Udostępnij za pośrednictwem


Niestandardowe sesje kontenera usługi Azure Container Apps (wersja zapoznawcza)

Oprócz wbudowanego interpretera kodu, który udostępnia dynamiczne sesje usługi Azure Container Apps, można również użyć kontenerów niestandardowych do zdefiniowania własnych piaskownic sesji.

Uwaga

Sesje dynamiczne usługi Azure Container Apps są obecnie dostępne w wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz ograniczenia wersji zapoznawczej.

Zastosowania dla niestandardowych sesji kontenera

Kontenery niestandardowe umożliwiają tworzenie rozwiązań dostosowanych do Twoich potrzeb. Umożliwiają one wykonywanie kodu lub uruchamianie aplikacji w środowiskach, które są szybkie i efemeryczne oraz oferują bezpieczne, piaskownicowe miejsca z funkcją Hyper-V. Ponadto można je skonfigurować z opcjonalną izolacją sieci. Przykłady obejmują:

  • Interpretery kodu: jeśli musisz wykonać niezaufany kod w bezpiecznych piaskownicach przez język, który nie jest obsługiwany w wbudowanym interpreterze, lub potrzebujesz pełnej kontroli nad środowiskiem interpretera kodu.

  • Wykonanie izolowane: jeśli musisz uruchamiać aplikacje w wrogich scenariuszach wielodostępnych, w których każda dzierżawa lub użytkownik ma własne środowisko piaskownicy. Te środowiska są odizolowane od siebie i od aplikacji hosta. Niektóre przykłady obejmują aplikacje, które uruchamiają kod dostarczony przez użytkownika, kod, który przyznaje użytkownikowi końcowemu dostęp do powłoki opartej na chmurze, agentów sztucznej inteligencji i środowisk deweloperskich.

Używanie niestandardowych sesji kontenera

Aby użyć niestandardowych sesji kontenera, należy najpierw utworzyć pulę sesji z niestandardowym obrazem kontenera. Usługa Azure Container Apps automatycznie uruchamia kontenery we własnych piaskownicach funkcji Hyper-V przy użyciu podanego obrazu. Po uruchomieniu kontenera jest on dostępny dla puli sesji.

Gdy aplikacja żąda sesji, wystąpienie jest natychmiast przydzielane z puli. Sesja pozostaje aktywna, dopóki nie wejdzie w stan bezczynności, który zostanie automatycznie zatrzymany i zniszczony.

Tworzenie niestandardowej puli sesji kontenera

Aby utworzyć niestandardową pulę sesji kontenera, należy podać ustawienia konfiguracji obrazu kontenera i puli.

Wywoływanie lub komunikowanie się z każdą sesją przy użyciu żądań HTTP. Kontener niestandardowy musi uwidocznić serwer HTTP na porcie określonym w celu odpowiadania na te żądania.

Aby utworzyć niestandardową pulę sesji kontenera przy użyciu interfejsu wiersza polecenia platformy Azure, upewnij się, że masz najnowsze wersje interfejsu wiersza polecenia platformy Azure i rozszerzenie Azure Container Apps za pomocą następujących poleceń:

az upgrade
az extension add --name containerapp --upgrade --allow-preview true -y

Niestandardowe pule sesji kontenerów wymagają środowiska usługi Azure Container Apps z włączoną obsługą profilu obciążenia. Jeśli nie masz środowiska, użyj az containerapp env create -n <ENVIRONMENT_NAME> -g <RESOURCE_GROUP> --location <LOCATION> --enable-workload-profiles polecenia , aby go utworzyć.

Użyj polecenia , az containerapp sessionpool create aby utworzyć niestandardową pulę sesji kontenera.

Poniższy przykład tworzy pulę sesji o nazwie my-session-pool z niestandardowym obrazem myregistry.azurecr.io/my-container-image:1.0kontenera .

Przed wysłaniem żądania zastąp symbole zastępcze między <> nawiasami odpowiednimi wartościami dla puli sesji i identyfikatorem sesji.

az containerapp sessionpool create \
    --name my-session-pool \
    --resource-group <RESOURCE_GROUP> \
    --environment <ENVIRONMENT> \
    --registry-server myregistry.azurecr.io \
    --registry-username <USER_NAME> \
    --registry-password <PASSWORD> \
    --container-type CustomContainer \
    --image myregistry.azurecr.io/my-container-image:1.0 \ 
    --cpu 0.25 --memory 0.5Gi \
    --target-port 80 \
    --cooldown-period 300 \
    --network-status EgressDisabled \
    --max-sessions 10 \
    --ready-sessions 5 \
    --env-vars "key1=value1" "key2=value2" \
    --location <LOCATION>

To polecenie tworzy pulę sesji z następującymi ustawieniami:

