가상 네트워크는 Azure Container Apps 환경 주위에 보안 경계를 만듭니다. 기본적으로 환경은 자동으로 생성되는 가상 네트워크를 사용하여 만들어집니다. 그러나 기존 가상 네트워크를 사용하면 Azure Application Gateway 통합, 네트워크 보안 그룹 및 프라이빗 엔드포인트 뒤의 리소스와의 통신과 같은 더 Azure 네트워킹 기능을 제공합니다. 이 구성은 공용 인터넷에서 중요 업무용 내부 애플리케이션을 격리해야 하는 엔터프라이즈 고객에게 중요합니다.
가상 네트워크를 만들 때는 다음과 같은 상황에 유의하세요.
컨테이너 앱이 모든 외부 액세스를 제한하도록 하려면 내부 Container Apps 환경을 만듭니다.
사용자 고유의 가상 네트워크를 사용하는 경우 컨테이너 앱 전용 서브넷을 제공해야 합니다. 이 서브넷은 다른 서비스에서 사용할 수 없습니다.
네트워크 주소는 환경이 만들어질 때 정의하는 서브넷 범위에서 할당됩니다.
Container Apps 환경에서 사용하는 서브넷 범위를 정의할 수 있습니다.
환경을 내부로 배포하여 환경에 대한 인바운드 요청을 가상 네트워크로만 제한할 수 있습니다.
비고
고유한 가상 네트워크를 제공하면 관리되는 리소스가 추가 생성됩니다. 이러한 리소스에는 관련 속도로 비용이 발생합니다.
컨테이너 앱을 중심으로 네트워크를 설계하면 가상 네트워크 계획을 참조하세요.
비고
Container Apps 환경에서 가상 네트워크를 사용하는 경우 다른 리소스 그룹 또는 구독 간에 가상 네트워크를 이동할 수 없습니다.
서브넷
가상 네트워크 통합은 전용 서브넷에 따라 다릅니다. 서브넷의 IP 주소 할당 및 지원되는 서브넷 크기는 Container Apps에서 사용하는 계획에 따라 달라집니다.
서브넷 크기를 신중하게 선택합니다. Container Apps 환경을 만든 후에는 서브넷 크기를 수정할 수 없습니다.
각 환경 유형에는 고유한 서브넷 요구 사항이 있습니다.
가상 네트워크 통합에 필요한 최소 서브넷 크기는
/27.당신은 서브넷을
Microsoft.App/environments에 위임해야 합니다.외부 수신이 있는 외부 환경을 사용하는 경우 인바운드 트래픽은 서브넷이 아닌 인프라의 공용 IP를 통해 라우팅됩니다.
Container Apps는 서브넷과 통합을 위해 IP 주소 12개를 자동으로 예약합니다. 인프라 통합에 필요한 IP 주소 수는 환경의 규모 요구에 따라 달라지지 않습니다.
사용 중인 워크로드 프로필 유형에 따라 다음 규칙에 따라 추가 IP 주소가 할당됩니다.
전용 워크로드 프로필: 컨테이너 앱을 스케일 아웃하면 노드마다 IP 주소 하나가 있습니다.
사용량 워크로드 프로필: 각 IP 주소는 여러 복제본 간에 공유할 수 있습니다. 앱에 필요한 IP 주소 수를 계획하는 경우 복제본 10개당 하나의 IP 주소를 계획합니다.
단일 리비전 모드에서 리비전을 변경하면 무중단 배포를 지원하기 위해 필요한 주소 공간이 짧은 시간 동안 두 배로 늘어납니다. 이 두 배는 특정 서브넷 크기에 대해 사용 가능한 실제 지원 복제본 또는 노드에 영향을 줍니다. 다음 표에서는 CIDR 블록당 사용 가능한 최대 주소 수와 수평 스케일링에 대한 영향을 보여줍니다.
