Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Virtual Network zapewnia bezpieczną sieć prywatną dla zasobów platformy Azure i zasobów lokalnych. Wdrażając grupy kontenerów w sieci wirtualnej platformy Azure, kontenery mogą bezpiecznie komunikować się z innymi zasobami w sieci wirtualnej.
Ten artykuł zawiera podstawowe informacje na temat scenariuszy, ograniczeń i zasobów sieci wirtualnej. Aby zapoznać się z przykładami wdrażania przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz Wdrażanie wystąpień kontenera w sieci wirtualnej platformy Azure.
Ważne
Wdrażanie grupy kontenerów w sieci wirtualnej jest ogólnie dostępne dla kontenerów systemów Linux i Windows, w większości regionów, w których jest dostępna usługa Azure Container Instances. Aby uzyskać szczegółowe informacje, zobacz Limity dostępności zasobów i limitów przydziału.
Scenariusze
Grupy kontenerów wdrożone w sieci wirtualnej platformy Azure umożliwiają takie scenariusze jak:
- Bezpośrednia komunikacja między grupami kontenerów w tej samej podsieci
- Wysyłanie wyników obciążeń zadaniowych z instancji kontenerów do bazy danych w sieci wirtualnej
- Pobieranie zawartości wystąpień kontenera z punktu końcowego usługi w sieci wirtualnej
- Włączanie komunikacji kontenera z zasobami lokalnymi za pośrednictwem bramy sieci VPN lub usługi ExpressRoute
- Integracja z usługą Azure Firewall w celu identyfikowania ruchu wychodzącego pochodzącego z kontenera
- Rozpoznawanie nazw za pośrednictwem wewnętrznej usługi Azure DNS na potrzeby komunikacji z zasobami platformy Azure w sieci wirtualnej, takimi jak maszyny wirtualne
- Reguły NSG umożliwiają kontrolowanie dostępu kontenera do podsieci lub innych zasobów sieciowych.
Niedozwolone konfiguracje sieciowe
- Azure Load Balancer — umieszczanie Azure Load Balancer przed instancjami kontenerów w grupie kontenerów sieciowych nie jest wspierane.
- Globalna komunikacja równorzędna sieci wirtualnych — globalna komunikacja równorzędna (łączenie sieci wirtualnych między regionami platformy Azure) nie jest obsługiwana
- Publiczny adres IP lub etykieta DNS — grupy kontenerów wdrożone w sieci wirtualnej nie obsługują obecnie uwidaczniania kontenerów bezpośrednio w Internecie przy użyciu publicznego adresu IP lub w pełni kwalifikowanej nazwy domeny
- Tożsamość zarządzana z możliwościami sieci wirtualnych w regionach usług Azure Government — tożsamość zarządzana z możliwościami sieci wirtualnych nie jest obsługiwana w regionach usług Azure Government
Inne ograniczenia
- Aby wdrożyć grupy kontenerów w podsieci, podsieć nie może zawierać innych typów zasobów. Usuń wszystkie istniejące zasoby z istniejącej podsieci przed wdrożeniem w niej grup kontenerów lub utwórz nową podsieć.
- Aby wdrożyć grupy kontenerów w podsieci, podsieć i grupa kontenerów muszą znajdować się w tej samej subskrypcji platformy Azure.
- Ze względu na dodatkowe zaangażowane zasoby sieciowe, wdrożenia do sieci wirtualnej są zwykle wolniejsze niż wdrożenie standardowego kontenera.
- Połączenia wychodzące z portami 25 i 19390 nie są obecnie obsługiwane. Port 19390 należy otworzyć w zaporze w celu nawiązania połączenia z usługą ACI z witryny Azure Portal, gdy grupy kontenerów są wdrażane w sieciach wirtualnych.
- W przypadku połączeń przychodzących zapora powinna również zezwalać na wszystkie adresy IP w sieci wirtualnej.
- Jeśli łączysz grupę kontenerów z kontem usługi Azure Storage, musisz dodać punkt końcowy usługi do tego zasobu.
