Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Container Apps, kendi sanal ağı (VNet) ile bir ortam bağlamında çalışır.
Varsayılan olarak, Container App ortamınız sizin için otomatik olarak üretilmiş bir sanal ağ ile oluşturulur. Ağınız üzerinde ayrıntılı denetim için, ortam oluştururken mevcut bir sanal ağ sağlayabilirsiniz. Üretilen veya var olan bir sanal ağ ile ortam oluşturduktan sonra ağ türü değiştirilemez.
Oluşturulan sanal ağlar aşağıdaki özellikleri alır.
Bunlar:
- Microsoft'un kiracısında oluşturuldukları için size erişilemez.
- İnternet üzerinden genel olarak erişilebilir
- yalnızca İnternet'in erişebildiği uç noktalara ulaşabiliyor
Ayrıca, yalnızca giriş IP kısıtlamaları ve kapsayıcı uygulaması düzeyinde giriş denetimleri gibi ağ özelliklerinin sınırlı bir alt kümesini destekler.
Aşağıdakiler gibi daha fazla Azure ağ özelliğine ihtiyacınız varsa mevcut bir sanal ağı kullanın:
- Application Gateway ile tümleştirme
- Ağ Güvenlik Grupları
- Sanal ağınızdaki özel uç noktaların arkasındaki kaynaklarla iletişim
Kullanılabilir sanal ağ özellikleri, ortam seçiminize bağlıdır.
Ortam seçimi
Container Apps'in iki farklı ortam türü vardır ve bazı önemli farklarla aynı ağ özelliklerinin birçoğu paylaşılmıştır.
| Ortam türü | Desteklenen plan türleri | Açıklama |
|---|---|---|
| İş yükü profilleri | Tüketim, Özel | Kullanıcı tanımlı yolları (UDR) ve kapsayıcı uygulama ortamında özel uç noktalar oluşturmayı destekler, NAT Ağ Geçidi üzerinden çıkış yapmayı sağlar. Gereken en düşük alt ağ boyutu: /27. |
| Yalnızca tüketim | Tüketim | Kullanıcı tarafından tanımlanan yolları (UDR), NAT Ağ Geçidi üzerinden çıkışı, uzak ağ geçidi üzerinden eşlemeyi veya diğer özel çıkışları desteklemez. Gereken en düşük alt ağ boyutu: /23. |
Sanal IP
Sanal IP yapılandırmanıza bağlı olarak, kapsayıcı uygulama ortamınızın yalnızca sanal ağınızın içinden ortam düzeyinde genel girişe veya girişe izin verip vermediğini denetleyebilirsiniz. Ortamınız oluşturulduktan sonra bu yapılandırma değiştirilemez.
| Erişilebilirlik düzeyi | Açıklama |
|---|---|
| Harici | Kapsayıcı uygulamanızın genel istekleri kabul etmesine izin verir. Dış ortamlar, İnternete erişilebilen harici bir IP adresi üzerindeki sanal bir IP ile konumlandırılır. |
| Dahili | İç ortamların genel uç noktası yoktur ve bir iç IP adresine eşlenmiş bir sanal IP (VIP) ile dağıtılır. İç uç nokta bir Azure iç yük dengeleyicidir (ILB) ve IP adresleri özel sanal ağın özel IP adresleri listesinden verilir. |
Özel VNet yapılandırması
Özel bir sanal ağ oluştururken aşağıdaki durumları göz önünde bulundurun:
Kapsayıcı uygulamanızın tüm dış erişimi kısıtlamasını istiyorsanız, bir iç Container Apps ortamı oluşturun.
Kendi sanal ağınızı kullanıyorsanız, dağıttığınız Container App ortamına özel olarak ayrılmış bir alt ağ sağlamanız gerekir. Bu alt ağ diğer hizmetler tarafından kullanılamaz.
Ağ adresleri, ortam oluşturulurken tanımladığınız bir alt ağ aralığından atanır.
Container Apps ortamı tarafından kullanılan alt ağ aralığını tanımlayabilirsiniz.
Ortamı iç olarak dağıtarak gelen istekleri yalnızca sanal ağ ile kısıtlayabilirsiniz.
