Scenariusze i zasoby sieci wirtualnej
Usługa Azure Virtual Network zapewnia bezpieczną sieć prywatną dla zasobów platformy Azure i zasobów lokalnych. Wdrażając grupy kontenerów w sieci wirtualnej platformy Azure, kontenery mogą bezpiecznie komunikować się z innymi zasobami w sieci wirtualnej.
Ten artykuł zawiera podstawowe informacje na temat scenariuszy, ograniczeń i zasobów sieci wirtualnej. Aby zapoznać się z przykładami wdrażania przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz Wdrażanie wystąpień kontenera w sieci wirtualnej platformy Azure.
Ważne
Wdrażanie grupy kontenerów w sieci wirtualnej jest ogólnie dostępne dla kontenerów systemów Linux i Windows, w większości regionów, w których jest dostępna usługa Azure Container Instances. Aby uzyskać szczegółowe informacje, zobacz Limity dostępności zasobów i limitów przydziału.
Scenariusze
Grupy kontenerów wdrożone w sieci wirtualnej platformy Azure umożliwiają takie scenariusze jak:
- Bezpośrednia komunikacja między grupami kontenerów w tej samej podsieci
- Wysyłanie danych wyjściowych obciążeń opartych na zadaniach z wystąpień kontenera do bazy danych w sieci wirtualnej
- Pobieranie zawartości wystąpień kontenera z punktu końcowego usługi w sieci wirtualnej
- Włączanie komunikacji kontenera z zasobami lokalnymi za pośrednictwem bramy sieci VPN lub usługi ExpressRoute
- Integracja z usługą Azure Firewall w celu identyfikowania ruchu wychodzącego pochodzącego z kontenera
- Rozpoznawanie nazw za pośrednictwem wewnętrznej usługi Azure DNS na potrzeby komunikacji z zasobami platformy Azure w sieci wirtualnej, takimi jak maszyny wirtualne
- Używanie reguł sieciowej grupy zabezpieczeń do kontrolowania dostępu kontenera do podsieci lub innych zasobów sieciowych
Nieobsługiwane scenariusze sieci
- Azure Load Balancer — umieszczanie usługi Azure Load Balancer przed wystąpieniami kontenerów w sieciowej grupie kontenerów nie jest obsługiwane
- Globalna komunikacja równorzędna sieci wirtualnych — globalna komunikacja równorzędna (łączenie sieci wirtualnych między regionami platformy Azure) nie jest obsługiwana
- Publiczny adres IP lub etykieta DNS — grupy kontenerów wdrożone w sieci wirtualnej nie obsługują obecnie uwidaczniania kontenerów bezpośrednio w Internecie przy użyciu publicznego adresu IP lub w pełni kwalifikowanej nazwy domeny
- Tożsamość zarządzana z siecią wirtualną w regionach usługi Azure Government — tożsamość zarządzana z funkcjami sieci wirtualnej nie jest obsługiwana w regionach usługi Azure Government
Inne ograniczenia
- Aby wdrożyć grupy kontenerów w podsieci, podsieć nie może zawierać innych typów zasobów. Usuń wszystkie istniejące zasoby z istniejącej podsieci przed wdrożeniem w niej grup kontenerów lub utwórz nową podsieć.
- Aby wdrożyć grupy kontenerów w podsieci, podsieć i grupa kontenerów muszą znajdować się w tej samej subskrypcji platformy Azure.
- Ze względu na dodatkowe zasoby sieciowe używane wdrożenia w sieci wirtualnej są zwykle wolniejsze niż wdrażanie standardowego wystąpienia kontenera.
- Połączenia wychodzące z portami 25 i 19390 nie są obecnie obsługiwane. Port 19390 należy otworzyć w zaporze w celu nawiązania połączenia z usługą ACI z witryny Azure Portal, gdy grupy kontenerów są wdrażane w sieciach wirtualnych.
- W przypadku połączeń przychodzących zapora powinna również zezwalać na wszystkie adresy IP w sieci wirtualnej.
