crear el entorno. |
| Interno | Disabled |
El entorno de Container Apps se creó sin un punto de conexión accesible a Internet. No se puede cambiar la configuración del acceso a la red pública para aceptar el tráfico desde Internet. |
Para crear puntos de conexión privados en el entorno de Container Apps, debe establecer el acceso de red pública a Disabled.
Las directivas de redes de Azure son compatibles con la opción de acceso a la red pública.
Configuración de entrada
En la sección entrada , puede configurar los siguientes valores:
Habilite o deshabilite la entrada para la aplicación contenedora.
Aceptar tráfico a la aplicación de contenedor desde cualquier lugar o solo desde dentro del mismo entorno de Container Apps.
Defina reglas de división de tráfico entre las revisiones de la aplicación. Para más información, consulte División del tráfico.
Para obtener más información sobre los escenarios de red, consulte Ingress en Azure Container Apps.
Características entrantes
| Característica | Obtenga información sobre cómo |
|---|---|
|
Ingreso Configurar entrada |
Controla el enrutamiento del tráfico externo e interno a tu aplicación de contenedores. |
| Entrada Premium | Configure opciones avanzadas de entrada, como la compatibilidad del perfil de carga de trabajo para el tiempo de espera de entrada e inactividad. |
| Restricciones de IP | Restrinja el tráfico entrante a la aplicación contenedora por dirección IP. |
| Autenticación de certificados de clientes | Configure la autenticación de certificados de cliente (también conocida como TLS mutua o mTLS) para la aplicación contenedora. |
|
División de tráfico Implementación azul/verde |
Divida el tráfico de entrada entre las revisiones activas de su aplicación de contenedores. |
| Afinidad de sesión | Enrutar todas las solicitudes de un cliente a la misma réplica de la aplicación contenedora. |
| Uso compartido de recursos entre orígenes (CORS) | Habilite CORS para su aplicación de contenedor, lo que permite solicitudes mediante el navegador a un dominio que no coincida con el origen de la página. |
| Enrutamiento basado en rutas | Use reglas para enrutar las solicitudes a diferentes aplicaciones de contenedor del entorno, en función de la ruta de acceso de cada solicitud. |
| Redes virtuales | Configure la red virtual para el entorno de Container Apps. |
| DNS | Configure DNS para la red virtual del entorno de Container Apps. |
| Punto de conexión privado | Use un punto de conexión privado para acceder de forma segura a la aplicación contenedora sin exponerla a la red pública de Internet. |
| Integración con Azure Front Door | Conéctese directamente desde Azure Front Door a una aplicación contenedora mediante un vínculo privado en lugar de la red pública de Internet. |
Características de salida
| Característica | Obtenga información sobre cómo |
|---|---|
| Uso de Azure Firewall | Use Azure Firewall para controlar el tráfico saliente desde la aplicación contenedora. |
| Redes virtuales | Configure la red virtual para el entorno de Container Apps. |
| Protección de una red virtual existente con un grupo de seguridad de red | Ayude a proteger la red virtual del entorno de Container Apps mediante un grupo de seguridad de red. |
| Integración con la puerta de enlace NAT de Azure | Use Azure NAT Gateway para simplificar la conectividad saliente a Internet en la red virtual en un entorno de perfil de carga de trabajo. |
Artículos de procedimientos
| Artículo | Obtenga información sobre cómo |
|---|---|
| Proporcionar una red virtual a un entorno de Azure Container Apps | Use una red virtual. |
| Proteja Azure Container Apps mediante firewall de aplicaciones web en Application Gateway | Configure Azure Web Application Firewall en Azure Application Gateway. |
| Controlar el tráfico saliente en Azure Container Apps con rutas definidas por el usuario | Habilitar UDRs. |
| Usar mTLS en Azure Container Apps | Compile una aplicación mTLS en Container Apps. |
| Use un punto de conexión privado con un entorno de Azure Container Apps | Use un punto de conexión privado para acceder de forma segura a la aplicación contenedora sin exponerla a la red pública de Internet. |
| Crear un vínculo privado a una aplicación contenedora con Azure Front Door | Conéctese directamente desde Azure Front Door a una aplicación contenedora mediante un vínculo privado en lugar de la red pública de Internet. |
Seguridad del entorno
Puede ayudar a proteger el entorno de perfil de carga de trabajo para el tráfico de red de entrada y salida mediante las siguientes acciones:
Cree el entorno interno de aplicaciones de contenedor en un entorno de perfil de carga de trabajo. Para conocer los pasos, consulte Administración de perfiles de carga de trabajo con la CLI de Azure.
Integre Container Apps con Application Gateway.
Configure una UDR para enrutar todo el tráfico a través de Azure Firewall.
Comportamiento del proxy perimetral HTTP
Azure Container Apps usa un proxy HTTP perimetral que finaliza TLS y enruta las solicitudes a cada aplicación.
Las aplicaciones HTTP se escalan en función del número de solicitudes y conexiones HTTP. Envoy enruta el tráfico interno dentro de clústeres.
Las conexiones de bajada admiten HTTP/1.1 y HTTP/2. Envoy detecta y actualiza automáticamente las conexiones si la conexión de cliente requiere una actualización.
Las conexiones ascendentes se definen estableciendo la transport propiedad en el objeto de entrada .
Dependencias del portal
Para cada aplicación de Container Apps, hay dos direcciones URL.
El entorno de ejecución de Container Apps genera inicialmente un nombre de dominio completo (FQDN) que se usa para acceder a la aplicación. Para obtener el FQDN de la aplicación contenedora, vaya a la aplicación contenedora en el portal de Azure. En el panel Información general , el FQDN es el valor url de la aplicación .
También se genera una segunda dirección URL automáticamente. Esta ubicación concede acceso al servicio de streaming de registros y a la consola. Si es necesario, agregue https://azurecontainerapps.dev/ a la lista de permitidos del firewall o proxy.
Direcciones IP y puertos
Los puertos siguientes se exponen para las conexiones entrantes:
| Protocolo | Puertos |
|---|---|
| HTTP/HTTPS (Protocolo de Transferencia de Hipertexto seguro) | 80, 443 |
Las direcciones IP tienen los siguientes tipos:
| Tipo | Descripción |
|---|---|
| Dirección IP de entrada pública | Se usa para el tráfico de aplicaciones en una implementación externa y para el tráfico de administración en implementaciones internas y externas. |
| Dirección IP pública de salida | Se usa como dirección IP de procedencia para las conexiones de salida que salen de la red virtual. Estas conexiones no se enrutan a una VPN. Las direcciones IP salientes pueden cambiar con el tiempo. El uso de Azure NAT Gateway u otro proxy para el tráfico saliente de un entorno de Container Apps solo se admite en un entorno de perfil de carga de trabajo. |
| IP interna del equilibrador de carga | Solo existe en un entorno interno. |