Delen via

Containerinstanties implementeren in een virtueel Azure-netwerk

  • Artikel

Azure Virtual Network biedt beveiligde, privénetwerken voor uw Azure- en on-premises resources. Door containergroepen te implementeren in een virtueel Azure-netwerk, kunnen uw containers veilig communiceren met andere resources in het virtuele netwerk.

In dit artikel wordt beschreven hoe u de opdracht az container create in de Azure CLI gebruikt om containergroepen te implementeren in een nieuw virtueel netwerk of een bestaand virtueel netwerk.

Belangrijk

  • Subnetten moeten worden gedelegeerd voordat u een virtueel netwerk gebruikt
  • Voordat u containergroepen in virtuele netwerken implementeert, raden we u aan eerst de beperking te controleren. Zie Scenario's en resources voor virtuele netwerken voor Azure Container Instances voor netwerkscenario's en -beperkingen.
  • Implementatie van containergroepen in een virtueel netwerk is algemeen beschikbaar voor Linux- en Windows-containers, in de meeste regio's waar Azure Container Instances beschikbaar is. Zie beschikbare regio's voor meer informatie.

Belangrijk

Netwerkprofielen zijn buiten gebruik gesteld vanaf de 2021-07-01 API-versie. Als u deze of een recentere versie gebruikt, negeert u alle stappen en acties met betrekking tot netwerkprofielen.

Voorbeelden in dit artikel zijn opgemaakt voor de Bash-shell. Als u de voorkeur geeft aan een andere shell, zoals PowerShell of opdrachtprompt, past u de regelvervolgtekens dienovereenkomstig aan.

Vereisten

U hebt een resourcegroep nodig om alle resources te beheren die in de volgende voorbeelden worden gebruikt. Als u een resourcegroep wilt maken, gebruikt u az group create:

az group create --name myResourceGroup --location eastus

Implementeren in een nieuw virtueel netwerk

Notitie

Als u subnet-IP-adresbereik /29 gebruikt om slechts drie IP-adressen te hebben. we raden u aan altijd één bereik hierboven te gaan (nooit hieronder). Gebruik bijvoorbeeld subnet-IP-bereik /28, zodat u ten minste 1 of meer IP-buffer per containergroep kunt hebben. Als u dit doet, kunt u voorkomen dat containers vastlopen, niet kunnen worden gestart, opnieuw opgestart of zelfs niet in staat zijn om statussen te stoppen.

Als u wilt implementeren in een nieuw virtueel netwerk en Azure automatisch de netwerkbronnen voor u wilt laten maken, geeft u het volgende op wanneer u az container create uitvoert:

  • Naam van virtueel netwerk
  • Adresvoorvoegsel van virtueel netwerk in CIDR-indeling
  • Subnetnaam
  • Subnetadresvoorvoegsel in CIDR-indeling

De voorvoegsels van het virtuele netwerk en subnetadres geven respectievelijk de adresruimten voor het virtuele netwerk en subnet op. Deze waarden worden bijvoorbeeld weergegeven in CIDR-notatie 10.0.0.0/16(Classless Inter-Domain Routing). Zie Een subnet van een virtueel netwerk toevoegen, wijzigen of verwijderen voor meer informatie over het werken met subnetten.

Zodra u uw eerste containergroep met deze methode hebt geïmplementeerd, kunt u deze implementeren in hetzelfde subnet door de namen van het virtuele netwerk en subnet op te geven, of door het netwerkprofiel dat automatisch voor u wordt gemaakt. Omdat Azure het subnet delegeert naar Azure Container Instances, kunt u alleen containergroepen implementeren in het subnet.

