Informazioni su Istanze di Azure Container
I contenitori si stanno affermando come soluzione preferita per la creazione di pacchetti, la distribuzione e la gestione di applicazioni cloud. Istanze di Azure Container rappresenta il modo più semplice e rapido per eseguire un contenitore in Azure, senza dover gestire macchine virtuali o adottare un servizio di livello superiore.
ACI supporta contenitori regolari, riservati e spot . L'ACI può essere usato come istanza singola o multiistanza tramite NGroups oppure è possibile ottenere funzionalità di orchestrazione distribuendo pod nel cluster servizio Azure Kubernetes (AKS) tramite nodi virtuali in ACI.
Tempi di avvio rapidi.
I contenitori offrono notevoli vantaggi in termini di avvio rispetto alle macchine virtuali. Istanze di Azure Container può avviare i contenitori in Azure in pochi secondi, senza provisioning e gestione delle macchine virtuali.
Portare immagini di contenitori Linux o Windows dall'hub Docker, da un registro contenitori di Azure privato o da un altro registro Docker basato sul cloud. Per informazioni sui registri supportati da ACI, vedere le domande frequenti. Istanze di Azure Container memorizza nella cache diverse immagini del sistema operativo di base comuni, accelerando la distribuzione di immagini delle applicazioni personalizzate.
Accesso ai contenitori
Istanze di Azure Container consente di esporre i gruppi di contenitori direttamente in Internet con un indirizzo IP e un nome di dominio completo (FQDN). Quando si crea un'istanza di contenitore, è possibile specificare un'etichetta personalizzata per il nome DNS, in modo che l'applicazione sia raggiungibile tramite etichettapersonalizzata.areaazure.contenitoreazure.io.
Istanze di Azure Container supporta anche l'esecuzione di un comando in un contenitore in esecuzione fornendo una shell interattiva per semplificare lo sviluppo e la risoluzione dei problemi delle applicazioni. L'accesso viene eseguito tramite HTTPS, usando TLS per proteggere le connessioni client.
Importante
Istanze di Azure Container richiede che tutte le connessioni sicure da server e applicazioni usino TLS 1.2. Il supporto per TLS 1.0 e 1.1 è stato ritirato.
Distribuzioni conformi
Sicurezza a livello di hypervisor
In passato, i contenitori offrivano l'isolamento di dipendenze delle applicazioni e la governance delle risorse, ma non erano considerati sufficientemente protetti per l'uso di multi-tenant ostili. Istanze di Azure Container garantisce l'isolamento dell'applicazione in un contenitore allo stesso modo che in una macchina virtuale.
Dati cliente
Il servizio Istanze di Azure Container non archivia i dati dei clienti. Tuttavia, archivia gli ID sottoscrizione della sottoscrizione di Azure usata per creare risorse. L'archiviazione degli ID sottoscrizione è necessaria per assicurarsi che i gruppi di contenitori continuino a essere in esecuzione come previsto.
Dimensioni personalizzate
I contenitori sono in genere ottimizzati per l'esecuzione di un'applicazione singola, ma le esigenze specifiche di tale applicazione possono variare notevolmente. Istanze di Azure Container assicura un utilizzo ottimale grazie alla possibilità di specificare con esattezza la quantità di memoria e di core della CPU. Si pagherà per le risorse necessarie, fatturate al secondo, in modo da ottimizzare la spesa in base alle effettive esigenze.
Per i processi a elevato utilizzo di calcolo, ad esempio l'apprendimento automatico, Istanze di Azure Container può pianificare contenitori Linux per l'uso di risorse GPU NVIDIA Tesla (anteprima).
Archiviazione permanente
Per recuperare e rendere persistente lo stato con Istanze di Azure Container, è disponibile il montaggio diretto di condivisioni di File di Azure, supportato da Archiviazione di Azure.
Contenitori Linux e Windows
Istanze di Azure Container consente di pianificare contenitori sia Windows che Linux con la stessa API. È possibile specificare il tipo di sistema operativo che si preferisce quando si creano i gruppi di contenitori.
Alcune funzionalità sono attualmente limitate ai contenitori Linux:
- Più contenitori per gruppo di contenitori
- Montaggio di volumi (File di Azure, emptyDir, GitRepo, segreto)
- Metriche di utilizzo delle risorse con Monitoraggio di Azure
- Risorse GPU (anteprima)
Per le distribuzioni di contenitori di Windows, usare le immagini basate sulle comuni immagini di base di Windows.
Eseguire più contenitori in un singolo gruppo di contenitori
Istanze di Azure Container supporta la pianificazione di più contenitori all'interno di un singolo gruppo di contenitori che condividono lo stesso host contenitore, rete locale, archiviazione e ciclo di vita. Questo approccio consente di combinare il contenitore dell'applicazione principale con altri contenitori di ruoli di supporto, ad esempio file collaterali di registrazione.
Distribuzione della rete virtuale
Istanze di Azure Container consente la distribuzione di istanze di contenitori in una rete virtuale di Azure. Quando vengono distribuite in una subnet all'interno della rete virtuale, le istanze di contenitori possono comunicare in modo sicuro con altre risorse della rete virtuale, incluse quelle locali (tramite gateway VPN o ExpressRoute).
Supporto delle zone di disponibilità
Istanze di Azure Container supporta le distribuzioni di gruppi di contenitori di zona, ovvero l'istanza viene aggiunta a una zona di disponibilità specifica e selezionata automaticamente. È possibile specificare la zona di disponibilità per ogni gruppo di contenitori.
