Co to jest usługa Azure Container Instances?
Kontenery stają się preferowanym sposobem tworzenia pakietów aplikacji w chmurze, ich wdrażania oraz zarządzania nimi. Usługa Azure Container Instances to najszybszy i najprostszy sposób uruchomienia kontenera na platformie Azure bez konieczności zarządzania jakimikolwiek maszynami wirtualnymi ani korzystania z usługi wyższego poziomu.
Usługa Azure Container Instances to doskonałe rozwiązanie dla wszystkich scenariuszy, które może działać w kontenerach izolowanych, w tym scenariuszy prostych aplikacji, automatyzacji zadań i zadań kompilacji. W przypadku scenariuszy, w których potrzebujesz pełnej orkiestracji kontenerów, w tym opcji odnajdowania usług w wielu kontenerach, automatycznego skalowania i skoordynowanych uaktualnień aplikacji, zalecamy skorzystanie z usługi Azure Kubernetes Service (AKS). Zalecamy zapoznanie się z zagadnieniami i ograniczeniami oraz często zadawanymi pytaniami , aby zrozumieć najlepsze rozwiązania dotyczące wdrażania wystąpień kontenerów.
Krótki czas uruchamiania
Kontenery oferują znaczące korzyści związane z uruchamianiem w porównaniu do maszyn wirtualnych. Usługa Azure Container Instances umożliwia uruchamianie kontenera na platformie Azure w ciągu kilku sekund bez konieczności aprowizowania maszyn wirtualnych i zarządzania nimi.
Przenoszenie obrazów kontenerów systemu Linux lub Windows z usługi Docker Hub, prywatnego rejestru kontenerów platformy Azure lub innego rejestru platformy Docker opartego na chmurze. Odwiedź stronę często zadawanych pytań, aby dowiedzieć się, które rejestry są obsługiwane przez usługę ACI. Usługa Azure Container Instances buforuje kilka typowych podstawowych obrazów systemu operacyjnego, co ułatwia szybkie wdrażanie niestandardowych obrazów aplikacji.
Dostęp do kontenera
Usługa Azure Container Instances umożliwia uwidacznianie grup kontenerów bezpośrednio w Internecie przy użyciu adresu IP i w pełni kwalifikowanej nazwy domeny (FQDN). Podczas tworzenia wystąpienia kontenera możesz określić niestandardową etykietę nazwy DNS, dzięki czemu aplikacja będzie dostępna pod adresem etykieta_niestandardowa.region_świadczenia_usługi_Azure.azurecontainer.io.
Usługa Azure Container Instances obsługuje również wykonywanie polecenia w uruchomionym kontenerze przez udostępnienie interaktywnej powłoki ułatwiającej tworzenie aplikacji i rozwiązywanie problemów. Dostęp przejmuje dostęp za pośrednictwem protokołu HTTPS, używając protokołu TLS do zabezpieczania połączeń klienckich.
Ważne
Od 13 stycznia 2020 r. usługa Azure Container Instances będzie wymagać wszystkich bezpiecznych połączeń z serwerów i aplikacji do korzystania z protokołu TLS 1.2. Obsługa protokołów TLS 1.0 i 1.1 zostanie wycofana.
Zgodne wdrożenia
Zabezpieczenia na poziomie funkcji hypervisor
W przeszłości kontenery oferowały izolację zależności aplikacji i nadzór nad zasobami, ale nie zostały uznane za wystarczająco wzmocnione w przypadku wrogiego użycia wielu dzierżaw. Usługa Azure Container Instances gwarantuje, że aplikacja jest izolowana w kontenerze w takim samym stopniu, w jakim byłaby na maszynie wirtualnej.
Dane klienta
Usługa Azure Container Instances nie przechowuje danych klientów. Przechowuje jednak identyfikatory subskrypcji subskrypcji platformy Azure używane do tworzenia zasobów. Przechowywanie identyfikatorów subskrypcji jest wymagane, aby upewnić się, że grupy kontenerów będą nadal działać zgodnie z oczekiwaniami.
Rozmiary niestandardowe
Kontenery są przeważnie optymalizowane do uruchamiania tylko jednej aplikacji, ale szczegółowe potrzeby poszczególnych aplikacji mogą się bardzo różnić. Usługa Azure Container Instances zapewnia optymalne wykorzystanie, zezwalając na korzystanie z dokładnych specyfikacji rdzeni procesora i pamięci. Opłaty są naliczane zgodnie z zapotrzebowaniem i za sekundę, dlatego można skutecznie dostosować wydatki w oparciu o potrzeby.
W przypadku zadań wykorzystujących znaczną moc obliczeniową, takich jak uczenie maszynowe, usługa Azure Container Instances może zaplanować używanie zasobów procesorów GPU NVIDIA Tesla (wersja zapoznawcza) przez kontenery systemu Linux.
Magazyn trwały
Aby pobierać i utrwalać stan za pomocą usługi Azure Container Instances, oferujemy bezpośrednie instalowanie udziałów usługi Azure Files wspieranych przez usługę Azure Storage.
Kontenery systemów Linux i Windows
Usługa Azure Container Instances umożliwia planowanie kontenerów systemów Windows i Linux przy użyciu tego samego interfejsu API. Podczas tworzenia grup kontenerów można określić preferencję typu systemu operacyjnego.
