Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Azure Container Apps opera no contexto de um ambiente , que gere a sua própria rede virtual. Ao criar um ambiente, algumas considerações-chave informam as capacidades de rede das suas aplicações container: tipo de ambiente, tipo de rede virtual e nível de acessibilidade.
Seleção de ambiente
As Aplicações Container têm dois tipos de ambiente. Partilham muitas das mesmas características de rede, com algumas diferenças importantes.
| Tipo de ambiente | Tipos de planos suportados | Descrição |
|---|---|---|
| Perfis de carga de trabalho (por defeito) | Consumo, Dedicado | Suporta rotas definidas pelo utilizador (UDRs), saída através do Azure NAT Gateway e criação de endpoints privados no ambiente da aplicação container. O tamanho mínimo necessário da sub-rede é /27. |
| Apenas para consumo (legado) | Consumo | Não suporta UDRs, saída através do Azure NAT Gateway, peering através de um gateway remoto ou outro sistema personalizado de saída. O tamanho mínimo necessário da sub-rede é /23. |
Para mais informações, consulte Tipos de Ambiente.
Tipo de rede virtual
Por defeito, o Container Apps está integrado com a rede Azure, que é acessível publicamente pela internet e só pode comunicar com endpoints acessíveis à internet. Também tem a opção de fornecer uma rede virtual existente enquanto cria o seu ambiente. Depois de criares um ambiente com a rede padrão do Azure ou com uma rede virtual existente, não podes mudar o tipo de rede.
Use uma rede virtual existente quando precisar de funcionalidades de rede Azure como:
- Grupos de segurança de rede.
- Integração com Gateway de Aplicação do Azure.
- Integração com Azure Firewall.
- Controlo sobre o tráfego de saída a partir da sua aplicação de contentores.
- Acesso a recursos através de endpoints privados na sua rede virtual.
Se usar uma rede virtual existente, precisa de fornecer uma sub-rede dedicada exclusivamente ao ambiente Container Apps que implementa. Esta sub-rede não está disponível para outros serviços. Para mais informações, consulte Configuração de rede virtual.
Nível de acessibilidade
Pode configurar se a sua aplicação de contentores permite entrada pública ou apenas entrada dentro da sua rede virtual ao nível do ambiente.
| Nível de acessibilidade | Descrição |
|---|---|
| Externa | A sua aplicação container pode aceitar pedidos públicos. Ambientes externos são implementados com um IP virtual num endereço IP externo e público. |
| Interno | Os ambientes internos não têm endpoints públicos e são implementados com um IP virtual mapeado para um endereço IP interno. O endpoint interno é um balanceador de carga interno do Azure. Os endereços IP são emitidos a partir da lista de endereços IP privados da rede virtual existente. |
Acesso à rede pública
A definição de acesso à rede pública determina se o seu ambiente Container Apps é acessível a partir da internet pública. Se você pode alterar essa configuração depois de criar seu ambiente depende da configuração de IP virtual do ambiente. A tabela a seguir mostra valores válidos para acesso à rede pública, dependendo da configuração de IP virtual do seu ambiente.
| Virtual IP | Acesso à rede pública suportado | Descrição |
|---|---|---|
| Externa |
Enabled, Disabled |
O ambiente Container Apps foi criado com um endpoint acessível à internet. A definição de acesso à rede pública determina se o tráfego é aceite através do endpoint público ou apenas através de endpoints privados. Podes alterar esta definição depois de criares o ambiente. |
| Interno | Disabled |
O ambiente Container Apps foi criado sem um endpoint acessível à internet. Não é possível alterar a configuração de acesso à rede pública para aceitar tráfego proveniente da Internet. |
Para criar endpoints privados no seu ambiente Container Apps, deve definir o acesso à rede pública para Disabled.
As políticas de rede do Azure são suportadas quando se utiliza o sinalizador de acesso à rede pública.
Configuração de entrada
Na secção de entrada , pode configurar as seguintes definições:
Ative ou desative o acesso para a sua aplicação de contentores.
Aceite tráfego para a sua app container de qualquer lugar ou apenas dentro do mesmo ambiente de Container Apps.
Defina regras de divisão de tráfego entre revisões da sua aplicação. Para obter mais informações, consulte Divisão de tráfego.
Para mais informações sobre cenários de rede, consulte Ingress em Azure Container Apps.