Dikkat
Kendi sanal ağınızı sağladığınızda, ek yönetilen kaynaklar oluşturulur. Bu kaynaklar ilişkili fiyatlarına göre maliyet doğurabilir.
Kapsayıcı uygulamanızın etrafındaki ağı tasarlamaya başladığınızda Sanal ağları planlama bölümüne bakın.
Dikkat
Eğer sanal ağ bir Container Apps ortamı tarafından kullanılıyorsa, bu sanal ağı farklı kaynak grupları veya abonelikler arasında taşımak mümkün değildir.
HTTP kenar ara sunucusu davranışı
Azure Container Apps, Envoy proxy'sini uç HTTP proxy'si olarak kullanır. Aktarım Katmanı Güvenliği (TLS) uçta sonlandırılır ve istekler trafik bölme kurallarına göre yönlendirilir ve trafiği doğru uygulamaya yönlendirir.
HTTP uygulamaları, HTTP isteklerinin ve bağlantılarının sayısına göre ölçeklendirilir. Envoy, iç trafiği kümeler içinde yönlendirir.
Aşağı akış bağlantıları HTTP1.1 ve HTTP2'yi destekler ve istemci bağlantısı yükseltme gerektiriyorsa, Envoy bağlantıları otomatik olarak algılar ve yükselter.
Yukarı akış bağlantıları, giriş nesnesinde transportözelliği ayarlanarak tanımlanır.
Giriş yapılandırması
Giriş bölümünde aşağıdaki ayarları yapılandırabilirsiniz:
Erişilebilirlik düzeyi: Kapsayıcı uygulamanızı ortamda dışarıdan veya dahili olarak erişilebilir olarak ayarlayabilirsiniz. Bir ortam değişkeni
CONTAINER_APP_ENV_DNS_SUFFIX, ortamınız için tam nitelikli etki alanı adı (FQDN) sonekini otomatik olarak çözümlemek için kullanılır. Aynı ortamdaki kapsayıcı uygulamaları arasında iletişim kurarken uygulama adını da kullanabilirsiniz. Uygulamalarınıza erişme hakkında daha fazla bilgi için bkz . Azure Container Apps'te giriş.Trafik bölme kuralları: Uygulamanızın farklı düzeltmeleri arasında trafik bölme kuralları tanımlayabilirsiniz. Daha fazla bilgi için, bkz. Trafik bölme işlemi.
Farklı ağ senaryoları hakkında daha fazla bilgi için Azure Container Apps'te Giriş bölümüne bakın.
Portal bağımlılıkları
Azure Container Apps'teki her uygulama için iki URL vardır.
Container Apps çalışma zamanı, ilk olarak uygulamanıza erişmek için kullanılan tam bir alan adı (FQDN) oluşturur. Kapsayıcı uygulamanızın FQDN'si için Azure portalındaki kapsayıcı uygulamanızın Genel Bakış penceresindeki Uygulama Url'sine bakın.
Sizin için ikinci bir URL de oluşturulur. Bu konum, günlük akış hizmetine ve konsola erişim sağlar. Gerekirse, güvenlik duvarınızın veya ara sunucunuzun izin verilenler listesine eklemeniz https://<region>.azurecontainerapps.dev/ gerekebilir.
Bağlantı noktaları ve IP adresleri
Gelen bağlantılar için aşağıdaki bağlantı noktaları açıktır.
| Protokol | Bağlantı noktası |
|---|---|
| HTTP/HTTPS | 80, 443 |
IP adresleri aşağıdaki türlere ayrılmıştır:
| Tip | Açıklama |
|---|---|
| Genel gelen IP adresi | Dış dağıtımdaki uygulama trafiği ve hem iç hem de dış dağıtımlarda yönetim trafiği için kullanılır. |
| Giden genel IP | Sanal ağdan ayrılan giden bağlantılar için kaynak IP olarak kullanılır. Bu bağlantılar bir VPN üzerinden yönlendirilmez. Giden IP'ler zaman içinde değişebilir. Container Apps ortamından giden trafik için NAT ağ geçidi veya başka bir ara sunucu kullanmak yalnızca iş yükü profilleri ortamında desteklenir. |
| İç yük dengeleyici IP adresi | Bu adres yalnızca bir iç ortamda bulunur. |
Alt ağ
Sanal ağ tümleştirmesi ayrılmış bir alt ağa bağlıdır. Bir alt ağdaki IP adreslerinin ayrılması ve desteklenen alt ağ boyutları, Azure Container Apps'te kullandığınız plana bağlıdır.