Niektóre funkcje są obecnie ograniczone do kontenerów systemu Linux:
- Wiele kontenerów na grupę kontenerów
- Instalowanie woluminów (Azure Files, emptyDir, GitRepo, secret)
- Metryki użycia zasobów w usłudze Azure Monitor
- Zasoby procesora GPU (wersja zapoznawcza)
W przypadku wdrożeń kontenerów systemu Windows użyj obrazów opartych na typowych obrazach podstawowych systemu Windows.
Grupy planowane wspólnie
Usługa Azure Container Instances obsługuje planowanie grup wielu kontenerów, które współużytkują maszynę hosta, sieć lokalną, magazyn i cykl życia. Dzięki temu można łączyć główny kontener aplikacji z innymi kontenerami pełniącymi rolę pomocniczą, np. przyczepkami rejestrowania.
Wdrażanie sieci wirtualnej
Usługa Azure Container Instances umożliwia wdrażanie wystąpień kontenerów w sieci wirtualnej platformy Azure. Po wdrożeniu w podsieci w sieci wirtualnej wystąpienia kontenerów mogą bezpiecznie komunikować się z innymi zasobami w sieci wirtualnej, w tym z lokalnymi (za pośrednictwem bramy sieci VPN lub usługi ExpressRoute).
Wdrożenie kontenera poufnego
Kontenery poufne w usłudze ACI umożliwiają uruchamianie kontenerów w zaufanym środowisku wykonywania (TEE), które zapewnia ochronę poufności i integralności na podstawie sprzętu dla obciążeń kontenerów. Poufne kontenery w usłudze ACI mogą chronić dane w użyciu i szyfrować dane przetwarzane w pamięci. Poufne kontenery w usłudze ACI są obsługiwane jako jednostka SKU, którą można wybrać podczas wdrażania obciążenia. Aby uzyskać więcej informacji, zobacz poufne grupy kontenerów.
Wdrażanie kontenera typu spot
Kontenery usługi ACI Spot umożliwiają klientom uruchamianie przerywanych, konteneryzowanych obciążeń na nieużywanej pojemności platformy Azure przy znacznie obniżonych cenach do 70% w porównaniu z kontenerami ACI o stałym priorytecie. Kontenery typu spot usługi ACI mogą zostać wywłaszczone, gdy platforma Azure napotka niedobór nadmiarowej pojemności i jest odpowiednia dla obciążeń bez rygorystycznych wymagań dotyczących dostępności. Klienci są rozliczani za użycie pamięci i rdzeni na sekundę. Aby korzystać z kontenerów usługi ACI Spot, możesz wdrożyć obciążenie z określoną flagą właściwości wskazującą, że chcesz używać grup kontenerów typu Spot i korzystać z modelu cen z rabatem. Aby uzyskać więcej informacji, zobacz spot container groups (Grupy kontenerów typu spot).
Kwestie wymagające rozważenia
Poświadczenia użytkownika przekazywane za pośrednictwem interfejsu wiersza polecenia (CLI) są przechowywane jako zwykły tekst w zapleczu. Przechowywanie poświadczeń w postaci zwykłego tekstu jest zagrożeniem bezpieczeństwa; Firma Microsoft zaleca klientom przechowywanie poświadczeń użytkownika w zmiennych środowiskowych interfejsu wiersza polecenia, aby upewnić się, że są szyfrowane/przekształcane podczas przechowywania w zapleczu.
Jeśli grupa kontenerów przestanie działać, zalecamy ponowne uruchomienie kontenera, sprawdzenie kodu aplikacji lub konfigurację sieci lokalnej przed otwarciem wniosku o pomoc techniczną.
Obrazy kontenerów nie mogą być większe niż 15 GB. Obrazy powyżej tego rozmiaru mogą powodować nieoczekiwane zachowanie: Jak duży może być mój obraz kontenera?
Niektóre podstawowe obrazy systemu Windows Server nie są już zgodne z usługą Azure Container Instances:
Jakie podstawowe obrazy systemu operacyjnego Windows są obsługiwane?
Jeśli grupa kontenerów zostanie ponownie uruchomiona, adres IP grupy kontenerów może ulec zmianie. W twoim scenariuszu zalecamy użycie zakodowanego na podstawie kodu adresu IP. Jeśli potrzebujesz statycznego publicznego adresu IP, użyj usługi Application Gateway: statyczny adres IP dla grupy kontenerów — Azure Container Instances | Microsoft Learn
Istnieją porty zarezerwowane dla funkcji usługi. Zalecamy, aby nie używać tych portów, ponieważ spowoduje to nieoczekiwane zachowanie: Czy porty rezerwowania usługi ACI dla funkcji usługi?
Jeśli masz problemy z wdrażaniem lub uruchamianiem kontenera, najpierw zapoznaj się z przewodnikiem rozwiązywania problemów, aby zapoznać się z typowymi błędami i problemami
Grupy kontenerów mogą zostać uruchomione ponownie z powodu zdarzeń konserwacji platformy. Te zdarzenia konserwacji są wykonywane w celu zapewnienia ciągłego ulepszania podstawowej infrastruktury: kontener miał izolowane ponowne uruchomienie bez jawnych danych wejściowych użytkownika
Usługa ACI nie zezwala na uprzywilejowane operacje kontenerów. Zalecamy, aby nie zależeć od używania katalogu głównego dla danego scenariusza
Następne kroki
Spróbuj wdrożyć kontener na platformie Azure za pomocą jednego polecenia, korzystając z naszego przewodnika Szybki start: