Cenários e recursos de rede virtual

  • Artigo

A Rede Virtual do Azure fornece rede segura e privada para seus recursos do Azure e locais. Ao implantar grupos de contêineres em uma rede virtual do Azure, seus contêineres podem se comunicar com segurança com outros recursos na rede virtual.

Este artigo fornece informações básicas sobre cenários, limitações e recursos de rede virtual. Para obter exemplos de implantação usando a CLI do Azure, consulte Implantar instâncias de contêiner em uma rede virtual do Azure.

Importante

A implantação de grupo de contêineres em uma rede virtual está geralmente disponível para contêineres Linux e Windows, na maioria das regiões onde as Instâncias de Contêiner do Azure estão disponíveis. Para obter detalhes, consulte Disponibilidade de recursos e limites de cota.

Cenários

Os grupos de contêineres implantados em uma rede virtual do Azure permitem cenários como:

  • Comunicação direta entre grupos de contêineres na mesma sub-rede
  • Enviar saída de carga de trabalho baseada em tarefas de instâncias de contêiner para um banco de dados na rede virtual
  • Recuperar conteúdo para instâncias de contêiner de um ponto de extremidade de serviço na rede virtual
  • Habilite a comunicação de contêiner com recursos locais por meio de um gateway VPN ou Rota Expressa
  • Integre-se ao Firewall do Azure para identificar o tráfego de saída originado do contêiner
  • Resolver nomes através do DNS interno do Azure para comunicação com recursos do Azure na rede virtual, como máquinas virtuais
  • Usar regras NSG para controlar o acesso de contêiner a sub-redes ou outros recursos de rede

Cenários de rede não suportados

  • Azure Load Balancer - Não há suporte para colocar um Balanceador de Carga do Azure na frente de instâncias de contêiner em um grupo de contêineres em rede
  • Emparelhamento de rede virtual global - Não há suporte para emparelhamento global (conexão de redes virtuais entre regiões do Azure)
  • IP público ou rótulo DNS - Os grupos de contêineres implantados em uma rede virtual atualmente não suportam a exposição de contêineres diretamente à Internet com um endereço IP público ou um nome de domínio totalmente qualificado
  • Identidade Gerenciada com Rede Virtual em Regiões Governamentais do Azure - A Identidade Gerenciada com recursos de rede virtual não é suportada nas Regiões Governamentais do Azure

Outras limitações

  • Para implantar grupos de contêineres em uma sub-rede, a sub-rede não pode conter outros tipos de recursos. Remova todos os recursos existentes de uma sub-rede existente antes de implementar os grupos de contentores na mesma ou crie uma sub-rede nova.
  • Para implantar grupos de contêineres em uma sub-rede, a sub-rede e o grupo de contêineres devem estar na mesma assinatura do Azure.
  • Não é possível habilitar uma sonda de animação ou uma sonda de prontidão em um grupo de contêineres implantado em uma rede virtual.
  • Devido aos recursos de rede adicionais envolvidos, as implantações em uma rede virtual geralmente são mais lentas do que a implantação de uma instância de contêiner padrão.
  • As conexões de saída para as portas 25 e 19390 não são suportadas no momento. A porta 19390 precisa ser aberta no Firewall para se conectar ao ACI a partir do portal do Azure quando grupos de contêineres são implantados em redes virtuais.
  • Para conexões de entrada, o firewall também deve permitir todos os endereços IP dentro da rede virtual.
  • Se você estiver conectando seu grupo de contêineres a uma Conta de Armazenamento do Azure, deverá adicionar um ponto de extremidade de serviço a esse recurso.
  • Endereços IPv6 não são suportados no momento.
  • Dependendo do seu tipo de subscrição, determinadas portas podem ser bloqueadas.
  • As instâncias de contêiner não leem nem herdam configurações de DNS de uma rede virtual associada. As configurações de DNS devem ser definidas explicitamente para instâncias de contêiner.

Recursos de rede necessários

Há três recursos da Rede Virtual do Azure necessários para implantar grupos de contêineres em uma rede virtual: a própria rede virtual, uma sub-rede delegada dentro da rede virtual e um perfil de rede.

Rede virtual

Uma rede virtual define o espaço de endereços no qual cria uma ou mais sub-redes. Depois, os recursos do Azure (como grupos de contentores) são implementados nas sub-redes da rede virtual.

Sub-rede (delegada)

As sub-redes segmentam a rede virtual em espaços de endereços separados que são utilizados pelos recursos do Azure que põe nas mesmas. Pode ser criada uma ou mais sub-redes numa rede virtual.

A sub-rede que você usa para grupos de contêineres pode conter apenas grupos de contêineres. Antes de implantar um grupo de contêineres em uma sub-rede, você deve delegar explicitamente a sub-rede antes do provisionamento. Uma vez delegada, a sub-rede só pode ser utilizada para grupos de contentores. Se tentar implementar recursos que não os grupos de contentores numa sub-rede delegada, a operação falha.

Perfil de rede

Importante

Os perfis de rede foram retirados a partir da versão da 2021-07-01 API. Se estiver a utilizar esta ou uma versão mais recente, ignore quaisquer passos e ações relacionados com perfis de rede.

Um perfil de rede é um modelo de configuração de rede para recursos do Azure. Especifica determinadas propriedades de rede para o recurso, como, por exemplo, a sub-rede em que tem de ser implementado. Quando você usa pela primeira vez o comando az container create para implantar um grupo de contêineres em uma sub-rede (e, portanto, em uma rede virtual), o Azure cria um perfil de rede para você. Depois, pode utilizar esse perfil de rede para implementações futuras na sub-rede.

Para usar um modelo do Gerenciador de Recursos, um arquivo YAML ou um método programático para implantar um grupo de contêineres em uma sub-rede, você precisa fornecer a ID de recurso completa do Gerenciador de Recursos de um perfil de rede. Você pode usar um perfil criado anteriormente usando az container create ou criar um perfil usando um modelo do Resource Manager (consulte o exemplo e a referência do modelo). Para obter a ID de um perfil criado anteriormente, use o comando az network profile list.

O diagrama a seguir mostra vários grupos de contêineres implantados em uma sub-rede delegada às Instâncias de Contêiner do Azure. Depois de implantar um grupo de contêineres em uma sub-rede, você pode implantar mais grupos de contêineres nele especificando o mesmo perfil de rede.

Grupos de contêineres em uma rede virtual

Próximos passos