Alt ağ boyutunuzu dikkatle seçin. Container Apps ortamı oluşturduktan sonra alt ağ boyutları değiştirilemez.
Farklı ortam türlerinin farklı alt ağ gereksinimleri vardır:
/27, sanal ağ tümleştirmesi için gereken en düşük alt ağ boyutudur.Alt ağınız
Microsoft.App/environments'ye yetkilendirilmelidir.Dış girişli bir dış ortam kullanıldığında, gelen trafik, alt ağınız yerine altyapının genel IP adresi aracılığıyla yönlendirilir.
Container Apps, alt ağ ile tümleştirme için otomatik olarak 12 IP adresi ayırır. Altyapı tümleştirmesi için gereken IP adreslerinin sayısı, ortamın ölçek taleplerine göre farklılık göstermez. Ek IP adresleri, kullandığınız iş yükü profilinin türüne ve ortamınızın iş yükü profiline bağlı olarak aşağıdaki kurallara göre ayrılır:
Ayrılmış iş yükü profili: Kapsayıcı uygulamanızın ölçeği genişletildikçe her düğüme bir IP adresi atanır.
Tüketim iş yükü profili: Her IP adresi birden çok çoğaltma arasında paylaşılabilir. Uygulamanız için kaç IP adresi gerektiğini planlarken, her 10 çoğaltma için 1 IP adresi planlayın.
Tek revizyon modunda bir revizyonda değişiklik yaptığınızda, sıfır kesinti süreli dağıtımları desteklemek için gereken adres alanı kısa bir süreliğine iki katına çıkar. Bu, belirli bir alt ağ boyutu için gerçek, desteklenen ve kullanılabilir çoğaltmaları veya düğümleri etkiler. Aşağıdaki tabloda hem CIDR bloğu başına kullanılabilir en yüksek adres sayısı hem de yatay ölçek üzerindeki etkisi gösterilmektedir.
Alt Ağ Boyutu Kullanılabilir IP Adresleri1 En fazla düğüm (Ayrılmış iş yükü profili)2 En fazla kopya (Tüketim iş yükü profili)2 /23 498 249 2,490 /24 242 121 1,210 /25 114 57 570 /26 50 Yirmi beş 250 /27 18 9 90 1 Kullanılabilir IP adresleri, alt ağın boyutu eksi Alt ağ tarafından ayrılmış 5 IP adresi içeren Azure Container Apps altyapısı için gereken 14 IP adresidir.
2 Bu, tek düzeltme modundaki uygulamalar için hesaplanıyor.
Alt ağ adres aralığı kısıtlamaları
Alt ağ adres aralıkları Azure Kubernetes Services tarafından ayrılmış aşağıdaki aralıklarla çakışamaz:
- 169.254.0.0/16
- 172.30.0.0/16
- 172.31.0.0/16
- 192.0.2.0/24
Buna ek olarak, bir iş yükü profilleri ortamı aşağıdaki adresleri ayırır:
- 100.100.0.0/17
- 100.100.128.0/19
- 100.100.160.0/19
- 100.100.192.0/19
CLI ile alt ağ yapılandırması
Container Apps ortamı oluşturulduğunda, tek bir alt ağ için kaynak kimlikleri sağlarsınız.
CLI kullanıyorsanız, alt ağ kaynak kimliğini tanımlama parametresidir infrastructure-subnet-resource-id. Alt ağ, altyapı bileşenlerini ve kullanıcı uygulaması kapsayıcılarını barındırır.
Azure CLI'yi yalnızca Tüketim ortamıyla kullanıyorsanız ve platformReservedCidr aralığı tanımlanmışsa, alt ağ içinde platformReservedCidrtanımlanan IP aralığıyla çakışmamalıdır.
Güzergahlar
Kullanıcı tanımlı yollar (UDR)
Kullanıcı Tanımlı Yollar (UDR) ve NAT Ağ Geçidi üzerinden denetlenen çıkış, iş yükü profilleri ortamında desteklenir. Yalnızca Tüketim ortamında bu özellikler desteklenmez.
Dikkat
Azure Container Apps'te Azure Güvenlik Duvarı ile UDR kullanırken, güvenlik duvarı için izin verilenler listesine belirli FQDN'leri ve hizmet etiketlerini eklemeniz gerekir. Daha fazla bilgi edinmek için bkz. Azure Güvenlik Duvarı ile UDR'yi yapılandırma.
Container App'ınızdan giden trafiği Azure Güvenlik Duvarı veya diğer ağ gereçleri aracılığıyla kısıtlamak için UDR'yi iş yükü profilleri ortamlarıyla birlikte kullanabilirsiniz.
UDR yapılandırması, Container Apps ortam kapsamının dışında yapılır.
Azure, oluşturduğunuzda sanal ağlarınız için varsayılan bir yol tablosu oluşturur. Kullanıcı tanımlı bir yol tablosu uygulayarak trafiğin sanal ağınızda nasıl yönlendirilmiş olduğunu denetleyebilirsiniz. Örneğin, tüm trafiği güvenlik duvarına yönlendiren bir UDR oluşturabilirsiniz.
UDR'yi Azure Güvenlik Duvarı ile yapılandırma
Kullanıcı tanımlı yollar yalnızca iş yükü profilleri ortamında desteklenir. Aşağıdaki uygulama veya ağ kuralları, kullandığınız kaynaklara bağlı olarak güvenlik duvarınızın izin verilenler listesine eklenmelidir.
Dikkat
Sisteminizin gereksinimlerine bağlı olarak yalnızca uygulama kurallarını veya ağ kurallarını yapılandırmanız gerekir. Her ikisini de aynı anda yapılandırmak gerekli değildir.
Dikkat
Azure Güvenlik Duvarı ile giden trafiği kısıtlamak için Container Apps ile UDR'nin nasıl ayarlanacağına dair bir kılavuz için Container Apps ve Azure Güvenlik Duvarı nasıl yapılır kılavuzunu ziyaret edin.
Uygulama kuralları
Uygulama kuralları, uygulama katmanına göre trafiğe izin verir veya trafiği reddeder. Aşağıdaki giden güvenlik duvarı uygulama kuralları senaryoya göre gereklidir.
| Senaryolar | Tam Nitelikli Alan Adları (FQDN'ler) | Açıklama |
|---|---|---|
| Tüm senaryolar |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Microsoft Container Registry (MCR) için bu FQDN'ler Azure Container Apps tarafından kullanılır. Azure Güvenlik Duvarı ile Azure Container Apps kullanılırken bu uygulama kuralları veya MCR için ağ kuralları izin verilenler listesine eklenmelidir. |
| Azure Container Registry (ACR) |
ACR adresiniz, *.blob.core.windows.net, login.microsoft.com |
ACR ve Azure Güvenlik Duvarı ile Azure Container Apps kullanılırken bu FQDN'ler gereklidir. |
| Azure Key Vault |
Azure-Key-Vault adresiniz, login.microsoft.com |
Bu FQDN'ler, Azure Key Vault için ağ kuralı için gereken hizmet etiketine ek olarak gereklidir. |
| Yönetilen Kimlik |
*.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com, *.login.microsoft.com |
Azure Container Apps'te Azure Güvenlik Duvarı ile yönetilen kimlik kullanılırken bu FQDN'ler gereklidir. |
| Aspire Panosu | https://northcentralus.ext.azurecontainerapps.dev |
Bu FQDN, aspire panosu sanal ağ ile yapılandırılmış bir ortamda kullanılırken gereklidir. |
| Docker Hub Kayıt Defteri |
hub.docker.com, registry-1.docker.io, production.cloudflare.docker.com |
Docker Hub kayıt defterini kullanıyorsanız ve bu kayıt defterine güvenlik duvarı üzerinden erişmek istiyorsanız, bu FQDN'leri güvenlik duvarına eklemeniz gerekir. |
Ağ kuralları
Ağ kuralları, ağ ve aktarım katmanına göre trafiğe izin verir veya trafiği reddeder. Senaryoya bağlı olarak aşağıdaki giden güvenlik duvarı ağ kuralları gereklidir.
| Senaryolar | Hizmet Etiketi | Açıklama |
|---|---|---|
| Tüm senaryolar |
MicrosoftContainerRegistry, AzureFrontDoorFirstParty |
Microsoft Container Registry (MCR) için bu Hizmet Etiketleri Azure Container Apps tarafından kullanılır. Azure Güvenlik Duvarı ile Azure Container Apps kullanılırken bu ağ kuralları veya MCR için uygulama kuralları izin verilenler listesine eklenmelidir. |
| Azure Container Registry (ACR) |
AzureContainerRegistry, AzureActiveDirectory |
Azure Container Apps ile ACR kullanırken Azure Container Registry tarafından kullanılan bu ağ kurallarını yapılandırmanız gerekir. |
| Azure Key Vault |
AzureKeyVault, AzureActiveDirectory |
Bu hizmet etiketleri, Azure Key Vault ağ kuralı için FQDN'ye ek olarak gereklidir. |
| Yönetilen Kimlik | AzureActiveDirectory |
Azure Container Apps ile Yönetilen Kimlik kullanırken, Yönetilen Kimlik tarafından kullanılan bu ağ kurallarını yapılandırmanız gerekir. |
Dikkat
Bu makalede listelenmeyen Azure Güvenlik Duvarı ile kullandığınız Azure kaynakları için hizmet etiketleri belgelerine bakın.
NAT ağ geçidi entegrasyonu
NAT Gateway'i kullanarak bir iş yükü profili ortamında sanal ağınızdaki internet çıkışınızı basitleştirebilirsiniz.
Alt ağınızda bir NAT Ağ Geçidi yapılandırdığınızda, NAT Ağ Geçidi ortamınız için statik bir genel IP adresi sağlar. Kapsayıcı uygulamanızdan gelen tüm giden trafik NAT Gateway'in statik genel IP adresi üzerinden yönlendirilir.
Genel ağ erişimi
Genel ağ erişim ayarı, kapsayıcı uygulamaları ortamınıza genel İnternet'ten erişilip erişilemeyeceğini belirler. Ortamınızı oluşturduktan sonra bu ayarı değiştirip değiştiremeyeceğiniz, ortamın sanal IP yapılandırmasına bağlıdır. Aşağıdaki tabloda, ortamınızın sanal IP yapılandırmasına bağlı olarak genel ağ erişimi için geçerli değerler gösterilmektedir.
| Sanal IP | Desteklenen genel ağ erişimi | Açıklama |
|---|---|---|
| Harici |
Enabled, Disabled |
Kapsayıcı uygulamaları ortamı, İnternet'te erişilebilen bir uç noktayla oluşturulmuştur. Genel ağ erişim ayarı, trafiğin genel uç nokta üzerinden mi yoksa yalnızca özel uç noktalar aracılığıyla mı kabul edilip edilmeyeceğini belirler ve genel ağ erişim ayarı ortam oluşturulduktan sonra değiştirilebilir. |
| Dahili | Disabled |
Kapsayıcı uygulamaları ortamı, İnternet'te erişilebilen bir uç nokta olmadan oluşturulmuştur. Genel ağ erişim ayarı, İnternet'ten gelen trafiği kabul etmek için değiştirilemez. |
Azure Container App ortamınızda özel uç noktalar oluşturmak için genel ağ erişimi olarak Disabledayarlanmalıdır.
Azure ağ ilkeleri genel ağ erişim bayrağıyla desteklenir.
Özel uç nokta
Azure özel uç noktası, özel ağınızda bulunan istemcilerin Azure Özel Bağlantı aracılığıyla Azure Container Apps ortamınıza güvenli bir şekilde bağlanmasını sağlar. Özel bağlantı bağlantısı, genel İnternet'e maruz kalma durumunu ortadan kaldırır. Özel uç noktalar, Azure sanal ağ adres alanınızda özel bir IP adresi kullanır.