Parametr Wartość Opis
--name my-session-pool Nazwa puli sesji.
--resource-group my-resource-group Grupa zasobów zawierająca pulę sesji.
--environment my-environment Nazwa lub identyfikator zasobu środowiska aplikacji kontenera.
--container-type CustomContainer Typ kontenera puli sesji. Musi być CustomContainer przeznaczony dla niestandardowych sesji kontenera.
--image myregistry.azurecr.io/my-container-image:1.0 Obraz kontenera do użycia dla puli sesji.
--registry-server myregistry.azurecr.io Nazwa hosta serwera rejestru kontenerów.
--registry-username my-username Nazwa użytkownika do zalogowania się do rejestru kontenerów.
--registry-password my-password Hasło do logowania się do rejestru kontenerów.
--cpu 0.25 Wymagany procesor CPU w rdzeniach.
--memory 0.5Gi Wymagana pamięć.
--target-port 80 Port sesji używany do ruchu przychodzącego.
--cooldown-period 300 Liczba sekund bezczynności sesji przed zakończeniem sesji. Okres bezczynności jest resetowany za każdym razem, gdy interfejs API sesji jest wywoływany. Wartość musi zawierać się między 300 i 3600.
--network-status Określa, czy wychodzący ruch sieciowy jest dozwolony z sesji. Prawidłowe wartości to EgressDisabled (wartość domyślna) i EgressEnabled.
--max-sessions 10 Maksymalna liczba sesji, które można przydzielić w tym samym czasie.
--ready-sessions 5 Docelowa liczba sesji, które są gotowe w puli sesji przez cały czas. Zwiększ tę liczbę, jeśli sesje są przydzielane szybciej niż pula jest uzupełniana.
--env-vars "key1=value1" "key2=value2" Zmienne środowiskowe do ustawienia w kontenerze.
--location "Supported Location" Lokalizacja puli sesji.

Aby zaktualizować pulę sesji, użyj az containerapp sessionpool update polecenia .

Ważne

Jeśli sesja jest używana do uruchamiania niezaufanego kodu, nie dołączaj informacji ani danych, do których nie chcesz uzyskiwać dostępu za pomocą niezaufanego kodu. Załóżmy, że kod jest złośliwy i ma pełny dostęp do kontenera, w tym jego zmiennych środowiskowych, wpisów tajnych i plików.

Praca z sesjami

Aplikacja wchodzi w interakcję z sesją przy użyciu interfejsu API zarządzania puli sesji.

Punkt końcowy zarządzania pulą dla niestandardowych sesji kontenerów ma następujący format: https://<SESSION_POOL>.<ENVIRONMENT_ID>.<REGION>.azurecontainerapps.io.

Aby pobrać punkt końcowy zarządzania puli sesji, użyj az containerapp sessionpool show polecenia :

az containerapp sessionpool show \
    --name <SESSION_POOL_NAME> \
    --resource-group <RESOURCE_GROUP> \
    --query "properties.poolManagementEndpoint" \
    --output tsv

Wszystkie żądania do punktu końcowego zarządzania pulą Authorization muszą zawierać nagłówek z tokenem elementu nośnego. Aby dowiedzieć się, jak uwierzytelniać się za pomocą interfejsu API zarządzania pulą, zobacz Uwierzytelnianie.

Każde żądanie interfejsu API musi również zawierać parametr identifier ciągu zapytania z identyfikatorem sesji. Ten unikatowy identyfikator sesji umożliwia aplikacji interakcję z określonymi sesjami. Aby dowiedzieć się więcej na temat identyfikatorów sesji, zobacz Identyfikatory sesji.

Ważne

Identyfikator sesji jest poufnymi informacjami, które wymagają bezpiecznego procesu podczas tworzenia wartości i zarządzania nią. Aby chronić tę wartość, aplikacja musi mieć pewność, że każdy użytkownik lub dzierżawa ma dostęp tylko do własnych sesji. Brak bezpiecznego dostępu do sesji może spowodować nieprawidłowe użycie lub nieautoryzowany dostęp do danych przechowywanych w sesjach użytkowników. Aby uzyskać więcej informacji, zobacz Identyfikatory sesji

Przekazywanie żądań do kontenera sesji:

Wszystkie elementy w ścieżce po punkcie końcowym zarządzania pulą podstawową są przekazywane do kontenera sesji.

Jeśli na przykład wykonasz wywołanie metody <POOL_MANAGEMENT_ENDPOINT>/api/uploadfile, żądanie jest kierowane do kontenera sesji pod adresem 0.0.0.0:<TARGET_PORT>/api/uploadfile.

Interakcja z sesją ciągłą:

Możesz nadal wysyłać żądania do tej samej sesji. Jeśli nie ma żadnych żądań do sesji przez dłuższy niż okres ochładzania, sesja zostanie automatycznie usunięta.

Przykładowe żądanie

W poniższym przykładzie pokazano żądanie do niestandardowej sesji kontenera według identyfikatora użytkownika.

Przed wysłaniem żądania zastąp symbole zastępcze między <> nawiasami wartościami specyficznymi dla żądania.

POST https://<SESSION_POOL_NAME>.<ENVIRONMENT_ID>.<REGION>.azurecontainerapps.io/<API_PATH_EXPOSED_BY_CONTAINER>?identifier=<USER_ID>
Authorization: Bearer <TOKEN>
{
  "command": "echo 'Hello, world!'"
}

To żądanie jest przekazywane do niestandardowej sesji kontenera z identyfikatorem identyfikatora użytkownika. Jeśli sesja nie jest jeszcze uruchomiona, usługa Azure Container Apps przydziela sesję z puli przed przekazaniem żądania.

W tym przykładzie kontener sesji odbiera żądanie pod adresem http://0.0.0.0:<INGRESS_PORT>/<API_PATH_EXPOSED_BY_CONTAINER>.

Rozliczenia

Niestandardowe sesje kontenera są rozliczane na podstawie zasobów używanych przez pulę sesji. Aby uzyskać więcej informacji, zobacz Rozliczenia usługi Azure Container Apps.

Następne kroki