虛擬網路情節和資源

Azure 虛擬網路會為 Azure 資源和內部部署資源提供安全的私人網路。 透過將容器群組部署至 Azure 虛擬網路，您的容器可在虛擬網路中安全地與其他資源通訊。

本文提供虛擬網路情節、限制和資源的相關背景。 如需使用 Azure CLI 的部署範例，請參閱將容器執行個體部署至 Azure 虛擬網路。

重要

虛擬網路的容器群組部署已正式推出，適用於 Linux 和 Windows 容器，以及提供 Azure 容器執行個體的多數區域。 如需詳細資訊，請參閱 資源可用性和配額限制。

案例

部署至 Azure 虛擬網路的容器群組可供您進行下列案例：

• 直接在同一個子網路中的容器群組間通訊
• 在虛擬網路中，將以工作為基礎的工作負載輸出從容器執行個體傳送至資料庫
• 從虛擬網路中的服務端點為容器執行個體擷取內容
• 使容器可透過 VPN 閘道或 ExpressRoute 與內部部署資源通訊
• 與 Azure 防火牆整合，以識別源自容器的輸出流量
• 透過內部 Azure DNS 解析名稱，以便與虛擬網路中的 Azure 資源通訊，例如虛擬機器
• 使用 NSG 規則來控制子網或其他網路資源的容器存取權

不支援的網路情節

• Azure Load Balancer - 不支援將 Azure Load Balancer 放在網路容器群組中的容器實例前面
• 全域虛擬網路對等互連 - 不支援全域對 等互連（跨 Azure 區域連線虛擬網路）
• 公用 IP 或 DNS 標籤 - 部署至虛擬網路的容器群組目前不支援使用公用 IP 位址或完整網域名稱直接向網際網路公開容器
• Azure Government 區域中具有 虛擬網絡 的受控識別 - Azure Government 區域中不支援具有虛擬網路功能的受控識別

其他限制

• 若要將容器群組部署至子網路，該子網路不能包含其他資源類型。 在將容器群組部署至子網路之前，請先將所有現有資源從現有的子網路移除，或是建立新的子網路。
• 若要將容器群組部署到子網路，子網路和容器群組必須位於相同的 Azure 訂用帳戶上。
• 您無法在部署至虛擬網路的容器群組中啟用活躍度探查或整備度探查。
• 由於涉及其他網路資源，部署至虛擬網路的速度通常會比部署標準容器執行個體要慢。
• 目前不支援埠 25 和 19390 的輸出連線。 必須在防火牆中開啟連接埠 19390，才能在虛擬網路中部署容器群組時，從 Azure 入口網站連線到 ACI。
• 針對輸入連線，防火牆也應該允許虛擬網路內的所有 IP 位址。
• 如果您要將容器群組連線到 Azure 儲存體 帳戶，您必須將服務端點新增至該資源。
• 目前不支援 IPv6 位址 。
• 根據您的訂用帳戶類型， 可能會封鎖特定埠。
• 容器實例不會從相關聯的虛擬網路讀取或繼承 DNS 設定。 必須明確設定容器實例的 DNS 設定。

必要的網路資源

將容器群組部署至虛擬網路需要三項 Azure 虛擬網路資源：虛擬網路本身、虛擬網路中的委派子網路及網路設定檔。

虛擬網路

虛擬網路可定義您建立一或多個子網路所在的位址空間。 接著，您可以將 Azure 資源 (例如容器群組) 部署到虛擬網路中的子網路。

子網路 (委派)

子網路會將虛擬網路分割成位址空間，供放在其中的 Azure 資源使用。 您可以在虛擬網路中建立一或多個子網路。

您用於容器群組的子網只能包含容器群組。 將容器群組部署至子網之前，您必須先明確委派子網，才能布建。 委派之後，子網路只能用於容器群組。 如果您嘗試將容器群組以外的資源部署至委派子網路，該作業會失敗。

網路設定檔

重要

自 2021-07-01 API 版本起，網路設定檔便已淘汰。 如果您使用此版本或更新版本，請忽略網路設定檔相關的任何步驟和動作。

網路設定檔是 Azure 資源的網路設定範本。 其會為資源指定特定的網路屬性，例如應該部署該資源的子網路。 當您首次使用 az container create 命令將容器群組部署至子網路 (也因此部署至虛擬網路) 時，Azure 會為您建立網路設定檔。 然後您可以在日後部署至子網路時，使用該網路設定檔。

若要使用 Resource Manager 範本、YAML 檔案或程式設計方法將容器群組部署至子網路，您必須提供網路設定檔的完整 Resource Manager 資源識別碼。 您可以使用先前使用 az container create 建立的設定檔，或使用 Resource Manager 範本來建立設定檔 (請參閱範本範例及參考)。 若要取得先前所建設定檔的識別碼，請使用 az network profile list 命令。

下圖描述部署到委派給 Azure 容器執行個體 之子網的數個容器群組。 將一個容器群組部署到子網之後，您可以藉由指定相同的網路配置檔，將更多容器群組部署到子網。

下一步

• 如需透過 Azure CLI 的部署範例，請參閱將容器執行個體部署至 Azure 虛擬網路。
• 若要使用 Resource Manager 範本部署新的虛擬網路、子網路、網路設定檔及容器群組，請參閱 Create an Azure container group with VNet (使用 VNet 建立 Azure 容器群組)。
• 使用 Azure 入口網站 建立容器實例時，您也可以在 [網络] 索引標籤上提供新虛擬網路或現有虛擬網路的設定。