Recursos e cenários de rede virtual

  • Artigo

A Rede Virtual do Azure fornece uma rede privada segura para seus recursos locais e do Azure. Implantando grupos de contêineres em uma rede virtual do Azure, os contêineres podem se comunicar com segurança com outros recursos na rede virtual.

Este artigo fornece informações sobre cenários, limitações e recursos de rede virtual. Para obter exemplos de implantação usando a CLI do Azure, veja Implantar instâncias de contêiner em uma rede virtual do Azure.

Importante

A implantação de grupo de contêineres em uma rede virtual está geralmente disponível para contêineres Linux e Windows, na maioria das regiões onde as Instâncias de Contêiner do Azure estão disponíveis. Para obter detalhes, veja Disponibilidade de recursos e limites de cota.

Cenários

Os grupos de contêineres implantados em uma rede virtual do Azure permitem cenários como:

  • Comunicação direta entre grupos de contêineres na mesma sub-rede
  • Enviar saída de carga de trabalho baseada em tarefa de instâncias de contêiner para um banco de dados na rede virtual
  • Recuperar o conteúdo para instâncias de contêiner de um ponto de extremidade de serviço na rede virtual
  • Habilitar a comunicação de contêiner com recursos locais por meio de um gateway de VPN ou ExpressRoute
  • Integrar com o Firewall do Azure para identificar o tráfego de saída proveniente do contêiner
  • Resolver nomes por meio do DNS interno do Azure para comunicação com recursos do Azure na rede virtual, como máquinas virtuais
  • Usar regras NSG para controlar o acesso de contêiner a sub-redes ou outros recursos de rede

Cenários de rede sem suporte

  • Azure Load Balancer – não há suporte para colocar um Azure Load Balancer na frente de instâncias de contêiner em um grupo de contêineres em rede
  • Emparelhamento de rede virtual global – não há suporte para o emparelhamento global (conexão de redes virtuais entre regiões do Azure)
  • Rótulo de DNS ou IP público – os grupos de contêineres implantados em uma rede virtual atualmente não dão suporte à exposição de contêineres diretamente na Internet com um endereço IP público ou um nome de domínio totalmente qualificado
  • Identidade gerenciada com a Rede Virtual nas regiões do Azure Governamental: não há suporte para identidade gerenciada com recursos de rede virtual nas regiões o Azure Governamental

Outras limitações

  • Para implantar grupos de contêineres em uma sub-rede, a sub-rede não pode conter outros tipos de recursos. Remova todos os recursos existentes de uma sub-rede existente antes de implantar grupos de contêineres nela ou crie uma nova sub-rede.
  • Para implantar grupos de contêineres em uma sub-rede, a sub-rede e o grupo de contêineres precisam estar na mesma assinatura do Azure.
  • Você não pode habilitar uma investigação de atividade ou investigação de preparação em um grupo de contêineres implantado em uma rede virtual.
  • Devido aos recursos de rede adicionais envolvidos, as implantações em uma rede virtual são normalmente mais lentas do que a implantação de uma instância de contêiner padrão.
  • No momento, não há suporte para conexões de saída com as portas 25 e 19390. A porta 19390 precisa ser aberta no seu firewall para se conectar à ACI a partir do portal do Azure quando os grupos de contêineres forem implantados nas redes virtuais.
  • Para conexões de entrada, o firewall também deve permitir todos os endereços IP na rede virtual.
  • Se você estiver conectando o grupo de contêineres a uma conta do Armazenamento do Microsoft Azure, deverá adicionar um ponto de extremidade de serviço a esse recurso.
  • No momento, não há suporte para endereços IPv6.
  • Dependendo do tipo de assinatura, determinadas portas podem ser bloqueadas.

Recursos de rede necessários

Três recursos de Rede Virtual do Azure são necessários para a implantação de grupos de contêineres em uma rede virtual: a rede virtual propriamente dita, uma sub-rede delegada dentro da rede virtual e um perfil de rede.

Rede virtual

Uma rede virtual define o espaço de endereço no qual você cria uma ou mais sub-redes. Em seguida, você implanta recursos do Azure (como grupos de contêineres) nas sub-redes na sua rede virtual.

Sub-rede (delegada)

As sub-redes segmentam a rede virtual em espaços de endereço separados utilizáveis pelos recursos do Azure colocados neles. Você cria uma ou várias sub-redes dentro de uma rede virtual.

A sub-rede que você usa para grupos de contêineres poderá conter somente grupos de contêineres. Quando você implanta um grupo de contêineres em uma sub-rede pela primeira vez, o Azure delega essa sub-rede às Instâncias de Contêiner do Azure. Depois de delegada, a sub-rede pode ser usada apenas para grupos de contêineres. Se você tentar implantar recursos diferentes de grupos de contêineres em uma sub-rede delegada, a operação falhará.

Perfil de rede

Importante

Os perfis de rede foram descontinuados na versão 2021-07-01 da API. Se você estiver usando essa ou uma versão mais recente, ignore as etapas e ações relacionadas aos perfis de rede.

Um perfil de rede é um modelo de configuração de rede para recursos do Azure. Ele especifica determinadas propriedades de rede para o recurso; por exemplo, a sub-rede na qual ele deve ser implantado. Quando você usa o comando az container create pela primeira vez para implantar um grupo de contêiner em uma sub-rede (e, portanto, em uma rede virtual), o Azure cria um perfil de rede para você. Em seguida, você pode usar esse perfil de rede para implantações futuras na sub-rede.

Para usar um modelo do Resource Manager, um arquivo YAML ou um método programático para implantar um grupo de contêiner em uma sub-rede, é necessário fornecer o ID completo do recurso do Gerenciador de Recursos de um perfil de rede. Você pode usar um perfil criado anteriormente usando o az contêiner create ou criar um perfil usando um modelo do Resource Manager (consulte exemplo de modelo e referência). Para obter o ID de um perfil criado anteriormente, use o comando lista de perfis de rede az.

No diagrama a seguir, vários grupos de contêineres foram implantados em uma sub-rede delegada a Instâncias de Contêiner do Azure. Depois de implantar um grupo de contêineres em uma sub-rede, você pode implantar grupos de contêineres adicionais nela especificando o mesmo perfil de rede.

Container groups within a virtual network

Próximas etapas