Bu özellik, iş yükü profili ortamlarında hem Tüketim hem de Ayrılmış planlar için desteklenir.
Eğitimler
- Azure Container Apps'te özel uç noktaları yapılandırma hakkında daha fazla bilgi edinmek için Bkz . Azure Container Apps ortamıyla özel uç nokta kullanma öğreticisi.
- Azure Front Door ile özel bağlantı bağlantısı, Azure Container Apps için desteklenir. Daha fazla bilgi için bkz. Azure Front Door ile özel bağlantı oluşturma.
Dikkat edilmesi gereken noktalar
- Özel bir uç noktayı özel etki alanı ve bir Apex etki alanı ile Ana bilgisayar adı kayıt türü olarak kullanmak için, genel DNS ile aynı adı taşıyan bir özel DNS bölgesi yapılandırmanız gerekir. Kayıt kümesinde, kapsayıcı uygulaması ortamının IP adresi yerine özel uç noktanızın özel IP adresini yapılandırın. Özel etki alanınızı CNAME ile yapılandırdığınızda, kurulum değişmez. Daha fazla bilgi için bkz: Var olan sertifikayla özel etki alanı ayarlama.
- Özel uç noktanızın sanal ağı, kapsayıcı uygulamanızla tümleştirilmiş sanal ağdan ayrı olabilir.
- Hem yeni hem de mevcut iş yükü profili ortamlarına özel uç nokta ekleyebilirsiniz.
Kapsayıcı uygulamalarınıza özel bir uç nokta üzerinden bağlanmak için özel bir DNS bölgesi yapılandırmanız gerekir.
| Hizmet | alt kaynak | Özel DNS bölge adı |
|---|---|---|
| Azure Container Apps (Microsoft.App/ManagedEnvironments) | yönetilen Çevre | özel bağlantı.{regionName}.azurecontainerapps.io |
Ortam güvenliği
Dikkat
Giriş trafiğini denetlemek için Application Gateway yerine Azure Front Door'a özel bağlantısı olan özel uç noktaları da kullanabilirsiniz.
Aşağıdaki eylemleri gerçekleştirerek giriş ve çıkış ağ trafiği iş yükü profilleri ortamınızın güvenliğini tam olarak sağlayabilirsiniz:
İç kapsayıcı uygulama ortamınızı bir iş yükü profilleri ortamında oluşturun. Adımlar için bkz . Azure CLI ile iş yükü profillerini yönetme.
Container Apps'inizi bir Application Gateway ile tümleştirin.
UDR'yi tüm trafiği Azure Güvenlik Duvarı üzerinden yönlendirecek şekilde yapılandırın.
Azure Container Apps ortamında eşler arası şifreleme sistemi
Azure Container Apps, ortamda eşler arası TLS şifrelemesini destekler. Bu özelliğin etkinleştirilmesi, ortamdaki tüm ağ trafiğini Azure Container Apps ortam kapsamında geçerli olan bir özel sertifikayla şifreler. Azure Container Apps bu sertifikaları otomatik olarak yönetir.
Dikkat
Varsayılan olarak, eşler arası şifreleme devre dışı bırakılmıştır. Uygulamalarınız için eşler arası şifrelemeyi etkinleştirmek, yüksek yük senaryolarında yanıt gecikme süresini artırabilir ve maksimum aktarım hızını azaltabilir.
Aşağıdaki örnekte eşler arası şifrelemenin etkinleştirildiği bir ortam gösterilmektedir.
1 Gelen TLS trafiği, ortamın kenarındaki giriş proxy'sinde sonlandırılır.
2 Ortam içindeki giriş ara sunucusuna giren ve çıkan trafik, TLS özel bir sertifika ile şifrelenir ve alıcı tarafından şifresi çözülür.
3 A uygulamasından B uygulamasının FQDN'sine yapılan çağrılar önce uç giriş ara sunucusuna gönderilir ve TLS şifrelenir.
4 B uygulamasının uygulama adı kullanılarak A uygulamasından B uygulamasına yapılan çağrılar doğrudan B uygulamasına gönderilir ve TLS şifrelenir. Uygulamalar ve Java bileşenleri arasındaki çağrılar, uygulamadan uygulamaya iletişimle aynı şekilde ele alınır ve TLS ile şifrelenir.
