Virtuális hálózat forgatókönyvei és erőforrásai

  • Cikk

Az Azure Virtual Network biztonságos, privát hálózatkezelést biztosít az Azure- és a helyszíni erőforrások számára. A tárolócsoportok Azure-beli virtuális hálózaton való üzembe helyezésével a tárolók biztonságosan kommunikálhatnak a virtuális hálózat többi erőforrásával.

Ez a cikk a virtuális hálózati forgatókönyvekről, korlátozásokról és erőforrásokról nyújt hátteret. Az Azure CLI használatával történő üzembe helyezési példákért lásd : Tárolópéldányok üzembe helyezése Azure-beli virtuális hálózaton.

Fontos

A tárolócsoportok virtuális hálózaton való üzembe helyezése általában Linux- és Windows-tárolók esetén érhető el, a legtöbb régióban, ahol az Azure Container Instances elérhető. További részletekért tekintse meg az erőforrás rendelkezésre állását és a kvótakorlátokat.

Forgatókönyvek

Az Azure-beli virtuális hálózaton üzembe helyezett tárolócsoportok a következő forgatókönyveket teszik lehetővé:

  • Közvetlen kommunikáció a tárolócsoportok között ugyanabban az alhálózatban
  • Feladatalapú számítási feladat kimenetének küldése tárolópéldányokból egy virtuális hálózat adatbázisába
  • Tárolópéldányok tartalmának lekérése a virtuális hálózat szolgáltatásvégpontjáról
  • Tárolók közötti kommunikáció engedélyezése helyszíni erőforrásokkal VPN-átjárón vagy ExpressRoute-on keresztül
  • Integrálás az Azure Firewalllal a tárolóból származó kimenő forgalom azonosításához
  • Nevek feloldása a belső Azure DNS-en keresztül a virtuális hálózaton lévő Azure-erőforrásokkal, például virtuális gépekkel való kommunikációhoz
  • NSG-szabályok használata az alhálózatokhoz vagy más hálózati erőforrásokhoz való tárolóhozzáférés szabályozásához

Nem támogatott hálózatkezelési forgatókönyvek

  • Azure Load Balancer – Az Azure Load Balancer hálózati tárolócsoport tárolópéldányai elé helyezése nem támogatott
  • Globális virtuális hálózatok közötti társviszony-létesítés – A globális társviszony-létesítés (virtuális hálózatok Azure-régiók közötti összekapcsolása) nem támogatott
  • Nyilvános IP-cím vagy DNS-címke – A virtuális hálózaton üzembe helyezett tárolócsoportok jelenleg nem támogatják a tárolók nyilvános IP-címmel vagy teljes tartománynévvel való közvetlen internetes közzétételét
  • Felügyelt identitás virtuális hálózattal az Azure Government-régiókban – A virtuális hálózatkezelési képességekkel rendelkező felügyelt identitások nem támogatottak az Azure Government-régiókban

Egyéb korlátozások

  • Ha tárolócsoportokat szeretne üzembe helyezni egy alhálózaton, az alhálózat nem tartalmazhat más erőforrástípusokat. Távolítson el minden meglévő erőforrást a meglévő alhálózatokról, mielőtt tárolócsoportokat helyezne rajtuk üzembe, vagy hozzon létre egy új alhálózatot.
  • A tárolócsoportok alhálózaton való üzembe helyezéséhez az alhálózatnak és a tárolócsoportnak ugyanabban az Azure-előfizetésben kell lennie.
  • A virtuális hálózaton üzembe helyezett tárolócsoportban nem engedélyezheti az élőségi mintavételt vagy a készültségi mintavételt .
  • A további hálózati erőforrások miatt a virtuális hálózatba történő üzembe helyezés általában lassabb, mint egy szabványos tárolópéldány üzembe helyezése.
  • A 25-ös és 19390-s portra irányuló kimenő kapcsolatok jelenleg nem támogatottak. Az 19390-es portot meg kell nyitni a tűzfalon az ACI-hez való csatlakozáshoz az Azure Portalról, amikor tárolócsoportokat helyeznek üzembe a virtuális hálózatokban.
  • Bejövő kapcsolatok esetén a tűzfalnak engedélyeznie kell a virtuális hálózaton belüli összes IP-címet is.
  • Ha egy Azure Storage-fiókhoz csatlakoztatja a tárolócsoportot, hozzá kell adnia egy szolgáltatásvégpontot az erőforráshoz.
  • Az IPv6-címek jelenleg nem támogatottak.
  • Az előfizetés típusától függően előfordulhat, hogy bizonyos portok le lesznek tiltva.

