Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Azure Container Apps a saját virtuális hálózatát futtató környezet kontextusában működik. A környezet létrehozásakor néhány fontos szempont határozza meg a tárolóalkalmazások hálózatkezelési lehetőségeit: a környezet típusa, a virtuális hálózat típusa és a hozzáférési szint.
Környezet kiválasztása
A Container Apps két környezettípust használ. Számos azonos hálózati jellemzővel rendelkeznek, néhány fő különbséggel.
| Környezet típusa | Támogatott csomagtípusok | Leírás |
|---|---|---|
| Terhelési profilok (alapértelmezett) | Használat, kizárólagos | Támogatja a felhasználó által definiált útvonalakat (UDR-eket), a Azure NAT Gateway keresztüli kimenő forgalmat, és privát végpontokat hoz létre a tárolóalkalmazás-környezetben. A minimálisan szükséges alhálózatméret a ./27 |
| Csak használat (örökölt) | Fogyasztás | Nem támogatja az UDR-eket, a Azure NAT Gateway keresztüli kimenő forgalmat, a távoli átjárón keresztüli társviszony-létesítést vagy más egyéni kimenő forgalmat. A minimálisan szükséges alhálózatméret a ./23 |
További információ: Környezettípusok.
Virtuális hálózat típusa
Alapértelmezés szerint a Container Apps integrálva van a Azure hálózattal, amely nyilvánosan elérhető az interneten keresztül, és csak az internetről elérhető végpontokkal tud kommunikálni. A környezet létrehozásakor lehetősége van meglévő virtuális hálózatot is biztosítani. Miután létrehozott egy környezetet az alapértelmezett Azure hálózattal vagy egy meglévő virtuális hálózattal, nem módosíthatja a hálózat típusát.
Használjon meglévő virtuális hálózatot, ha Azure hálózati funkciókra van szüksége, például:
- Hálózati biztonsági csoportok.
- Azure Application Gateway integráció.
- Azure Firewall integráció.
- Szabályozhatja a tárolóalkalmazás kimenő forgalmát.
- Hozzáférés a virtuális hálózat privát végpontjai mögötti erőforrásokhoz.
Meglévő virtuális hálózat használata esetén olyan alhálózatot kell biztosítania, amely kizárólag az üzembe helyezett Container Apps-környezethez van hozzárendelve. Ez az alhálózat más szolgáltatások számára nem érhető el. További információ: Virtuális hálózat konfigurációja.
Akadálymentességi szint
Beállíthatja a környezet szintjén, hogy a tárolóalkalmazás engedélyezi-e a nyilvános bejövő forgalmat, vagy csak a virtuális hálózaton belülről érkező bejövő forgalmat.
| Akadálymentességi szint | Leírás |
|---|---|
| Külső | A tárolóalkalmazás elfogadhatja a nyilvános kéréseket. A külső környezetek virtuális IP-címmel vannak üzembe helyezve egy külső, nyilvános IP-címen. |
| Belső | A belső környezetek nem rendelkeznek nyilvános végpontokkal, és egy belső IP-címre leképezett virtuális IP-címmel vannak üzembe helyezve. A belső végpont egy Azure belső terheléselosztó. Az IP-címek a meglévő virtuális hálózat magánhálózati IP-címlistájából vannak kiállítva. |
Nyilvános hálózati hozzáférés
A nyilvános hálózati hozzáférés beállítása határozza meg, hogy a Container Apps-környezet elérhető-e a nyilvános internetről. Attól függ, hogy a környezet létrehozása után módosíthatja-e ezt a beállítást, a környezet virtuális IP-konfigurációjától függ. Az alábbi táblázat a nyilvános hálózati hozzáférés érvényes értékeit mutatja be a környezet virtuális IP-konfigurációjától függően.
| Virtuális IP-cím | Támogatott nyilvános hálózati hozzáférés | Leírás |
|---|---|---|
| Külső |
Enabled, Disabled |
A Container Apps-környezet egy internethez elérhető végponttal lett létrehozva. A nyilvános hálózati hozzáférés beállítása határozza meg, hogy a forgalom a nyilvános végponton keresztül vagy csak privát végpontokon keresztül legyen-e elfogadva. Ezt a beállítást a környezet létrehozása után módosíthatja. |
| Belső | Disabled |
A Container Apps-környezet internetkapcsolat nélküli végpont nélkül lett létrehozva. A nyilvános hálózati hozzáférés beállítását nem módosíthatja úgy, hogy fogadja az internetről érkező forgalmat. |
Ha privát végpontokat szeretne létrehozni a Container Apps-környezetben, be kell állítania a nyilvános hálózati hozzáférést.Disabled
Azure hálózati házirendeket a nyilvános hálózati hozzáférés jelzője támogatja.
Bejövő forgalom konfigurálása
A ingress szakaszban a következő beállításokat állíthatja be:
Engedélyezze vagy tiltsa le a tárolóalkalmazásához tartozó beérkező forgalmat.
Fogadja el a tárolóalkalmazás felé érkező forgalmat bárhonnan vagy csak ugyanabban a Container Apps-környezetben.
Határozza meg a forgalommegosztási szabályokat az alkalmazás verziói között. További információ: Forgalom felosztása.
A hálózatkezelési forgatókönyvekről további információt a Ingress a Azure Container Apps című témakörben talál.
Bejövő szolgáltatások
| Tulajdonság | Tanulja meg, hogyan lehet |
|---|---|
|
Belépés Ingress konfigurálása |
A külső és belső forgalom irányítása a tárolóalkalmazás számára. |
| Prémium hozzáférés | Konfigurálja a speciális ingressbeállításokat, például az ingress munkaterhelésiprofil-támogatását és a tétlenségi időkorlátot. |
| IP-korlátozások | Korlátozza a tárolóalkalmazásba irányuló bejövő forgalmat IP-cím alapján. |
| Ügyféltanúsítvány-hitelesítés | Konfigurálja az ügyféltanúsítvány-hitelesítést (más néven kölcsönös TLS-t vagy mTLS-t) a tárolóalkalmazáshoz. |
|
Forgalom felosztása Kék/zöld üzembe helyezés |
A bejövő forgalom felosztása a konténeralkalmazás aktív revíziói között. |
| Munkamenet-affinitás | Az ügyféltől érkező összes kérés átirányítása a tárolóalkalmazás ugyanazon replikájához. |
| Forrásközi erőforrás-megosztás (CORS) | Engedélyezze a CORS-t a tárolóalkalmazáshoz, amely lehetővé teszi, hogy a böngészőn keresztül érkező kérések olyan tartományba legyenek küldve, amely nem felel meg az oldal forrásának. |
| Útvonalalapú útválasztás | Szabályokkal irányíthatja a kéréseket a környezet különböző tárolóalkalmazásaihoz az egyes kérések elérési útjától függően. |
| Virtuális hálózatok | Konfigurálja a virtuális hálózatot a Container Apps-környezethez. |
| DNS | Konfigurálja a DNS-t a Container Apps-környezet virtuális hálózatához. |
| Privát végpont | Használjon privát végpontot a konténeralkalmazás biztonságos eléréséhez anélkül, hogy azt kitenne a nyilvános internetnek. |
| Integrálás az Azure Front Doorral | Csatlakozzon közvetlenül Azure Front Door egy tárolóalkalmazáshoz a nyilvános internet helyett egy privát hivatkozással. |
Kimenő szolgáltatások
| Tulajdonság | Tanulja meg, hogyan lehet |
|---|---|
| Az Azure Firewall használata | Az Azure Firewall használatával szabályozhatja a tárolóalkalmazás kimenő forgalmát. |
| Virtuális hálózatok | Konfigurálja a virtuális hálózatot a Container Apps-környezethez. |
| Meglévő virtuális hálózat védelme hálózati biztonsági csoporttal | A Container Apps-környezet virtuális hálózatának védelme hálózati biztonsági csoport használatával. |
