Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Container Apps beroperasi dalam konteks environment, yang menjalankan jaringan virtualnya sendiri. Saat Anda membuat lingkungan, beberapa pertimbangan utama menginformasikan kemampuan jaringan aplikasi kontainer Anda: jenis lingkungan, jenis jaringan virtual, dan tingkat aksesibilitas.
Pemilihan lingkungan
Container Apps memiliki dua jenis lingkungan. Mereka berbagi banyak karakteristik jaringan yang sama, dengan beberapa perbedaan utama.
| Jenis lingkungan | Jenis paket yang didukung | Deskripsi |
|---|---|---|
| Profil beban kerja (default) | Konsumsi, Terdedikasi | Mendukung rute yang ditentukan pengguna (UDR), keluar melalui Azure NAT Gateway, dan membuat titik akhir privat di lingkungan aplikasi kontainer. Ukuran subnet minimum yang diperlukan adalah /27. |
| Hanya konsumsi (warisan) | Konsumsi | Tidak mendukung UDR, lalu lintas keluar melalui Azure NAT Gateway, peering via gateway jarak jauh, atau mekanisme egress kustom lainnya. Ukuran subnet minimum yang diperlukan adalah /23. |
Untuk informasi selengkapnya, lihat Jenis lingkungan.
Jenis jaringan virtual
Secara default, Container Apps terintegrasi dengan jaringan Azure, yang dapat diakses secara publik melalui internet dan hanya dapat berkomunikasi dengan titik akhir yang dapat diakses internet. Anda juga memiliki opsi untuk menggunakan jaringan virtual yang sudah ada saat membuat lingkungan Anda sebagai alternatif. Setelah Membuat lingkungan dengan jaringan Azure default atau jaringan virtual yang ada, Anda tidak dapat mengubah jenis jaringan.
Gunakan jaringan virtual yang ada saat Anda memerlukan fitur jaringan Azure seperti:
- Kelompok keamanan jaringan.
- Azure Application Gateway integrasi.
- Azure Firewall integrasi.
- Mengontrol lalu lintas keluar dari aplikasi kontainer Anda.
- Akses ke sumber daya di belakang titik akhir privat di jaringan virtual Anda.
Jika Anda menggunakan jaringan virtual yang ada, Anda perlu menyediakan subnet yang didedikasikan secara eksklusif untuk lingkungan Container Apps yang Anda sebarkan. Subnet ini tidak tersedia untuk layanan lain. Untuk informasi selengkapnya, lihat Konfigurasi jaringan virtual.
Tingkat aksesibilitas
Anda dapat mengonfigurasi apakah aplikasi kontainer Anda mengizinkan akses masuk publik atau akses masuk hanya dari dalam jaringan virtual Anda pada tingkat lingkungan.
| Tingkat aksesibilitas | Deskripsi |
|---|---|
| Eksternal | Aplikasi kontainer Anda dapat menerima permintaan publik. Lingkungan eksternal disebarkan dengan IP virtual pada alamat IP eksternal yang menghadap publik. |
| Internasional | Lingkungan internal tidak memiliki titik akhir publik dan disebarkan dengan IP virtual yang dipetakan ke alamat IP internal. Titik akhir internal adalah penyeimbang beban internal Azure. Alamat IP dikeluarkan dari daftar alamat IP privat jaringan virtual yang ada. |
Akses jaringan publik
Pengaturan untuk akses jaringan publik menentukan apakah lingkungan Container Apps Anda dapat diakses dari internet publik. Apakah Anda dapat mengubah pengaturan ini setelah membuat lingkungan Anda bergantung pada konfigurasi IP virtual lingkungan. Tabel berikut ini memperlihatkan nilai yang valid untuk akses jaringan publik, tergantung pada konfigurasi IP virtual lingkungan Anda.
| IP Virtual | Akses jaringan publik yang didukung | Deskripsi |
|---|---|---|
| Eksternal |
Enabled, Disabled |
Lingkungan Container Apps dibuat dengan titik akhir yang dapat diakses internet. Pengaturan untuk akses jaringan publik menentukan apakah lalu lintas diterima melalui titik akhir publik atau hanya melalui titik akhir privat. Anda dapat mengubah pengaturan ini setelah membuat lingkungan. |
| Internasional | Disabled |
Lingkungan Container Apps dibuat tanpa titik akhir yang dapat diakses internet. Anda tidak dapat mengubah pengaturan untuk akses jaringan publik untuk menerima lalu lintas dari internet. |
Untuk membuat titik akhir privat di lingkungan Container Apps, Anda harus mengatur akses jaringan publik ke Disabled.
Kebijakan jaringan Azure didukung dengan parameter akses jaringan publik.
Konfigurasi Ingress
Di bagian ingress , Anda dapat mengonfigurasi pengaturan berikut:
Aktifkan atau nonaktifkan ingress untuk aplikasi kontainer Anda.
Terima lalu lintas ke aplikasi kontainer Anda dari mana saja atau dari hanya dalam lingkungan Container Apps yang sama.
Tentukan aturan pemisahan lalu lintas antara revisi aplikasi Anda. Untuk informasi selengkapnya, lihat Pemisahan lalu lintas.
Untuk informasi selengkapnya tentang skenario jaringan, lihat Ingress di Azure Container Apps.
Fitur masuk
| Fitur | Pelajari cara |
|---|---|
|
Ingress Mengonfigurasi pengaturan masuk |
Mengendalikan lalu lintas eksternal dan internal menuju aplikasi kontainer Anda. |
| Akses Premium | Konfigurasikan pengaturan ingress tingkat lanjut, seperti dukungan profil beban kerja untuk ingress dan batas waktu diam. |
| Pembatasan IP | Batasi lalu lintas masuk ke aplikasi kontainer Anda dengan alamat IP. |
| Autentikasi sertifikat klien | Konfigurasikan autentikasi sertifikat klien (juga dikenal sebagai TLS bersama atau mTLS) untuk aplikasi kontainer Anda. |
|
Pemisahan lalu lintas Strategi Penyebaran Biru/Hijau |
Pisahkan lalu lintas masuk antara revisi aktif aplikasi kontainer Anda. |
| Afinitas sesi | Rutekan semua permintaan dari klien ke replika yang sama dari aplikasi kontainer Anda. |
| Berbagi sumber daya lintas asal (CORS) | Aktifkan CORS untuk aplikasi kontainer Anda, yang memungkinkan permintaan yang dibuat melalui browser ke domain yang tidak cocok dengan asal halaman. |
| Perutean berbasis jalur | Gunakan aturan untuk merutekan permintaan ke aplikasi kontainer yang berbeda di lingkungan Anda, tergantung pada jalur setiap permintaan. |
| Jaringan virtual | Konfigurasikan jaringan virtual untuk lingkungan Container Apps Anda. |
| DNS | Konfigurasikan DNS untuk jaringan virtual lingkungan Container Apps Anda. |
| Titik akhir privat | Gunakan titik akhir privat untuk mengakses aplikasi kontainer Anda dengan aman tanpa mengeksposnya ke internet publik. |
| Integrasikan dengan Azure Front Door | Sambungkan langsung dari Azure Front Door ke aplikasi kontainer dengan menggunakan tautan privat alih-alih internet publik. |
Fitur penyaluran
| Fitur | Pelajari cara |
|---|---|
| Menggunakan Azure Firewall | Gunakan Azure Firewall untuk mengontrol lalu lintas keluar dari aplikasi kontainer Anda. |
| Jaringan virtual | Konfigurasikan jaringan virtual untuk lingkungan Container Apps Anda. |
| Mengamankan jaringan virtual yang ada dengan kelompok keamanan jaringan | Bantu amankan jaringan virtual lingkungan Container Apps Anda dengan menggunakan grup keamanan jaringan. |
