Dela via


Scenarier och resurser för virtuella nätverk

Azure Virtual Network tillhandahåller säkra, privata nätverk för dina Azure-resurser och lokala resurser. Genom att distribuera containergrupper till ett virtuellt Azure-nätverk kan dina containrar kommunicera säkert med andra resurser i det virtuella nätverket.

Den här artikeln innehåller bakgrund om scenarier, begränsningar och resurser i virtuella nätverk. Distributionsexempel med Hjälp av Azure CLI finns i Distribuera containerinstanser till ett virtuellt Azure-nätverk.

Viktigt!

Distribution av containergrupper till ett virtuellt nätverk är allmänt tillgängligt för Linux- och Windows-containrar, i de flesta regioner där Azure Container Instances är tillgängligt. Mer information finns i Resurstillgänglighet och kvotgränser.

Scenarier

Containergrupper som distribueras till ett virtuellt Azure-nätverk aktiverar scenarier som:

  • Direkt kommunikation mellan containergrupper i samma undernät
  • Skicka aktivitetsbaserade arbetsbelastningsutdata från containerinstanser till en databas i det virtuella nätverket
  • Hämta innehåll för containerinstanser från en tjänstslutpunkt i det virtuella nätverket
  • Aktivera containerkommunikation med lokala resurser via en VPN-gateway eller ExpressRoute
  • Integrera med Azure Firewall för att identifiera utgående trafik från containern
  • Lösa namn via den interna Azure DNS för kommunikation med Azure-resurser i det virtuella nätverket, till exempel virtuella datorer
  • Använda NSG-regler för att styra containeråtkomst till undernät eller andra nätverksresurser

Nätverksscenarier som inte stöds

  • Azure Load Balancer – Det går inte att placera en Azure Load Balancer framför containerinstanser i en nätverksbaserad containergrupp
  • Global peering för virtuella nätverk – Global peering (anslutning av virtuella nätverk i Azure-regioner) stöds inte
  • Offentlig IP- eller DNS-etikett – Containergrupper som distribueras till ett virtuellt nätverk stöder för närvarande inte att exponera containrar direkt på Internet med en offentlig IP-adress eller ett fullständigt domännamn
  • Hanterad identitet med virtuellt nätverk i Azure Government-regioner – Hanterad identitet med funktioner för virtuella nätverk stöds inte i Azure Government-regioner

Andra begränsningar

  • Om du vill distribuera containergrupper till ett undernät kan undernätet inte innehålla andra resurstyper. Ta bort alla befintliga resurser från ett befintligt undernät innan du distribuerar containergrupper till det eller skapa ett nytt undernät.
  • Om du vill distribuera containergrupper till ett undernät måste undernätet och containergruppen finnas i samma Azure-prenumeration.
  • På grund av de ytterligare nätverksresurser som ingår är distributioner till ett virtuellt nätverk vanligtvis långsammare än att distribuera en standardcontainerinstans.
  • Utgående anslutningar till port 25 och 19390 stöds inte just nu. Port 19390 måste öppnas i brandväggen för att ansluta till ACI från Azure Portal när containergrupper distribueras i virtuella nätverk.
  • För inkommande anslutningar bör brandväggen också tillåta alla IP-adresser i det virtuella nätverket.
  • Om du ansluter containergruppen till ett Azure Storage-konto måste du lägga till en tjänstslutpunkt till resursen.
  • IPv6-adresser stöds inte just nu.
  • Beroende på din prenumerationstyp kan vissa portar blockeras.
  • Containerinstanser läser eller ärver inte DNS-inställningar från ett associerat virtuellt nätverk. DNS-inställningar måste anges uttryckligen för containerinstanser.

Nödvändiga nätverksresurser

Det krävs tre Azure Virtual Network-resurser för att distribuera containergrupper till ett virtuellt nätverk: själva det virtuella nätverket , ett delegerat undernät i det virtuella nätverket och en nätverksprofil.

Virtuellt nätverk

Ett virtuellt nätverk definierar det adressutrymme där du skapar ett eller fler undernät. Sedan distribuerar du Azure-resurser (till exempel containergrupper) till undernäten i ditt virtuella nätverk.

Undernät (delegerat)

Undernät segmenterar det virtuella nätverket i separata adressutrymmen som kan användas av de Azure-resurser som du placerar i dem. Du skapar ett eller fler undernät i ett virtuellt nätverk.

Det undernät som du använder för containergrupper kan bara innehålla containergrupper. Innan du distribuerar en containergrupp till ett undernät måste du uttryckligen delegera undernätet innan du etablerar. När undernätet har delegerats kan det endast användas för containergrupper. Om du försöker distribuera andra resurser än containergrupper till ett delegerat undernät misslyckas åtgärden.

Nätverksprofil

Viktigt!

Nätverksprofiler har dragits tillbaka från och med API-versionen 2021-07-01 . Om du använder den här eller en senare version ignorerar du alla steg och åtgärder som rör nätverksprofiler.

En nätverksprofil är en mall för nätverkskonfiguration för Azure-resurser. Den anger vissa nätverksegenskaper för resursen, till exempel det undernät som den ska distribueras till. När du först använder kommandot az container create för att distribuera en containergrupp till ett undernät (och därmed ett virtuellt nätverk) skapar Azure en nätverksprofil åt dig. Du kan sedan använda nätverksprofilen för framtida distributioner till undernätet.

Om du vill använda en Resource Manager-mall, YAML-fil eller en programmatisk metod för att distribuera en containergrupp till ett undernät måste du ange det fullständiga Resource Manager-resurs-ID:t för en nätverksprofil. Du kan använda en profil som tidigare skapats med az container create eller skapa en profil med hjälp av en Resource Manager-mall (se mallexempel och referens). Om du vill hämta ID:t för en tidigare skapad profil använder du kommandot az network profile list .

Följande diagram visar flera containergrupper som distribuerats till ett undernät som delegerats till Azure Container Instances. När du har distribuerat en containergrupp till ett undernät kan du distribuera fler containergrupper till den genom att ange samma nätverksprofil.

Containergrupper i ett virtuellt nätverk

Nästa steg