Szükséges hálózati erőforrások

A tárolócsoportok virtuális hálózaton való üzembe helyezéséhez három Azure-beli virtuális hálózati erőforrás szükséges: maga a virtuális hálózat, egy delegált alhálózat a virtuális hálózaton belül és egy hálózati profil.

Virtuális hálózat

A virtuális hálózatok határozzák meg azt a címtartományt, amelyben egy vagy több alhálózatot hoz létre. Ezután Azure-erőforrásokat (például tárolócsoportokat) helyez üzembe a virtuális hálózaton lévő alhálózatokban.

Alhálózat (delegált)

Az alhálózat külön címtartományokra bontja a virtuális hálózatot, amelyeket azok az Azure-erőforrások használhatnak, amelyeket beléjük helyez. Egy virtuális hálózaton belül egy vagy több alhálózatot is létrehozhat.

A tárolócsoportokhoz használt alhálózat csak tárolócsoportokat tartalmazhat. Amikor először helyez üzembe egy tárolócsoportot egy alhálózatba, az Azure azt az alhálózatot az Azure Container Instancesbe delegálja. A delegálás után az alhálózat csak tárolócsoportokhoz használható. Ha a tárolócsoportoktól eltérő erőforrásokat kísérel meg üzembe helyezni egy delegált alhálózaton, a művelet sikertelen lesz.

Hálózati profil

Fontos

A hálózati profilok az API-verziótól 2021-07-01 lettek kivonva. Ha ezt vagy egy újabb verziót használja, hagyja figyelmen kívül a hálózati profilokkal kapcsolatos lépéseket és műveleteket.

A hálózati profilok az Azure-erőforrások hálózati konfigurációs sablonjai. Megadja az erőforrás bizonyos hálózati tulajdonságait, például azt az alhálózatot, amelyben üzembe kell helyezni. Amikor először az az container create paranccsal helyez üzembe egy tárolócsoportot egy alhálózaton (és így egy virtuális hálózaton), az Azure létrehoz egy hálózati profilt. Ezután ezt a hálózati profilt használhatja az alhálózaton való jövőbeli üzembe helyezésekhez.

Ha Resource Manager-sablont, YAML-fájlt vagy programozott módszert szeretne használni egy tárolócsoport alhálózaton való üzembe helyezéséhez, meg kell adnia egy hálózati profil teljes Resource Manager-erőforrás-azonosítóját. Használhat egy korábban létrehozott profilt az az container create használatával, vagy létrehozhat egy profilt Resource Manager-sablonnal (lásd a sablon példáját és hivatkozását). A korábban létrehozott profil azonosítójának lekéréséhez használja az az network profile list parancsot.

Az alábbi ábrán több tárolócsoport is üzembe lett helyezve az Azure Container Instances szolgáltatásba delegált alhálózaton. Miután üzembe helyezett egy tárolócsoportot egy alhálózaton, további tárolócsoportokat is üzembe helyezhet rajta ugyanazzal a hálózati profillal.

Container groups within a virtual network

Következő lépések

  • Az Azure CLI-vel kapcsolatos üzembehelyezési példákért lásd : Tárolópéldányok üzembe helyezése Azure-beli virtuális hálózaton.
  • Ha új virtuális hálózatot, alhálózatot, hálózati profilt és tárolócsoportot szeretne üzembe helyezni Resource Manager-sablonnal, olvassa el az Azure-tárolócsoport létrehozása virtuális hálózattal című témakört.
  • Ha az Azure Portal használatával hoz létre tárolópéldányt, a Hálózat lap új vagy exsting virtuális hálózatának beállításait is megadhatja.