| integrasi gateway NAT Azure | Gunakan Azure NAT Gateway untuk menyederhanakan konektivitas internet keluar di jaringan virtual Anda di lingkungan profil beban kerja. |
Artikel panduan
| Artikel | Pelajari cara |
|---|---|
| Menyediakan jaringan virtual ke lingkungan Azure Container Apps | Gunakan jaringan virtual. |
| Lindungi Azure Container Apps menggunakan Web Application Firewall di Application Gateway | Konfigurasikan Azure Web Application Firewall di Azure Application Gateway. |
| Mengontrol lalu lintas keluar di Azure Container Apps dengan rute yang ditentukan pengguna | Aktifkan UDR. |
| Gunakan mTLS di Azure Container Apps | Buat aplikasi mTLS di Container Apps. |
| Gunakan titik akhir privat dengan lingkungan Azure Container Apps | Gunakan titik akhir privat untuk mengakses aplikasi kontainer Anda dengan aman tanpa mengeksposnya ke internet publik. |
| Buat tautan privat ke aplikasi kontainer dengan Azure Front Door | Sambungkan langsung dari Azure Front Door ke aplikasi kontainer dengan menggunakan tautan privat alih-alih internet publik. |
Keamanan lingkungan
Anda dapat membantu mengamankan lingkungan profil beban kerja Anda untuk lalu lintas jaringan masuk dan keluar dengan mengambil tindakan berikut:
Buat lingkungan internal Container Apps Anda dalam lingkungan profil beban kerja. Untuk langkah-langkahnya, lihat Mengelola profil beban kerja dengan Azure CLI.
Integrasikan Container Apps dengan Application Gateway.
Konfigurasikan UDR untuk merutekan semua lalu lintas melalui Azure Firewall.
Perilaku proksi tepi HTTP
Azure Container Apps menggunakan proksi HTTP tepi yang mengakhiri TLS dan merutekan permintaan ke setiap aplikasi.
Skala aplikasi HTTP berdasarkan jumlah permintaan dan koneksi HTTP. Envoy mengarahkan lalu lintas internal dalam kluster.
Koneksi hilir mendukung HTTP/1.1 dan HTTP/2. Envoy secara otomatis mendeteksi dan meningkatkan koneksi jika koneksi klien memerlukan peningkatan.
Anda menentukan koneksi upstream dengan menetapkan properti transport pada objek ingress.
Ketergantungan portal
Untuk setiap aplikasi di Container Apps, ada dua URL.
Runtime Container Apps pada awalnya menghasilkan nama domain yang memenuhi syarat penuh (FQDN) yang digunakan untuk mengakses aplikasi Anda. Untuk mendapatkan FQDN aplikasi kontainer Anda, buka aplikasi kontainer Anda di portal Azure. Pada panel Gambaran Umum , FQDN adalah nilai Url Aplikasi .
URL kedua juga dibuat untuk Anda. Lokasi ini memberikan akses ke layanan streaming log dan konsol. Jika perlu, tambahkan https://azurecontainerapps.dev/ ke daftar izinkan firewall atau proksi Anda.
Port dan alamat IP
Port berikut diekspos untuk koneksi masuk:
| Protokol | Ports |
|---|---|
| HTTP/HTTPS | 80, 443 |
Alamat IP memiliki jenis berikut:
| Tipe | Deskripsi |
|---|---|
| IP masuk publik | Digunakan untuk lalu lintas aplikasi dalam penyebaran eksternal, dan untuk lalu lintas manajemen dalam penyebaran internal dan eksternal. |
| IP publik ke luar | Digunakan sebagai IP "asal" untuk koneksi keluar dari jaringan virtual. Koneksi ini tidak dirutekan melalui VPN. IP keluar mungkin berubah dari waktu ke waktu. Menggunakan Azure NAT Gateway atau proksi lain untuk lalu lintas keluar dari lingkungan Container Apps hanya didukung dalam lingkungan profil beban kerja. |
| Penyeimbang beban internal IP | Hanya ada di lingkungan internal. |