| Azure NAT-átjáró integrációja | A Azure NAT Gateway használatával egyszerűsítheti a kimenő internetkapcsolatot a virtuális hálózaton egy számítási feladatprofil-környezetben. |
Útmutatók
| Cikk | Tanulja meg, hogyan lehet |
|---|---|
| Virtuális hálózat biztosítása Azure Container Apps-környezetnek | Használjon virtuális hálózatot. |
| Az Azure Container Apps védelme az Application Gateway Web Application Firewallja segítségével | Konfigurálja az Azure Web Application Firewallt az Azure Application Gatewayen. |
| A kimenő forgalom szabályozása az Azure Container Appsben felhasználó által definiált útvonalak használatával | Az UDR-ek engedélyezése. |
| Az mTLS használata az Azure Container Appsben | MTLS-alkalmazás létrehozása a Container Appsben. |
| Privát végpont használata Azure Container Apps környezettel | Használjon privát végpontot a konténeralkalmazás biztonságos eléréséhez anélkül, hogy azt kitenne a nyilvános internetnek. |
| Csatlakozzon közvetlenül Azure Front Door egy tárolóalkalmazáshoz a nyilvános internet helyett egy privát hivatkozással. |
Környezetbiztonság
A számítási feladatprofil-környezet biztonságossá tételét a bejövő és kimenő hálózati forgalom számára az alábbi műveletek végrehajtásával teheti meg:
Hozza létre a belső Container Apps-környezetet egy számítási feladatprofil-környezetben. A lépésekért tekintse meg a számítási feladatok profiljainak kezelését az Azure CLI-vel.
A Container Apps integrálása az Application Gatewayrel.
Konfiguráljon egy UDR-t az összes forgalom átirányításához Azure Firewall.
HTTP-peremhálózati proxy viselkedése
Azure Container Apps egy peremhálózati HTTP-proxyt használ, amely leállítja a TLS-t, és átirányítja a kéréseket az egyes alkalmazásokhoz.
A HTTP-alkalmazások skálázása a HTTP-kérések és kapcsolatok száma alapján. Az Envoy irányítja a fürtök belső forgalmát.
Az alsóbb rétegbeli kapcsolatok támogatják a HTTP/1.1 és a HTTP/2 protokollt. A megbízott automatikusan észleli és frissíti a kapcsolatokat, ha az ügyfélkapcsolat frissítésre van szükség.
A transport tulajdonságának beállításával felsőbb rétegbeli kapcsolatokat határozhat meg.
Portálfüggőségek
A Container Apps minden alkalmazásához két URL-cím található.
A Container Apps-futtatókörnyezet kezdetben létrehoz egy teljes tartománynevet (FQDN), amely az alkalmazás eléréséhez használható. A tárolóalkalmazás teljes tartománynevének lekéréséhez nyissa meg a tárolóalkalmazást a Azure portálon. Az Áttekintés panelen az FQDN az Alkalmazás URL-címe értéke.
A rendszer létrehoz egy második URL-címet is. Ez a hely hozzáférést biztosít a naplóstreamelési szolgáltatáshoz és a konzolhoz. Szükség esetén vegye fel https://azurecontainerapps.dev/ a tűzfal vagy proxy engedélyezési listájára.
Portok és IP-címek
A bejövő kapcsolatokhoz a következő portok érhetők el:
| Protokoll | Ports |
|---|---|
| HTTP/HTTPS | 80, 443 |
Az IP-címek típusai a következők:
| Típus | Leírás |
|---|---|
| Nyilvános bejövő IP-cím | Külső üzemelő példányok alkalmazásforgalmához, valamint belső és külső üzemelő példányok felügyeleti forgalmához használható. |
| Kimenő nyilvános IP-cím | A virtuális hálózatot elhagyó kimenő kapcsolatok forrás IP-címeként használatos. Ezek a kapcsolatok nincsenek VPN-en át irányítva. A kimenő IP-címek idővel változhatnak. A Container Apps-környezetből érkező kimenő forgalomhoz Azure NAT Gateway vagy más proxy használata csak munkaprofil-környezetben támogatott. |
| Belső terheléselosztó IP-címe | Csak belső környezetben létezik. |