Container Apps ortamındaki uygulamaların kimliği otomatik olarak doğrulanır. Ancak Container Apps çalışma zamanı, yerleşik eşler arası şifrelemeyi kullanarak uygulamalar arasında erişim denetimi için yetkilendirmeyi desteklemez.
Uygulamalarınız ortamın dışındaki bir istemciyle iletişim kurarken mTLS ile iki yönlü kimlik doğrulaması desteklenir. Daha fazla bilgi edinmek için bkz . İstemci sertifikalarını yapılandırma.
Aşağıdaki komutları kullanarak eşler arası şifrelemeyi etkinleştirebilirsiniz.
Oluşturma sırasında:
az containerapp env create \
--name <environment-name> \
--resource-group <resource-group> \
--location <location> \
--enable-peer-to-peer-encryption
Mevcut bir kapsayıcı uygulaması için:
az containerapp env update \
--name <environment-name> \
--resource-group <resource-group> \
--enable-peer-to-peer-encryption
Kural tabanlı yönlendirme (önizleme)
Kural tabanlı yönlendirme ile kapsayıcı uygulamalar ortamınızda tam etki alanı adı (FQDN) oluşturursunuz. Ardından, her isteğin yoluna bağlı olarak istekleri bu FQDN'ye farklı kapsayıcı uygulamalarına yönlendirmek için kuralları kullanırsınız. Bu, aşağıdaki avantajları sunar.
Yalıtım: Farklı yolları farklı kapsayıcı uygulamalarına yönlendirerek, tüm uygulamayı etkilemeden tek tek bileşenleri dağıtabilir ve güncelleştirebilirsiniz.
Ölçeklenebilirlik: Kural tabanlı yönlendirme ile kapsayıcı uygulamalarını her kapsayıcı uygulamasının aldığı trafiğe göre bağımsız olarak ölçeklendikleyebilirsiniz.
Özel Yönlendirme Kuralları: Örneğin, kullanıcıları uygulamanızın farklı sürümlerine yönlendirebilir veya A/B testi uygulayabilirsiniz.
Güvenlik: Her kapsayıcı uygulamasına uyarlanmış güvenlik önlemleri uygulayabilirsiniz. Bu, uygulamanızın saldırı yüzeyini azaltmanıza yardımcı olur.
Kapsayıcı uygulamaları ortamınızda kural tabanlı yönlendirmeyi yapılandırmayı öğrenmek için bkz. Kural tabanlı yönlendirmeyi kullanma.
Alan Adı Sistemi (DNS)
Özel DNS: Sanal ağınız varsayılan Azure tarafından sağlanan DNS sunucusu yerine özel bir DNS sunucusu kullanıyorsa, DNS sunucunuzu çözümlenmemiş DNS sorgularını adresine iletecek
168.63.129.16şekilde yapılandırın. Azure özyinelemeli çözümleyiciler istekleri çözümlemek için bu IP adresini kullanır. NSG'nizi veya güvenlik duvarınızı yapılandırırken adresi engellemeyin168.63.129.16, aksi takdirde Container Apps ortamınız düzgün çalışmaz.Sanal ağ kapsamı girişi: İç ortamda sanal ağ kapsamı girişi kullanmayı planlıyorsanız, etki alanlarınızı aşağıdaki yollardan biriyle yapılandırın:
Özel olmayan etki alanları: Özel etki alanı kullanmayı planlamıyorsanız, Container Apps ortamının varsayılan etki alanını Container Apps ortamının statik IP adresine çözümleyen özel bir DNS bölgesi oluşturun. Azure Özel DNS veya kendi DNS sunucunuzu kullanabilirsiniz. Azure Özel DNS kullanıyorsanız,
<UNIQUE_IDENTIFIER>.<REGION_NAME>.azurecontainerapps.iokaydı içerecek şekilde Container App ortamının varsayılan etki alanı olanAadlı özel bir DNS Bölgesi oluşturun. Kayıt,AContainer Apps ortamının adını*<DNS Suffix>ve statik IP adresini içerir. Daha fazla bilgi için bkz. Azure Özel DNS bölgesi oluşturma ve yapılandırma.Özel etki alanları: Özel etki alanları kullanmayı planlıyorsanız ve bir dış Container Apps ortamı kullanıyorsanız, kapsayıcı uygulamasına özel bir etki alanı ve sertifika eklemek için genel olarak çözümlenebilir bir etki alanı kullanın. Bir iç Container Apps ortamı kullanıyorsanız, kümeye yalnızca sanal ağ içinden erişilebildiği için DNS bağlaması için doğrulama yoktur. Ayrıca, apex etki alanını Container Apps ortamının statik IP adresine çözümlemek için özel bir DNS bölgesi oluşturun. Azure Özel DNS veya kendi DNS sunucunuzu kullanabilirsiniz. Azure Özel DNS kullanıyorsanız, apex etki alanı adında bir Özel DNS Bölgesi oluşturun ve bir
Akaydıyla Container Apps ortamının statik IP adresine işaret edin.