- Jeśli łączysz grupę kontenerów z kontem usługi Azure Storage, musisz dodać punkt końcowy usługi do tego zasobu.
- Obecnie adresy IPv6 nie są obsługiwane.
- W zależności od typu subskrypcji niektóre porty mogą być blokowane.
- Wystąpienia kontenerów nie odczytują ani nie dziedziczą ustawień DNS ze skojarzonej sieci wirtualnej. Ustawienia DNS muszą być jawnie ustawione dla wystąpień kontenera.
Wymagane zasoby sieciowe
Istnieją trzy zasoby usługi Azure Virtual Network wymagane do wdrażania grup kontenerów w sieci wirtualnej: samej sieci wirtualnej, delegowanej podsieci w ramach sieci wirtualnej i profilu sieciowego.
Sieć wirtualna
Sieć wirtualna definiuje przestrzeń adresową, w której jest tworzona co najmniej jedna podsieć. Następnie są wdrażane zasoby platformy Azure (takie jak grupy kontenerów) w podsieciach w sieci wirtualnej.
Podsieć (delegowana)
Podsieci dzielą sieć wirtualną na oddzielne przestrzenie adresowe, z których mogą korzystać umieszczone w nich zasoby platformy Azure. Można utworzyć jedną lub więcej podsieci w sieci wirtualnej.
Podsieć używana dla grup kontenerów może zawierać tylko grupy kontenerów. Przed wdrożeniem grupy kontenerów w podsieci należy jawnie delegować podsieć przed zainicjowaniem obsługi administracyjnej. Po delegowaniu podsieć może być używana tylko dla grup kontenerów. Jeśli spróbujesz wdrożyć zasoby inne niż grupy kontenerów w delegowanej podsieci, operacja nie powiedzie się.
Profil sieci
Ważne
Profile sieciowe zostały wycofane w wersji interfejsu 2021-07-01
API. Jeśli używasz tej lub nowszej wersji, zignoruj wszystkie kroki i akcje związane z profilami sieciowymi.
Profil sieciowy to szablon konfiguracji sieci dla zasobów platformy Azure. Określa on pewne właściwości sieci dla zasobu, na przykład podsieć, w której ma on zostać wdrożony. Gdy najpierw użyjesz polecenia az container create , aby wdrożyć grupę kontenerów w podsieci (i w związku z tym sieć wirtualną), platforma Azure utworzy dla Ciebie profil sieciowy. Następnie możesz używać tego profilu sieciowego do przyszłych wdrożeń w danej podsieci.
Aby użyć szablonu usługi Resource Manager, pliku YAML lub metody programowej do wdrożenia grupy kontenerów w podsieci, musisz podać pełny identyfikator zasobu usługi Resource Manager profilu sieciowego. Możesz użyć profilu utworzonego wcześniej przy użyciu polecenia az container create lub utworzyć profil przy użyciu szablonu usługi Resource Manager (zobacz przykład szablonu i odwołanie). Aby uzyskać identyfikator utworzonego wcześniej profilu, użyj polecenia az network profile list .
Na poniższym diagramie przedstawiono kilka grup kontenerów wdrożonych w podsieci delegowanej do usługi Azure Container Instances. Po wdrożeniu jednej grupy kontenerów w podsieci można wdrożyć w niej więcej grup kontenerów, określając ten sam profil sieciowy.
Następne kroki
- Przykłady wdrożenia przy użyciu interfejsu wiersza polecenia platformy Azure można znaleźć w temacie Deploy container instances into an Azure virtual network (Wdrażanie wystąpień kontenera w sieci wirtualnej platformy Azure).
- Aby wdrożyć nową sieć wirtualną, podsieć, profil sieciowy i grupę kontenerów przy użyciu szablonu usługi Resource Manager, zobacz Tworzenie grupy kontenerów platformy Azure z siecią wirtualną.
- W przypadku tworzenia wystąpienia kontenera przy użyciu witryny Azure Portal możesz również podać ustawienia nowej lub istniejącej sieci wirtualnej na karcie Sieć .