Opmerking

Met de volgende opdracht az container create worden instellingen voor een nieuw virtueel netwerk en subnet opgegeven. Geef de naam op van een resourcegroep die is gemaakt in een regio waarin containergroepimplementaties in een virtueel netwerk beschikbaar zijn. Met deze opdracht wordt de openbare Microsoft aci-helloworld-container geïmplementeerd waarop een kleine Node.js webserver wordt uitgevoerd die een statische webpagina biedt. In de volgende sectie implementeert u een tweede containergroep in hetzelfde subnet en test u de communicatie tussen de twee containerinstanties.

az container create \
  --name appcontainer \
  --resource-group myResourceGroup \
  --image mcr.microsoft.com/azuredocs/aci-helloworld \
  --vnet aci-vnet \
  --vnet-address-prefix 10.0.0.0/16 \
  --subnet aci-subnet \
  --subnet-address-prefix 10.0.0.0/24

Wanneer u implementeert in een nieuw virtueel netwerk met behulp van deze methode, kan de implementatie enkele minuten duren terwijl de netwerkbronnen worden gemaakt. Na de eerste implementatie worden verdere implementaties van de containergroep naar hetzelfde subnet sneller voltooid.

Implementeren in bestaand virtueel netwerk

Een containergroep implementeren in een bestaand virtueel netwerk:

  1. Maak een subnet in uw bestaande virtuele netwerk, gebruik een bestaand subnet waarin een containergroep al is geïmplementeerd of gebruik een bestaand subnet dat is leeggemaakt van alle andere resources en configuratie. Het subnet dat u voor containergroepen gebruikt, kan alleen containergroepen bevatten. Voordat u een containergroep implementeert in een subnet, moet u het subnet expliciet delegeren voordat u het inricht. Zodra het subnet is gedelegeerd, kan het alleen worden gebruikt voor containergroepen. Als u andere resources dan containergroepen wilt implementeren in een gedelegeerd subnet, mislukt de bewerking.
  2. Implementeer een containergroep met az container create en geef een van de volgende op:
    • Naam van virtueel netwerk en subnetnaam
    • Resource-id en subnetresource-id van virtueel netwerk, waarmee u een virtueel netwerk uit een andere resourcegroep kunt gebruiken

Opmerking

In het volgende voorbeeld wordt een tweede containergroep geïmplementeerd in hetzelfde subnet dat u eerder hebt gemaakt en controleert u de communicatie tussen de twee containerinstanties.

Haal eerst het IP-adres op van de eerste containergroep die u hebt geïmplementeerd, de appcontainer:

az container show --resource-group myResourceGroup \
  --name appcontainer \
  --query ipAddress.ip --output tsv

In de uitvoer wordt het IP-adres van de containergroep in het privésubnet weergegeven. Voorbeeld:

10.0.0.4

Stel nu in CONTAINER_GROUP_IP op het IP-adres dat u hebt opgehaald met de az container show opdracht en voer de volgende az container create opdracht uit. Met deze tweede container, commchecker, wordt een installatiekopie op basis van Alpine Linux uitgevoerd en uitgevoerd wget op basis van het privé-subnet-IP-adres van de eerste containergroep.

CONTAINER_GROUP_IP=<container-group-IP-address>

az container create \
  --resource-group myResourceGroup \
  --name commchecker \
  --image alpine:3.5 \
  --command-line "wget $CONTAINER_GROUP_IP" \
  --restart-policy never \
  --vnet aci-vnet \
  --subnet aci-subnet

Nadat deze tweede containerimplementatie is voltooid, haalt u de logboeken op, zodat u de uitvoer kunt zien van de wget opdracht die wordt uitgevoerd:

az container logs --resource-group myResourceGroup --name commchecker

Als de tweede container is gecommuniceerd met de eerste, is de uitvoer vergelijkbaar met:

Connecting to 10.0.0.4 (10.0.0.4:80)
index.html           100% |*******************************|  1663   0:00:00 ETA

In de logboekuitvoer moet worden aangegeven dat wget het indexbestand kan worden verbonden en gedownload uit de eerste container met behulp van het privé-IP-adres op het lokale subnet. Netwerkverkeer tussen de twee containergroepen bleef binnen het virtuele netwerk.

Voorbeeld - YAML

U kunt ook een containergroep implementeren in een bestaand virtueel netwerk met behulp van een YAML-bestand, een Resource Manager-sjabloon of een andere programmatische methode, zoals met de Python SDK.

Wanneer u bijvoorbeeld een YAML-bestand gebruikt, kunt u implementeren in een virtueel netwerk met een subnet dat is gedelegeerd aan Azure Container Instances. Geef de volgende eigenschappen op:

  • ipAddress: De privé-IP-adresinstellingen voor de containergroep.
    • ports: de poorten die moeten worden geopend, indien van toepassing.
    • protocol: het protocol (TCP of UDP) voor de geopende poort.
  • subnetIds: De resource-id's van de subnetten die moeten worden geïmplementeerd in
    • id: De resource-id van het subnet
    • name: De naam van het subnet

Met deze YAML maakt u een containergroep met de naam appcontaineryaml in uw virtuele netwerk.

apiVersion: '2021-07-01'
location: westus
name: appcontaineryaml
properties:
  containers:
  - name: appcontaineryaml
    properties:
      image: mcr.microsoft.com/azuredocs/aci-helloworld
      ports:
      - port: 80
        protocol: TCP
      resources:
        requests:
          cpu: 1.0
          memoryInGB: 1.5
  ipAddress:
    type: Private
    ports:
    - protocol: tcp
      port: '80'
  osType: Linux
  restartPolicy: Always
  subnetIds:
    - id: <subnet-id>
      name: default
tags: null
type: Microsoft.ContainerInstance/containerGroups

Implementeer de containergroep met de opdracht az container create en geef de YAML-bestandsnaam op voor de --file parameter:

az container create --resource-group myResourceGroup \
  --file vnet-deploy-aci.yaml

Zodra de implementatie is voltooid, voert u de opdracht az container show uit om de status ervan weer te geven. Voorbeelduitvoer:

Name              ResourceGroup    Status    Image                                       IP:ports     Network    CPU/Memory       OsType    Location
----------------  ---------------  --------  ------------------------------------------  -----------  ---------  ---------------  --------  ----------
appcontaineryaml  myResourceGroup  Running   mcr.microsoft.com/azuredocs/aci-helloworld  10.0.0.5:80  Private    1.0 core/1.5 gb  Linux     westus

Resources opschonen

Containerexemplaren verwijderen

Wanneer u klaar bent met het werken met de containerinstanties die u hebt gemaakt, verwijdert u deze met de volgende opdrachten:

az container delete --resource-group myResourceGroup --name appcontainer -y
az container delete --resource-group myResourceGroup --name commchecker -y
az container delete --resource-group myResourceGroup --name appcontaineryaml -y

Netwerkbronnen verwijderen

Voor deze functie zijn momenteel verschillende extra opdrachten vereist om de netwerkbronnen te verwijderen die u eerder hebt gemaakt. Als u de voorbeeldopdrachten in vorige secties van dit artikel hebt gebruikt om uw virtuele netwerk en subnet te maken, kunt u het volgende script gebruiken om deze netwerkbronnen te verwijderen. In het script wordt ervan uitgegaan dat uw resourcegroep één virtueel netwerk met één netwerkprofiel bevat.

Voordat u het script uitvoert, stelt u de RES_GROUP variabele in op de naam van de resourcegroep die het virtuele netwerk en subnet bevat dat moet worden verwijderd. Werk de naam van het virtuele netwerk bij als u de aci-vnet eerder voorgestelde naam niet hebt gebruikt. Het script is opgemaakt voor de Bash-shell. Als u de voorkeur geeft aan een andere shell, zoals PowerShell of opdrachtprompt, moet u de variabele toewijzing en accessors dienovereenkomstig aanpassen.

Waarschuwing

Met dit script worden resources verwijderd. Hiermee verwijdert u het virtuele netwerk en alle subnetten die het bevat. Zorg ervoor dat u geen resources meer nodig hebt in het virtuele netwerk, inclusief eventuele subnetten die het bevat, voordat u dit script uitvoert. Zodra deze resources zijn verwijderd, kunnen deze resources niet meer worden hersteld.

# Replace <my-resource-group> with the name of your resource group
# Assumes one virtual network in resource group
RES_GROUP=<my-resource-group>

# Get network profile ID
# Assumes one profile in virtual network
NETWORK_PROFILE_ID=$(az network profile list --resource-group $RES_GROUP --query [0].id --output tsv)

# Delete the network profile
az network profile delete --id $NETWORK_PROFILE_ID -y

# Delete virtual network
az network vnet delete --resource-group $RES_GROUP --name aci-vnet

Volgende stappen