- Obecnie adresy IPv6 nie są obsługiwane.
- W zależności od typu subskrypcji niektóre porty mogą być blokowane.
- Wystąpienia kontenerów nie odczytują ani nie dziedziczą ustawień DNS ze skojarzonej sieci wirtualnej. Ustawienia DNS muszą być jawnie ustawione dla wystąpień kontenera.
Wymagane zasoby sieciowe
Istnieją trzy zasoby usługi Azure Virtual Network wymagane do wdrażania grup kontenerów w sieci wirtualnej: samej sieci wirtualnej , delegowanej podsieci w ramach sieci wirtualnej i profilu sieciowego.
Sieć wirtualna
Sieć wirtualna definiuje przestrzeń adresową, w której tworzysz co najmniej jedną podsieć. Następnie wdrażasz zasoby platformy Azure (takie jak grupy kontenerów) w podsieciach w sieci wirtualnej.
Podsieć (delegowana)
Podsieci dzielą sieć wirtualną na oddzielne przestrzenie adresowe używane przez zasoby platformy Azure, które są w nich umieszczone. Utworzysz jedną lub kilka podsieci w sieci wirtualnej.
Podsieć używana dla grup kontenerów może zawierać tylko grupy kontenerów. Przed wdrożeniem grupy kontenerów w podsieci należy jawnie delegować podsieć przed zainicjowaniem obsługi administracyjnej. Po delegowaniu podsieć może być używana tylko dla grup kontenerów. Jeśli spróbujesz wdrożyć zasoby inne niż grupy kontenerów w delegowanej podsieci, operacja nie powiedzie się.
Profil sieci
Ważne
Profile sieci zostały wycofane w wersji 2021-07-01 interfejsu API. Jeśli używasz tej lub nowszej wersji, zignoruj wszystkie kroki i akcje związane z profilami sieciowymi.
Profil sieciowy to szablon konfiguracji sieci dla zasobów platformy Azure. Określa pewne właściwości sieci dla zasobu, na przykład podsieć, w której ma zostać wdrożona. Gdy najpierw użyjesz polecenia az container create , aby wdrożyć grupę kontenerów w podsieci (i w związku z tym sieć wirtualną), platforma Azure utworzy dla Ciebie profil sieciowy. Następnie możesz użyć tego profilu sieciowego na potrzeby przyszłych wdrożeń w podsieci.
Aby użyć szablonu usługi Resource Manager, pliku YAML lub metody programowej do wdrożenia grupy kontenerów w podsieci, musisz podać pełny identyfikator zasobu usługi Resource Manager profilu sieciowego. Możesz użyć profilu utworzonego wcześniej przy użyciu polecenia az container create lub utworzyć profil przy użyciu szablonu usługi Resource Manager (zobacz przykład szablonu i odwołanie). Aby uzyskać identyfikator utworzonego wcześniej profilu, użyj polecenia az network profile list .
Na poniższym diagramie przedstawiono kilka grup kontenerów wdrożonych w podsieci delegowanej do usługi Azure Container Instances. Po wdrożeniu jednej grupy kontenerów w podsieci można wdrożyć w niej więcej grup kontenerów, określając ten sam profil sieciowy.
Dalsze kroki
- Przykłady wdrożenia przy użyciu interfejsu wiersza polecenia platformy Azure można znaleźć w temacie Deploy container instances into an Azure virtual network (Wdrażanie wystąpień kontenera w sieci wirtualnej platformy Azure).
- Aby wdrożyć nową sieć wirtualną, podsieć, profil sieciowy i grupę kontenerów przy użyciu szablonu usługi Resource Manager, zobacz Tworzenie grupy kontenerów platformy Azure z siecią wirtualną.
- W przypadku tworzenia wystąpienia kontenera przy użyciu witryny Azure Portal możesz również podać ustawienia nowej lub istniejącej sieci wirtualnej na karcie Sieć .