Virtuális hálózati konfiguráció

A virtuális hálózat biztonsági határt hoz létre a Azure Container Apps környezet körül. Alapértelmezés szerint a környezetek automatikusan létrehozott virtuális hálózattal jönnek létre. A meglévő virtuális hálózat használata azonban több Azure hálózati funkciót biztosít, például a Azure Application Gateway való integrációt, a hálózati biztonsági csoportokat és a privát végpontok mögötti erőforrásokkal való kommunikációt. Ez a konfiguráció olyan vállalati ügyfelek számára fontos, akiknek el kell különíteni a belső, kritikus fontosságú alkalmazásokat a nyilvános internetről.

A virtuális hálózat létrehozásakor tartsa szem előtt a következő helyzeteket:

• Ha azt szeretné, hogy a tárolóalkalmazás korlátozza az összes külső hozzáférést, hozzon létre egy belső Container Apps-környezetet.

• Ha saját virtuális hálózatot használ, egy kizárólag a tárolóalkalmazásnak dedikált alhálózatot kell biztosítania. Ez az alhálózat más szolgáltatások számára nem érhető el.

• A hálózati címek a környezet létrehozásakor definiált alhálózati tartományból vannak hozzárendelve.

  • Megadhatja a Container Apps-környezet által használt alhálózati tartományt.

  • A környezet belső telepítésével korlátozhatja a környezetbe irányuló bejövő kéréseket kizárólag a virtuális hálózatra.

Megjegyzés:

Ha saját virtuális hálózatot ad meg, a rendszer további felügyelt erőforrásokat hoz létre. Ezek az erőforrások a hozzájuk tartozó díjakkal járnak.

Amikor elkezdi megtervezni a hálózatot a tárolóalkalmazás köré, tekintse meg a virtuális hálózatok tervezését.

Megjegyzés:

A virtuális hálózatok áthelyezése különböző erőforráscsoportok vagy előfizetések között nem engedélyezett, ha egy Container Apps-környezet használja a virtuális hálózatot.

Alhálózat

A virtuális hálózati integráció egy dedikált alhálózattól függ. Az alhálózat IP-címeinek lefoglalása és a támogatott alhálózati méretek a Container Appsben használt csomagtól függenek.

Gondosan válassza ki az alhálózat méretét. Container Apps-környezet létrehozása után nem módosíthatja az alhálózat méretét.

Minden egyes környezettípusnak saját alhálózati követelményei vannak:

Munkaterhelési profilkörnyezet

• A virtuális hálózat integrációjához szükséges minimális alhálózatméret a következő /27: .

• Az alhálózatot a Microsoft.App/environments-hez kell delegálnia.

• Ha külső környezetet használ külső bejövő forgalommal, a bejövő forgalom az infrastruktúra nyilvános IP-címén halad át, nem pedig az alhálózaton keresztül.

• A Container Apps automatikusan 12 IP-címet foglal le az alhálózattal való integrációhoz. Az infrastruktúra-integrációhoz szükséges IP-címek száma nem változik a környezet skálázási igényeitől függően.

  A további IP-címek a következő szabályok szerint vannak lefoglalva, a használt számítási feladatprofil típusától függően:

  • Dedikált számítási feladatprofil: A tárolóalkalmazás felskálázása során minden csomóponthoz egy IP-cím van hozzárendelve.

  • Használati számítási feladatok profilja: Minden IP-cím több replika között is megosztható. Amikor azt tervezi, hogy hány IP-cím szükséges az alkalmazáshoz, 10 replikánként egy IP-címet tervezhet meg.

• Ha egyetlen verziós módban módosít egy verziót, a szükséges címtartomány rövid időre megduplázódik a leállásmentes üzembe helyezések támogatása érdekében. Ez a duplázás hatással van a valós, elérhető támogatott replikákra vagy csomópontokra egy adott alhálózat méretéhez. Az alábbi táblázat a CIDR-blokkonként elérhető maximális címeket és a horizontális skálázásra gyakorolt hatást mutatja.

  Alhálózat mérete	Elérhető IP-címek1	Csomópontok maximális száma (dedikált számítási feladatprofil)2	Replikák maximális száma (Használati számítási feladat profilja)2
  /23	498	249	2,490
  /24	242	121	1,210
  /25	114	57	570
  /26	50	25	250
  /27	18	9	90

  ¹ Az elérhető IP-címek száma az alhálózat mérete, és az Azure Container Apps infrastruktúrához szükséges 14 IP-cím (amely magában foglalja az alhálózat által fenntartott 5 IP-címet).

  ² Ezek a számok az egyváltozatos módban lévő alkalmazásokhoz tartoznak.

Csak használatalapú környezet

• A virtuális hálózat integrációjához szükséges minimális alhálózatméret a következő /23: .

• Az alhálózat nem delegálható bármely szolgáltatáshoz, beleértve Microsoft.App/environments.

• A Container Apps futtatókörnyezete legalább 60 IP-címet foglal le a virtuális hálózat infrastruktúrájához. A fenntartott címek száma akár 256 címre is növekedhet, ahogy a környezetében lévő alkalmazások skálázódnak.

• Az alkalmazások méretezése során minden új replikához új IP-cím lesz lefoglalva.

• Ha módosít egy revíziót egyetlen revíziós módban, a szükséges címtartomány rövid időre megduplázódik, hogy támogassa a leállás nélküli üzembe helyezéseket. Ez a duplázás egy adott alhálózati mérethez tartozó valós, támogatott replikákat érinti.