Recursos de entrada
| Característica | Saiba como |
|---|---|
|
Entrada Configurar ingresso |
Controle o roteamento do tráfego externo e interno para seu aplicativo de contêiner. |
| Ingresso Premium | Configure as definições avançadas de ingresso, como o suporte de perfis de carga de trabalho para o ingresso e o tempo limite de inatividade. |
| Restrições de PI | Restrinja o tráfego de entrada para seu aplicativo de contêiner por endereço IP. |
| Autenticação de certificado de cliente | Configure a autenticação de certificado de cliente (também conhecida como TLS mútuo ou mTLS) para seu aplicativo de contêiner. |
|
Divisão de tráfego Desdobramento azul/verde |
Divida o tráfego de entrada entre as revisões ativas do seu aplicativo de contêiner. |
| Afinidade de sessão | Encaminhe todas as solicitações de um cliente para a mesma réplica do seu aplicativo de contêiner. |
| Partilha de recursos entre origens (CORS) | Habilite o CORS para seu aplicativo de contêiner, que permite solicitações feitas através do navegador para um domínio que não corresponde à origem da página. |
| Roteamento baseado em caminho | Use regras para rotear solicitações para diferentes aplicativos de contêiner em seu ambiente, dependendo do caminho de cada solicitação. |
| Redes virtuais | Configure a rede virtual para o seu ambiente de Aplicações Container. |
| DNS | Configure o DNS para a rede virtual do seu ambiente Container Apps. |
| Ponto final privado | Use um endpoint privado para aceder de forma segura à sua aplicação container sem a expor à internet pública. |
| Integração com o Azure Front Door | Ligue-se diretamente do Azure Front Door a uma aplicação de contentor usando um link privado em vez da internet pública. |
Funcionalidades de envio
| Característica | Saiba como |
|---|---|
| Usando o Firewall do Azure | Use o Firewall do Azure para controlar o tráfego de saída do seu aplicativo de contêiner. |
| Redes virtuais | Configure a rede virtual para o seu ambiente de Aplicações Container. |
| Proteger uma rede virtual existente com um grupo de segurança de rede | Ajude a proteger a rede virtual do seu ambiente Container Apps utilizando um grupo de segurança de rede. |
| Integração com o gateway NAT do Azure | Use o Azure NAT Gateway para simplificar a conectividade à internet de saída na sua rede virtual num ambiente de perfil de carga de trabalho. |
Artigos de instruções
| Artigo | Saiba como |
|---|---|
| Fornecer uma rede virtual para um ambiente de Aplicativos de Contêiner do Azure | Use uma rede virtual. |
| Proteja Azure Container Apps utilizando Firewall de Aplicações Web no Application Gateway | Configurar o Firewall de Aplicações Web do Azure no Gateway de Aplicações do Azure. |
| Controlar o tráfego de saída em Azure Container Apps com rotas definidas pelo utilizador | Ativar os UDRs. |
| usa mTLS em Azure Container Apps | Criar uma aplicação com mTLS no Container Apps. |
| Usa um endpoint privado com um ambiente Azure Container Apps | Use um endpoint privado para aceder de forma segura à sua aplicação container sem a expor à internet pública. |
| Crie um link privado para uma aplicação container com Azure Front Door | Ligue-se diretamente do Azure Front Door a uma aplicação de contentor usando um link privado em vez da internet pública. |
Segurança ambiental
Pode ajudar a proteger o seu perfil de carga de trabalho para tráfego de entrada e saída de rede tomando as seguintes ações:
Crie o seu ambiente interno de Aplicações Container num ambiente de perfil de carga de trabalho. Para conhecer as etapas, consulte Gerenciar perfis de carga de trabalho com a CLI do Azure.
Integrar as Aplicações de Contentor com Application Gateway.
Configure um UDR para encaminhar todo o tráfego através de Azure Firewall.
Comportamento do proxy de borda HTTP
O Azure Container Apps utiliza um proxy HTTP de extremidade que termina o TLS e encaminha pedidos para cada aplicação.
Os aplicativos HTTP são dimensionados com base no número de solicitações e conexões HTTP. O Envoy encaminha o tráfego interno no interior dos clusters.
As ligações a jusante suportam HTTP/1.1 e HTTP/2. O Envoy deteta e atualiza automaticamente as ligações se a ligação do cliente necessitar de atualização.
Define as ligações a montante ao definir a propriedade transport no objeto ingress.
Dependências do portal
Para cada aplicação no Container Apps, há dois URLs.
O runtime do Container Apps gera inicialmente um nome de domínio totalmente qualificado (FQDN) que é usado para aceder à sua aplicação. Para obter a FQDN da tua app container, vai à tua app container no portal do Azure. No painel de Visão Geral , o FQDN é o valor do URL da aplicação .
Um segundo URL também é gerado para você. Este local permite o acesso ao serviço de transmissão de registos em fluxo e à consola. Se necessário, adicione https://azurecontainerapps.dev/ à lista de permissões do seu firewall ou proxy.
Portas e endereços IP
As seguintes portas estão expostas para ligações de entrada:
| Protocolo | Ports |
|---|---|
| HTTP/HTTPS | 80, 443 |
Os endereços IP têm os seguintes tipos:
| Tipo | Descrição |
|---|---|
| IP pública de entrada | Usado para tráfego de aplicações numa implementação externa e para tráfego de gestão tanto em implementações internas como externas. |
| IP público de saída | Usado como o IP de origem para conexões de saída da rede virtual. Essas conexões não são roteadas por uma VPN. Os IPs de saída podem mudar ao longo do tempo. A utilização do Azure NAT Gateway ou de outro proxy para o tráfego de saída de um ambiente do Container Apps é suportada apenas num ambiente com o perfil de workload. |
| IP do balanceador de carga interno | Existe apenas num ambiente interno. |