Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Container Apps werkt in de context van een omgeving, dat een eigen virtueel netwerk uitvoert. Wanneer u een omgeving maakt, zijn enkele belangrijke overwegingen van belang voor de netwerkmogelijkheden van uw container-apps: omgevingstype, virtueel netwerktype en toegankelijkheidsniveau.
Omgeving selectie
Container Apps heeft twee omgevingstypen. Ze delen veel van dezelfde netwerkkenmerken, met enkele belangrijke verschillen.
| Omgevingstype | Ondersteunde abonnementstypen | Beschrijving |
|---|---|---|
| Workloadprofielen (standaard) | Consumptie, Toegewijd | Ondersteunt door de gebruiker gedefinieerde routes (UDR's), uitgaand verkeer via Azure NAT Gateway en het maken van privé-eindpunten in de container-app-omgeving. De minimale vereiste subnetgrootte is /27. |
| Alleen verbruik (verouderd systeem) | Verbruik | Ondersteunt geen UDR’s, uitgaand verkeer via Azure NAT Gateway, peering via een gateway op afstand of andere aangepaste uitgaande routes. De minimale vereiste subnetgrootte is /23. |
Zie Omgevingstypen voor meer informatie.
Type virtueel netwerk
Container Apps is standaard geïntegreerd met het Azure-netwerk, dat openbaar toegankelijk is via internet en alleen kan communiceren met eindpunten die toegankelijk zijn voor internet. U kunt ook een bestaand virtueel netwerk opgeven bij het maken van uw omgeving. Nadat u een omgeving hebt gemaakt met het standaardnetwerk Azure netwerk of een bestaand virtueel netwerk, kunt u het netwerktype niet wijzigen.
Gebruik een bestaand virtueel netwerk wanneer u Azure netwerkfuncties nodig hebt, zoals:
- Netwerkbeveiligingsgroepen.
- Integratie van Azure Application Gateway
- Integratie van Azure Firewall.
- Beheer het uitgaande verkeer van uw container-app.
- Toegang tot hulpbronnen achter privé-eindpunten in uw virtuele netwerk.
Als u een bestaand virtueel netwerk gebruikt, moet u een subnet opgeven dat exclusief is toegewezen aan de Container Apps-omgeving die u implementeert. Dit subnet is niet beschikbaar voor andere services. Zie De configuratie van het virtuele netwerk voor meer informatie.
Toegankelijkheidsniveau
U kunt op het niveau van de omgeving configureren of uw container-app openbare inkomende verbindingen toestaat, of alleen inkomende verbindingen vanuit uw virtuele netwerk.
| Toegankelijkheidsniveau | Beschrijving |
|---|---|
| Extern | Uw container-app kan openbare aanvragen accepteren. Externe omgevingen worden geïmplementeerd met een virtueel IP-adres op een extern, openbaar IP-adres. |
| Intern | Interne omgevingen hebben geen openbare eindpunten en worden geïmplementeerd met een virtueel IP-adres dat is toegewezen aan een intern IP-adres. Het interne eindpunt is een Azure interne load balancer. IP-adressen worden uitgegeven vanuit de lijst met privé-IP-adressen van het bestaande virtuele netwerk. |
Openbare netwerktoegang
De instelling voor openbare netwerktoegang bepaalt of uw Container Apps-omgeving toegankelijk is vanaf het openbare internet. Of u deze instelling kunt wijzigen nadat u uw omgeving hebt gemaakt, is afhankelijk van de virtuele IP-configuratie van de omgeving. In de volgende tabel ziet u geldige waarden voor openbare netwerktoegang, afhankelijk van de virtuele IP-configuratie van uw omgeving.
| Virtueel IP-adres | Ondersteunde openbare netwerktoegang | Beschrijving |
|---|---|---|
| Extern |
Enabled, Disabled |
De Container Apps-omgeving is gemaakt met een eindpunt dat toegankelijk is voor internet. De instelling voor openbare netwerktoegang bepaalt of verkeer wordt geaccepteerd via het openbare eindpunt of alleen via privé-eindpunten. U kunt deze instelling wijzigen nadat u de omgeving hebt gemaakt. |
| Intern | Disabled |
De Container Apps-omgeving is gemaakt zonder een eindpunt dat toegankelijk is voor internet. U kunt de instelling voor openbare netwerktoegang niet wijzigen om verkeer van internet te accepteren. |
Als u privé-eindpunten wilt maken in uw Container Apps-omgeving, moet u openbare netwerktoegang instellen op Disabled.
Azure netwerkbeleid wordt ondersteund met de vlag voor openbare netwerktoegang.
Toegangsconfiguratie
In de sectie Inkomend verkeer kunt u de volgende instellingen configureren:
Inkomend verkeer voor uw container-app in- of uitschakelen.
Accepteer verkeer naar uw container-app vanaf elke locatie of alleen vanuit dezelfde Container Apps-omgeving.
Definieer regels voor het splitsen van verkeer tussen revisies van uw toepassing. Zie Verkeer splitsen voor meer informatie.
Zie Ingress in Azure Container Apps voor meer informatie over netwerkscenario's.
Binnenkomende functies
| Eigenschap | Leer hoe je |
|---|---|
|
Ingang Ingress configureren |
Beheer de routering van extern en intern verkeer naar uw container-app. |
| Premium netwerktoegang | Configureer geavanceerde instellingen voor inkomend verkeer, zoals ondersteuning voor werkbelastingprofielen voor inkomend verkeer en time-out voor inactiviteit. |
| IP-beperkingen | Beperk inkomend verkeer naar uw container-app per IP-adres. |
| Verificatie van clientcertificaten | Configureer clientcertificaatverificatie (ook wel wederzijdse TLS of mTLS genoemd) voor uw container-app. |
|
Verkeer splitsen Blauw/groen-implementatie |
Verdeel inkomend verkeer tussen actieve revisies van uw containerapp. |
| Sessieaffiniteit | Routeer alle aanvragen van een client naar dezelfde replica van uw container-app. |
| Cross-Origin Resource Sharing (CORS) | Schakel CORS in voor uw container-app, waarmee aanvragen via de browser worden toegestaan naar een domein dat niet overeenkomt met de oorsprong van de pagina. |
| Routering op basis van pad | Gebruik regels om aanvragen naar verschillende container-apps in uw omgeving te routeren, afhankelijk van het pad van elke aanvraag. |
| Virtuele netwerken | Configureer het virtuele netwerk voor uw Container Apps-omgeving. |
| DNS | Configureer DNS voor het virtuele netwerk van uw Container Apps-omgeving. |
| Privé-eindpunt | Gebruik een privé-eindpunt om veilig toegang te krijgen tot uw container-app zonder deze beschikbaar te maken voor het openbare internet. |
| Integreren met Azure Front Door | Maak rechtstreeks vanuit Azure Front Door verbinding met een container-app met behulp van een privékoppeling in plaats van het openbare internet. |
Uitgaande functies
| Eigenschap | Leer hoe je |
|---|---|
| Azure Firewall gebruiken | Gebruik Azure Firewall om uitgaand verkeer van uw container-app te beheren. |
| Virtuele netwerken | Configureer het virtuele netwerk voor uw Container Apps-omgeving. |
| Een bestaand virtueel netwerk beveiligen met een netwerkbeveiligingsgroep | U kunt het virtuele netwerk van uw Container Apps-omgeving beveiligen met behulp van een netwerkbeveiligingsgroep. |
| Integratie van Azure NAT Gateway | Gebruik Azure NAT Gateway om de uitgaande internetverbinding in uw virtuele netwerk in een workloadprofielomgeving te vereenvoudigen. |
Instructieartikelen
| Artikel | Leer hoe je |
|---|---|
| Een virtueel netwerk bieden aan een Azure Container Apps-omgeving | Gebruik een virtueel netwerk. |
| Beveilig Azure Container Apps met Web Application Firewall op Application Gateway | Configureer Azure Web Application Firewall op Azure Application Gateway. |
| Besturingselement voor uitgaand verkeer in Azure Container Apps met door de gebruiker gedefinieerde routes | UDR's inschakelen. |
| MTLS gebruiken in Azure Container Apps | Bouw een mTLS-toepassing in Container Apps. |
| Een privé-eindpunt gebruiken met een Azure Container Apps-omgeving | Gebruik een privé-eindpunt om veilig toegang te krijgen tot uw container-app zonder deze beschikbaar te maken voor het openbare internet. |
| Maak een privékoppeling naar een container-app met Azure Front Door | Maak rechtstreeks vanuit Azure Front Door verbinding met een container-app met behulp van een privékoppeling in plaats van het openbare internet. |
Omgevingsbeveiliging
U kunt uw workloadprofielomgeving beveiligen voor inkomend en uitgaand netwerkverkeer door de volgende acties uit te voeren:
Maak uw interne Container Apps-omgeving aan in een omgeving met werkbelastingprofielen. Raadpleeg workloadprofielen beheren met de Azure CLI voor stappen.
Integreer Container Apps met Application Gateway.
Configureer een UDR om al het verkeer te routeren via Azure Firewall.
Gedrag van HTTP Edge-proxy
Azure Container Apps maakt gebruik van een Edge HTTP-proxy waarmee TLS wordt beëindigd en aanvragen naar elke toepassing worden gerouteerd.
HTTP-toepassingen worden geschaald op basis van het aantal HTTP-aanvragen en -verbindingen. Envoy routeert verkeer intern binnen clusters.
Downstreamverbindingen ondersteunen HTTP/1.1 en HTTP/2. Envoy detecteert en upgradet automatisch verbindingen als de clientverbinding een upgrade vereist.
U definieert upstream-verbindingen door de eigenschap transport in te stellen op het ingress-object.
Portal-afhankelijkheden
Voor elke app in Container Apps zijn er twee URL's.
De Container Apps-runtime genereert in eerste instantie een FQDN (Fully Qualified Domain Name) die wordt gebruikt voor toegang tot uw app. Als u de FQDN van uw container-app wilt ophalen, gaat u naar uw container-app in de Azure-portal. In het deelvenster Overzicht is de FQDN de waarde van de toepassings-URL .
Er wordt ook een tweede URL voor u gegenereerd. Deze locatie verleent toegang tot de service voor logboekstreaming en de console. Voeg indien nodig toe https://azurecontainerapps.dev/ aan de acceptatielijst van uw firewall of proxy.
Poorten en IP-adressen
De volgende poorten worden weergegeven voor binnenkomende verbindingen:
| protocol | Havens |
|---|---|
| HTTP/HTTPS | 80, 443 |
IP-adressen hebben de volgende typen:
| Typologie | Beschrijving |
|---|---|
| Openbaar inkomend IP-adres | Wordt gebruikt voor toepassingsverkeer in een externe implementatie en voor beheerverkeer in zowel interne als externe implementaties. |
| Uitgaand openbaar IP | Wordt gebruikt als het IP-adres 'van' voor uitgaande verbindingen die het virtuele netwerk verlaten. Deze verbindingen worden niet gerouteerd naar een VPN. Uitgaande IP-adressen kunnen na verloop van tijd veranderen. Het gebruik van Azure NAT Gateway of een andere proxy voor uitgaand verkeer vanuit een Container Apps-omgeving wordt alleen ondersteund in een workloadprofielomgeving. |
| IP van interne load balancer | Bestaat alleen in een interne omgeving. |