Alhálózati címtartományok korlátozásai

Munkaterhelési profil környezete

Az alhálózati címtartományok nem fedhetik át az alábbi tartományokat, amelyeket Azure Kubernetes Service lefoglal:

• 169.254.0.0/16
• 172.30.0.0/16
• 172.31.0.0/16
• 192.0.2.0/24

Emellett a számítási feladatprofil-környezet a következő címeket foglalja le:

• 100.100.0.0/17
• 100.100.128.0/19
• 100.100.160.0/19
• 100.100.192.0/19

Csak használatalapú környezet

Az alhálózati címtartományok nem fedhetik át az alábbi tartományokat, amelyeket Azure Kubernetes Service lefoglal:

• 169.254.0.0/16
• 172.30.0.0/16
• 172.31.0.0/16
• 192.0.2.0/24

Ha a Container Apps-környezetet egy egyéni szolgáltatás CIDR-jével hozta létre, győződjön meg arról, hogy a tárolóalkalmazás alhálózata (vagy bármely társhálózat) nem ütközik az egyéni szolgáltatás CIDR-tartományával.

Alhálózat-konfiguráció a parancssori felülettel

A Container Apps-környezet létrehozásakor erőforrás-azonosítókat kell megadnia egyetlen alhálózathoz.

Ha az Azure CLI-t használja, az alhálózat erőforrás-azonosítóját megadó paraméter a következő: infrastructure-subnet-resource-id. Az alhálózat infrastruktúra-összetevőket és felhasználói alkalmazástárolókat üzemeltet.

Ha az Azure CLI-t kizárólag használatalapú környezetben használja, és a platformReservedCidr tartomány meg van adva, egyik alhálózat sem fedheti át a platformReservedCidr elemben megadott IP-címtartományt.

Azure NAT Gateway integráció

A Azure NAT Gateway használatával egyszerűsítheti a virtuális hálózat kimenő internetes forgalmának kapcsolatát egy számítási feladatprofil-környezetben.

Ha hálózati címfordítási (NAT) átjárót konfigurál az alhálózaton, a NAT-átjáró statikus nyilvános IP-címet biztosít a környezet számára. A tárolóalkalmazásból érkező összes kimenő forgalom a NAT-átjáró statikus nyilvános IP-címén keresztül lesz irányítva.

Megjegyzés:

A Azure NAT Gateway StandardV2 termékváltozata jelenleg nem támogatott az integrációhoz.

Felügyelt erőforrások

Ha belső vagy külső környezetet helyez üzembe a saját hálózatában, egy új erőforráscsoport jön létre abban az Azure-előfizetésben, amelyben a környezet üzemel. Ez az erőforráscsoport az Azure Container Apps platform által kezelt infrastruktúra-összetevőket tartalmazza. Ne módosítsa az ebben a csoportban lévő szolgáltatásokat vagy magát az erőforráscsoportot.

Megjegyzés:

A Container Apps-környezethez hozzárendelt felhasználó által definiált címkék az erőforráscsoport összes erőforrására replikálódnak, beleértve magát az erőforráscsoportot is.

A munkaterhelési profil környezete

A környezet üzemeltetett Azure előfizetésben létrehozott erőforráscsoport neve alapértelmezés szerint ME_ előtaggal van elnevítve. A Container Apps-környezet létrehozásakor testre szabhatja az erőforráscsoport nevét.

Külső környezetek esetén az erőforráscsoport egy nyilvános IP-címet tartalmaz, amelyet kifejezetten a külső környezethez való bejövő kapcsolathoz és egy terheléselosztóhoz használnak. Belső környezetek esetén az erőforráscsoport csak terheléselosztót tartalmaz.

A szokásos Container Apps-számlázás mellett a következő díjakat kell fizetnie:

• Egy standard statikus nyilvános IP-cím kimenő forgalomhoz, ha belső vagy külső környezetet használ, valamint egy standard statikus nyilvános IP-címet a bejövő forgalomhoz, ha külső környezetet használ. Ha a forrás-NAT-tal (SNAT) kapcsolatos problémák miatt több nyilvános IP-címre van szüksége a kimenő forgalomhoz, hozzon létre egy támogatási jegyet felülbírálás kérelmezéséhez.

• Egy standard terheléselosztó.

A feldolgozott adatok költsége (gigabájtban) a felügyeleti műveletek bejövő és kimenő forgalmát is magában foglalja.

Csak használatalapú környezet

A környezet üzemeltetett Azure előfizetésben létrehozott erőforráscsoport neve alapértelmezés szerint MC_ előtaggal van elnevítve. Tárolóalkalmazás létrehozásakor nem szabhatja testre az erőforráscsoport nevét. Az erőforráscsoport olyan nyilvános IP-címeket tartalmaz, amelyeket kifejezetten a környezetből és a terheléselosztóból való kimenő kapcsolathoz használnak.

A szokásos Container Apps-számlázás mellett a következő díjakat kell fizetnie:

• Egy szabványos statikus nyilvános IP-cím a kimenő forgalomhoz. Ha több IP-re van szüksége a kimenő forgalomhoz a forrás NAT(SNAT) problémái miatt, nyisson meg egy támogatási jegyet a felülbírálás kéréséhez.

• Belső környezet használata esetén két standard terheléselosztó , külső környezet használata esetén pedig egy standard terheléselosztó . Minden terheléselosztónak hatnál kevesebb szabálya van.

A feldolgozott adatok költsége (gigabájtban) a felügyeleti műveletek bejövő és kimenő forgalmát is magában foglalja.

Következő lépés

Azure Container Apps-környezet integrálása az Azure Firewall használatával