서브넷 크기 사용 가능한 IP 주소1 최대 노드(전용 워크로드 프로필)2 최대 복제본 수 (사용량 워크로드 프로필)2 /23 498 249 2,490 /24 242 121 1,210 /25 114 57 570 /26 50 이십오 (25) 250 /27 18 9 90 1 사용 가능한 IP 주소 수는 서브넷의 크기에서 Azure Container Apps 인프라에 필요한 IP 주소 14개(서브넷이 예약하는 IP 주소 5개 포함)를 뺀 값입니다.
2 이 숫자는 단일 수정 모드의 앱을 고려합니다.
서브넷 주소 범위에 대한 제한 사항
서브넷 주소 범위는 Azure Kubernetes Service에서 예약하는 다음 범위와 겹칠 수 없습니다.
- 169.254.0.0/16
- 172.30.0.0/16
- 172.31.0.0/16
- 192.0.2.0/24
또한 워크로드 프로필 환경은 다음 주소를 예약합니다.
- 100.100.0.0/17
- 100.100.128.0/19
- 100.100.160.0/19
- 100.100.192.0/19
CLI를 사용하는 서브넷 구성
Container Apps 환경이 생성되면 단일 서브넷의 리소스 ID를 제공합니다.
Azure CLI 사용하는 경우 서브넷 리소스 ID를 정의하는 매개 변수는 infrastructure-subnet-resource-id. 서브넷은 인프라 구성 요소 및 사용자 앱 컨테이너를 호스트합니다.
소비 전용 환경에서 Azure CLI 사용하고 platformReservedCidr 범위가 정의된 경우 두 서브넷이 platformReservedCidr 정의된 IP 범위와 겹쳐서는 안 됩니다.
Azure NAT 게이트웨이 통합
Azure NAT 게이트웨이 사용하여 워크로드 프로필 환경에서 가상 네트워크의 아웃바운드 인터넷 트래픽에 대한 연결을 간소화할 수 있습니다.
서브넷에서 NAT(네트워크 주소 변환) 게이트웨이를 구성하는 경우 NAT 게이트웨이는 사용자 환경에 대한 고정 공용 IP 주소를 제공합니다. 컨테이너 앱의 모든 아웃바운드 트래픽은 NAT 게이트웨이의 고정 공용 IP 주소를 통해 라우팅됩니다.
비고
Azure NAT 게이트웨이 StandardV2 SKU는 현재 통합에 지원되지 않습니다.
관리형 리소스
내부 또는 외부 환경을 자체 네트워크에 배포하면 환경이 호스트되는 Azure 구독에 새 리소스 그룹이 생성됩니다. 이 리소스 그룹에는 Azure Container Apps 플랫폼에서 관리하는 인프라 구성 요소가 포함되어 있습니다. 이 그룹이나 리소스 그룹 자체의 서비스를 수정하지 마세요.
비고
Container Apps 환경에 할당된 사용자 정의 태그는 리소스 그룹 자체를 포함하여 리소스 그룹 내의 모든 리소스에 복제됩니다.
환경이 호스트되는 Azure 구독에서 만든 리소스 그룹의 이름은 기본적으로 ME_ 접두사로 지정됩니다. Container Apps 환경을 만들 때 리소스 그룹 이름을 사용자 지정할 수 있습니다.
외부 환경의 경우 이 리소스 그룹에는 외부 환경과 부하 분산 장치에 대한 인바운드 연결에 특별히 사용되는 공용 IP 주소가 포함되어 있습니다. 내부 환경의 경우 리소스 그룹에는 부하 분산 장치만 포함됩니다.
표준 Container Apps 청구 외에도 다음 요금이 청구됩니다.
내부 또는 외부 환경을 사용하는 경우 송신을 위한 표준 고정 공용 IP 하나와 외부 환경을 사용하는 경우 수신을 위한 표준 고정 공용 IP 1개. 원본 NAT(SNAT) 문제로 인해 송신을 위해 공용 IP가 더 필요한 경우 지원 티켓을 열어 재정의를 요청합니다.
표준 부하 분산 장치 하나
처리된 데이터 비용(기가바이트)에는 관리 작업에 대한 수신 및 송신이 모두 포함됩니다.