Container Apps ortamının statik IP adresi, Azure portalındaki kapsayıcı uygulaması sayfasındaki Özel DNS son ekinde veya Azure CLI komutu kullanılarak kullanılabilir.
Yönetilen kaynaklar
Kendi ağınıza bir iç veya dış ortam dağıttığınızda, ortamınızın barındırıldığı Azure aboneliğinde yeni bir kaynak grubu oluşturulur. Bu kaynak grubu Azure Container Apps platformu tarafından yönetilen altyapı bileşenlerini içerir. Bu gruptaki hizmetleri veya kaynak grubunun kendisini değiştirmeyin.
Dikkat
Container Apps ortamınıza atanan kullanıcı tanımlı etiketler, kaynak grubunun kendisi de dahil olmak üzere kaynak grubu içindeki tüm kaynaklara çoğaltılır.
İş yükü profilleri ortamı
Ortamınızın barındırıldığı Azure aboneliğinde oluşturulan kaynak grubunun adı varsayılan olarak ME_ ile başlar ve kapsayıcı uygulama ortamınızı oluştururken kaynak grubu adı özelleştirilebilir.
Dış ortamlar için kaynak grubu, dış ortamınıza gelen bağlantı ve yük dengeleyici için özel olarak kullanılan bir genel IP adresi içerir. İç ortamlar için kaynak grubu yalnızca bir Load Balancer içerir.
Standart Azure Container Apps faturalamasına ek olarak aşağıdakiler için faturalandırılırsınız:
İç veya dış ortam kullanıyorsanız çıkış için bir standart statik genel IP ve dış ortam kullanıyorsanız giriş için bir standart statik genel IP . SNAT sorunları nedeniyle çıkış için daha fazla genel IP'ye ihtiyacınız varsa, geçersiz kılma istemek için bir destek bileti açın.
Bir standart yük dengeleyici.
İşlenen verilerin maliyeti (GB'lerde), yönetim işlemleri için hem giriş hem de çıkış içerir.
Sadece tüketime yönelik ortam
Ortamınızın barındırıldığı Azure aboneliğinde oluşturulan kaynak grubunun adı varsayılan olarak ön eke MC_ sahiptir ve kapsayıcı uygulaması oluşturduğunuzda kaynak grubu adı özelleştirilemiyor . Kaynak grubu, ortamınızdan giden bağlantı ve yük dengeleyici için özel olarak kullanılan genel IP adreslerini içerir.
Standart Azure Container Apps faturalamasına ek olarak aşağıdakiler için faturalandırılırsınız:
Çıkış için bir standart statik genel IP adresi. Kaynak Ağ Adresi Çevirisi (SNAT) sorunlarından dolayı çıkış için daha fazla IP'ye ihtiyacınız varsa, geçersiz kılma isteğinde bulunmak için bir destek bileti açın.
İç ortam kullanıyorsanız iki standart yük dengeleyici veya dış ortam kullanıyorsanız bir standart yük dengeleyici . Her yük dengeleyicinin altıdan az kuralı vardır. İşlenen verilerin maliyeti (GB'lerde), yönetim işlemleri için hem giriş hem de çıkış içerir.