Skenario dan sumber daya jaringan virtual

  • Artikel

Azure Virtual Network menyediakan jaringan pribadi yang aman untuk sumber daya Azure dan lokal Anda. Dengan menyebarkan grup kontainer ke jaringan virtual Azure, kontainer Anda dapat berkomunikasi dengan aman dengan sumber daya lain di jaringan virtual.

Artikel ini menyediakan latar belakang tentang skenario, batasan, dan sumber daya jaringan virtual. Untuk contoh penyebaran menggunakan Azure CLI, lihat Menyebarkan instans kontainer ke jaringan virtual Azure.

Penting

Penyebaran grup kontainer ke jaringan virtual umumnya tersedia untuk kontainer Linux dan Windows, di sebagian besar wilayah tempat Azure Container Instances tersedia. Untuk detailnya, lihat Ketersediaan sumber daya dan batas kuota.

Skenario

Grup kontainer yang disebarkan ke jaringan virtual Azure memungkinkan skenario seperti:

  • Komunikasi langsung antara grup kontainer dalam subnet yang sama
  • Mengirim output beban kerja berbasis tugas dari instans kontainer ke database di jaringan virtual
  • Mengambil konten untuk instans kontainer dari titik akhir layanan di jaringan virtual
  • Mengaktifkan komunikasi kontainer dengan sumber daya lokal melalui gateway VPN atau ExpressRoute
  • Mengintegrasikan dengan Azure Firewall untuk mengidentifikasi lalu lintas keluar yang berasal dari kontainer
  • Mengatasi nama melalui Azure DNS internal untuk komunikasi dengan sumber daya Azure di jaringan virtual, seperti komputer virtual
  • Menggunakan aturan NSG untuk mengontrol akses kontainer ke subnet atau sumber daya jaringan lainnya

Skenario jaringan yang tidak didukung

  • Azure Load Balancer - Menempatkan Azure Load Balancer di depan instans kontainer dalam grup kontainer berjaringan tidak didukung
  • Peering jaringan virtual global - Peering global (menyambungkan jaringan virtual di seluruh wilayah Azure) tidak didukung
  • Label IP publik atau DNS - Grup kontainer yang disebarkan ke jaringan virtual saat ini tidak mendukung mengekspos kontainer langsung ke internet dengan alamat IP publik atau nama domain yang sepenuhnya memenuhi syarat
  • Identitas Terkelola dengan Jaringan Virtual di Wilayah Azure Government - Identitas Terkelola dengan kemampuan jaringan virtual tidak didukung di Wilayah Azure Government

Batasan lainnya

  • Untuk menyebarkan grup kontainer ke subnet, subnet tidak boleh berisi jenis sumber daya lainnya. Hapus semua sumber daya yang ada dari subnet yang ada sebelum menyebarkan grup kontainer ke dalamnya, atau buat subnet baru.
  • Untuk menyebarkan grup kontainer ke subnet, subnet dan grup kontainer harus berada di langganan Azure yang sama.
  • Anda tidak dapat mengaktifkan pemeriksaan liveness atau pemeriksaan kesiapan dalam grup kontainer yang disebarkan ke jaringan virtual.
  • Karena sumber daya jaringan tambahan yang terlibat, penyebaran ke jaringan virtual biasanya lebih lambat daripada menyebarkan instans kontainer standar.
  • Koneksi keluar ke port 25 dan 19390 tidak didukung saat ini. Port 19390 perlu dibuka di Firewall Anda untuk menyambungkan ke ACI dari portal Azure saat grup kontainer disebarkan di jaringan virtual.
  • Untuk koneksi masuk, firewall juga harus mengizinkan semua alamat ip dalam jaringan virtual.
  • Jika Anda menyambungkan grup kontainer ke Akun Azure Storage, Anda harus menambahkan titik akhir layanan ke sumber daya tersebut.
  • Alamat IPv6 tidak didukung untuk saat ini.
  • Bergantung pada jenis langganan Anda, port tertentu mungkin akan diblokir.

Sumber daya jaringan yang diperlukan

Ada tiga sumber daya Azure Virtual Network yang diperlukan untuk menyebarkan grup kontainer ke jaringan virtual: jaringan virtual itu sendiri, subnet yang didelegasikan dalam jaringan virtual, dan profil jaringan.

Jaringan virtual

Jaringan virtual mendefinisikan ruang alamat tempat Anda membuat satu atau beberapa subnet. Anda kemudian menyebarkan sumber daya Azure (seperti grup kontainer) ke subnet di jaringan virtual Anda.

Subnet (didelegasikan)

Subnet membagi jaringan virtual ke ruang alamat terpisah yang dapat digunakan oleh sumber daya Azure yang Anda tempatkan di dalamnya. Anda membuat satu atau beberapa subnet dalam jaringan virtual.

Subnet yang Anda gunakan untuk grup kontainer mungkin hanya berisi grup kontainer. Saat pertama kali Anda menyebarkan grup kontainer ke subnet, Azure akan mendelegasikan subnet tersebut ke Azure Container Instances. Setelah didelegasikan, subnet hanya dapat digunakan untuk grup kontainer. Jika Anda mencoba menyebarkan sumber daya selain grup kontainer ke subnet yang didelegasikan, operasi akan gagal.

Profil jaringan

Penting

Profil jaringan telah dihentikan pada versi API 2021-07-01. Jika Anda menggunakan versi ini atau yang lebih baru, abaikan langkah dan tindakan apa pun yang terkait dengan profil jaringan.

Profil jaringan adalah templat konfigurasi jaringan untuk sumber daya Azure. Ini menentukan properti jaringan tertentu untuk sumber daya, misalnya, subnet yang harus disebarkan. Saat Anda pertama kali menggunakan perintah az container create untuk menyebarkan grup kontainer ke subnet (dan dengan demikian jaringan virtual), Azure membuat profil jaringan untuk Anda. Anda lalu dapat menggunakan profil jaringan tersebut untuk penyebaran mendatang ke subnet.

Untuk menggunakan templat Resource Manager, file YAML, atau metode terprogram untuk menyebarkan grup kontainer ke subnet, Anda perlu memberikan ID sumber daya Resource Manager lengkap dari profil jaringan. Anda dapat menggunakan profil yang dibuat sebelumnya menggunakan perintah az container create, atau membuat profil menggunakan templat Resource Manager (lihat contoh templat dan referensi). Untuk mendapatkan ID profil yang dibuat sebelumnya, gunakan perintah az network profile list.

Dalam diagram berikut, beberapa grup kontainer telah disebarkan ke subnet yang didelegasikan ke Azure Container Instances. Setelah menyebarkan satu grup kontainer ke subnet, Anda dapat menyebarkan grup kontainer tambahan dengan menentukan profil jaringan yang sama.

Container groups within a virtual network

Langkah berikutnya