Identità gestita
Istanze di Azure Container supporta l'uso dell'identità gestita con il gruppo di contenitori, che consente al gruppo di contenitori di eseguire l'autenticazione a qualsiasi servizio che supporti l'autenticazione di Microsoft Entra senza gestire le credenziali nel codice del contenitore.
Pull dell'immagine autenticata con identità gestita
Istanze di Azure Container possibile eseguire l'autenticazione con un'istanza di Registro Azure Container (ACR) usando un'identità gestita, consentendo di eseguire il pull dell'immagine senza dover includere un nome utente e una password direttamente nella definizione del gruppo di contenitori.
Distribuzioni di contenitori riservati
I contenitori riservati in ACI consentono di eseguire contenitori in un ambiente di esecuzione attendibile che fornisce protezioni di riservatezza e integrità basate su hardware per i carichi di lavoro dei contenitori. I contenitori riservati in ACI possono proteggere i dati in uso e crittografare i dati elaborati in memoria. I contenitori riservati in ACI sono supportati come SKU che è possibile selezionare durante la distribuzione del carico di lavoro. Per altre informazioni, vedere gruppi di contenitori riservati.
Distribuzione di contenitori spot
I contenitori Spot di ACI consentono ai clienti di eseguire carichi di lavoro in contenitori in capacità di Azure inutilizzata a prezzi scontati fino al 70% rispetto ai contenitori ACI con priorità regolare. I contenitori spot ACI possono essere evitati quando Azure rileva una carenza di capacità in eccesso e sono adatti per i carichi di lavoro senza requisiti di disponibilità rigorosi. Ai clienti viene fatturato per l'utilizzo di memoria e core al secondo. Per usare i contenitori spot ACI, è possibile distribuire il carico di lavoro con un flag di proprietà specifico che indica che si vogliono usare i gruppi di contenitori Spot e sfruttare il modello di prezzi scontato. Per altre informazioni, vedere Gruppi di contenitori spot.
NGroup
NGroups offre funzionalità avanzate per la gestione di più gruppi di contenitori correlati. NGroups supporta la gestione di un numero specificato di gruppi di contenitori, l'esecuzione di aggiornamenti in sequenza, la distribuzione in più zone di disponibilità, l'uso di servizi di bilanciamento del carico per l'ingresso e la distribuzione di contenitori riservati. Per altre informazioni, vedere Informazioni sui gruppi di sicurezza di rete.
Nodi virtuali in Istanze di Azure Container
I nodi virtuali in Istanze di Azure Container consentono di distribuire pod nel cluster servizio Azure Kubernetes (AKS) eseguito come gruppi di contenitori in ACI. In questo modo è possibile orchestrare i gruppi di contenitori usando costrutti Kubernetes familiari. Poiché i nodi virtuali sono supportati dall'infrastruttura serverless di ACI, è possibile aumentare rapidamente il carico di lavoro senza dover attendere che il ridimensionamento automatico del cluster Kubernetes distribuisca i nodi di calcolo delle macchine virtuali.
Considerazioni
Le credenziali dell'utente passate tramite l'interfaccia della riga di comando vengono archiviate come testo normale nel back-end. L'archiviazione delle credenziali in testo normale è un rischio per la sicurezza; Microsoft consiglia ai clienti di archiviare le credenziali utente nelle variabili di ambiente dell'interfaccia della riga di comando per assicurarsi che vengano crittografate o trasformate quando archiviate nel back-end.
Se il gruppo di contenitori smette di funzionare, è consigliabile provare a riavviare il contenitore, controllare il codice dell'applicazione o la configurazione di rete locale prima di aprire una richiesta di supporto .
Le immagini del contenitore non possono essere maggiori di 15 GB, le immagini sopra queste dimensioni possono causare un comportamento imprevisto: Quanto grande può essere l'immagine del contenitore?
Alcune immagini di base di Windows Server non sono più compatibili con Istanze di Azure Container:
Quali immagini del sistema operativo di base sono supportate?
Se un gruppo di contenitori viene riavviato, l'indirizzo IP del gruppo di contenitori può cambiare. È consigliabile usare un indirizzo IP hardcoded nello scenario. Se è necessario un indirizzo IP pubblico statico, usare il gateway applicazione: indirizzo IP statico per il gruppo di contenitori - Istanze di Azure Container | Microsoft Learn
Sono disponibili porte riservate per la funzionalità del servizio. È consigliabile non usare queste porte perché ciò comporterà un comportamento imprevisto: Il servizio ACI riserva le porte per la funzionalità del servizio?
Se si verificano problemi durante la distribuzione o l'esecuzione del contenitore, controllare prima di tutto la guida alla risoluzione dei problemi per individuare errori e problemi comuni
I gruppi di contenitori possono essere riavviati a causa di eventi di manutenzione della piattaforma. Questi eventi di manutenzione vengono eseguiti per garantire il miglioramento continuo dell'infrastruttura sottostante: Il contenitore ha avuto un riavvio isolato senza input esplicito dell'utente
ACI non consente operazioni con contenitori con privilegi. È consigliabile non dipendere dall'uso della directory radice per lo scenario in uso.
Passaggi successivi
Provare a distribuire un contenitore in Azure con un comando singolo, seguendo le indicazioni della guida introduttiva: