Scenari e risorse di reti virtuali

In Rete virtuale di Azure sono disponibili funzionalità per implementare una rete sicura e privata per le risorse locali e di Azure. Grazie alla distribuzione di gruppi di contenitori in una rete virtuale di Azure, i contenitori possono comunicare in modo sicuro con altre risorse nella rete virtuale.

Questo articolo fornisce informazioni generali su scenari di rete virtuale, limitazioni e risorse. Per esempi di distribuzione che usano l'interfaccia della riga di comando di Azure, vedere Distribuire istanze di contenitore in una rete virtuale di Azure.

Scenari

Gruppi di contenitori distribuiti in una rete virtuale di Azure abilitano scenari analoghi ai seguenti:

• Comunicazione diretta tra gruppi di contenitori nella stessa subnet.
• Invio dell'output di carichi di lavoro basati su attività dalle istanze di contenitore a un database nella rete virtuale.
• Recuperare il contenuto per le istanze di contenitore da un endpoint di servizio nella rete virtuale.
• Abilitare la comunicazione dei contenitori con le risorse locali tramite un gateway VPN o ExpressRoute.
• Eseguire l'integrazione con Firewall di Azure per identificare il traffico in uscita proveniente dal contenitore.
• Risolvere i nomi tramite il DNS interno di Azure per comunicare con le risorse di Azure nella rete virtuale, come ad esempio le macchine virtuali.
• Usare le regole del gruppo di sicurezza di rete (NSG) per controllare l'accesso dei container alle subnet o ad altre risorse di rete.
• Distribuire un'applicazione in contenitori scalabile usando Istanze di Azure Container e distribuire il traffico in ingresso in modo uniforme tra più gruppi di contenitori usando Azure Load Balancer Standard.

Scenari di rete non supportati

• Peering globale di rete virtuale: il peering globale (connessione di reti virtuali tra aree di Azure) non è supportato
• Indirizzo IP pubblico o etichetta DNS: i gruppi di contenitori distribuiti in una rete virtuale non supportano attualmente l'esposizione di contenitori direttamente a Internet con un indirizzo IP pubblico o un nome di dominio completo
• Identità gestita con Rete virtuale in aree di Azure per enti pubblici : l'identità gestita con funzionalità di rete virtuale non è supportata nelle aree Azure per enti pubblici

Altre limitazioni

• Per distribuire gruppi di contenitori in una subnet, la subnet non può contenere altri tipi di risorse. Rimuovere tutte le risorse esistenti da una subnet esistente prima di distribuirvi gruppi di contenitori o creare una nuova subnet.
• Per distribuire gruppi di contenitori in una subnet, la subnet e il gruppo di contenitori devono trovarsi nella stessa sottoscrizione di Azure.
• A causa delle risorse di rete aggiuntive coinvolte, le distribuzioni in una rete virtuale sono in genere più lente rispetto alla distribuzione di un'istanza di contenitore standard.
• Le connessioni in uscita alla porta 25 e 19390 non sono attualmente supportate. La porta 19390 deve essere aperta nel firewall per la connessione ad ACI da portale di Azure quando i gruppi di contenitori vengono distribuiti nelle reti virtuali.
• Per le connessioni in ingresso, il firewall deve anche consentire tutti gli indirizzi IP all'interno della rete virtuale.
• Se si connette il gruppo di contenitori a un account Archiviazione di Azure, è necessario aggiungere un endpoint di servizio a tale risorsa.
• Gli indirizzi IPv6 non sono attualmente supportati.
• A seconda del tipo di sottoscrizione, alcune porte potrebbero essere bloccate.
• Le istanze del contenitore non leggono o ereditano le impostazioni DNS da una rete virtuale associata. Le impostazioni DNS devono essere impostate in modo esplicito per le istanze del contenitore.

Distribuire gruppi di contenitori in una rete virtuale

Per distribuire gruppi di contenitori in una rete virtuale, sono necessarie tre risorse di Rete virtuale di Azure, ovvero la rete virtuale stessa, una subnet delegata nella rete virtuale e un profilo di rete.

Rete virtuale

Una rete virtuale definisce lo spazio degli indirizzi in cui si creano una o più subnet. A questo punto è possibile distribuire le risorse di Azure (ad esempio i gruppi di contenitori) nelle subnet nella rete virtuale.

Subnet (delegata)

Le subnet segmentano la rete virtuale in spazi di indirizzi separati usabili dalle risorse di Azure contenute. In una rete virtuale possono essere create una o più subnet.

La subnet usata per i gruppi di contenitori può includere solo gruppi di contenitori. Prima di distribuire un gruppo di contenitori in una subnet, è necessario delegare in modo esplicito la subnet prima di effettuare il provisioning. Dopo che è stata delegata, la subnet può essere usata solo per i gruppi di contenitori. Se si prova a distribuire risorse diverse da gruppi di contenitori in una subnet delegata, l'operazione ha esito negativo.

Connettività in uscita

Il gateway NAT deve essere configurato con l'indirizzo IP pubblico, in modo che i gruppi di contenitori passino in uscita attraverso l'indirizzo IP pubblico. Ciò consente anche ai clienti di usare indirizzi IP taggati dal servizio e/o di avere regole appropriate per l'NSG.

Usare la seguente Guida di avvio rapido: Creare un gateway NAT per creare un gateway NAT.

Profilo di rete

Un profilo di rete è un modello di configurazione di rete per le risorse di Azure. Il profilo specifica determinate proprietà di rete per la risorsa, ad esempio la subnet in cui deve essere distribuito. Quando si usa per la prima volta il comando az container create per distribuire un gruppo di contenitori in una subnet (e quindi una rete virtuale), Azure crea automaticamente un profilo di rete. È quindi possibile usare tale profilo di rete per le distribuzioni future nella subnet.

Per usare un modello di Resource Manager, il file YAML o un metodo a livello di codice per distribuire un gruppo di contenitori in una subnet, è necessario specificare l'ID risorsa di Resource Manager completo di un profilo di rete. È possibile usare un profilo creato in precedenza usando az container create oppure creare un profilo usando un modello di Resource Manager (vedere l'esempio di modello e le informazioni di riferimento). Per ottenere l'ID di un profilo creato in precedenza, usare il comando az network profile list.

Il diagramma seguente illustra diversi gruppi di contenitori distribuiti in una subnet delegata a Istanze di Azure Container. Dopo aver distribuito un gruppo di contenitori in una subnet, è possibile distribuire più gruppi di contenitori specificando lo stesso profilo di rete.

Distribuire gruppi di contenitori con Azure Load Balancer Standard

I clienti possono distribuire applicazioni in contenitori scalabili usando Istanze di Azure Container e distribuire il traffico in ingresso in modo uniforme tra più gruppi di contenitori usando Azure Load Balancer Standard.

Prerequisiti

I clienti devono creare un servizio di bilanciamento del carico pubblico o interno con la rispettiva configurazione IP front-end, probe di integrità, regole di bilanciamento del carico e pool back-end in base alle esigenze del carico di lavoro.

Esempio: Aggiungere istanze di ACI al pool back-end usando l'interfaccia della riga di comando di Azure

az network lb address-pool update -g MyResourceGroup --lb-name MyLb -n MyAddressPool --vnet MyVnetResource --backend-addresses "[{name:ACI-Instance1,ip-address:10.0.0.5,subnet:subnetName},{name:ACI-Instance2,ip-address:10.0.0.6,subnet:subnetName},{name:ACI-Instance3,ip-address:10.0.0.7,subnet:subnetName}]"

Esempio: Aggiungere istanze di ACI al pool back-end usando PowerShell

$vnetName = "vnetname"
$subnetName = "ACI subnet name"
$resourceGroup = "rg name"
$loadBalancerName = "LB Name"

$virtualNetwork = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $resourceGroup
$subnet = Get-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $virtualNetwork
$loadBalancer = Get-AzLoadBalancer -ResourceGroupName $resourceGroup -Name $loadBalancerName
$ip1 = New-AzLoadBalancerBackendAddressConfig -IpAddress "10.0.0.5" -Name "ACI-Instance1" -SubnetId $subnet.Id
$ip2 = New-AzLoadBalancerBackendAddressConfig -IpAddress "10.0.0.6" -Name "ACI-Instance2" -SubnetId $subnet.Id
$ip3 = New-AzLoadBalancerBackendAddressConfig -IpAddress "10.0.0.7" -Name "ACI-Instance3" -SubnetId $subnet.Id
$backendPool = $loadBalancer.BackendAddressPools[0]
$backendPool.LoadBalancerBackendAddresses.Add($ip1)
$backendPool.LoadBalancerBackendAddresses.Add($ip2)
$backendPool.LoadBalancerBackendAddresses.Add($ip3)
Set-AzLoadBalancerBackendAddressPool -InputObject $backendPool

Passaggi successivi

• Per esempi di distribuzione con l'interfaccia della riga di comando di Azure, vedere Distribuire istanze di contenitori in una rete virtuale di Azure.
• Per distribuire una nuova rete virtuale, una subnet, un profilo di rete e un gruppo di contenitori usando un modello di Resource Manager, vedere Creare un gruppo di contenitori di Azure con rete virtuale.
• Quando si usa il portale di Azure per creare un'istanza del contenitore, è anche possibile specificare le impostazioni per una rete virtuale nuova o esistente nella scheda Rete.