Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os pontos de extremidade privados do Azure permitem que os clientes localizados na sua rede privada se conectem com segurança ao ambiente do Aplicativos de Contêiner do Azure por meio do Link Privado do Azure. Uma conexão Link Privado elimina a exposição à Internet pública. Os pontos de extremidade privados usam um endereço IP privado no espaço de endereço de rede virtual do Azure e são normalmente configurados com uma zona DNS privada.
Há suporte para pontos de extremidade privados para planos de consumo e dedicados em ambientes de perfil de carga de trabalho.
Faturamento
Pontos de extremidade privados incorrem em custos adicionais. Ao habilitar um endpoint privado no Container Apps, você será cobrado por ambos:
- O recurso Link Privado.
- A infraestrutura de ponto de extremidade privado dedicada para Aplicativos de Contêiner. Ele aparece como um encargo separado do Gerenciamento de Planos Dedicados e se aplica a planos dedicados e de consumo.
Artigos de instruções
- Para saber mais sobre como configurar pontos de extremidade privados em Aplicativos de Contêiner, consulte Use um ponto de extremidade privado com um ambiente Aplicativos de Contêiner do Azure.
- A conectividade do Link Privado com o Azure Front Door é compatível com o Container Apps. Para obter mais informações, consulte Criar um link privado com Azure Front Door.
Considerações
- Para usar um ponto de extremidade privado, você deve desabilitar o acesso à rede pública. Por padrão, o acesso à rede pública está habilitado, o que significa que os pontos de extremidade privados estão desabilitados.
- Para usar um endpoint privado com um domínio personalizado e um domínio raiz como tipo de registro de nome do host, você deve configurar uma zona DNS privada com o mesmo nome do seu DNS público. No conjunto de registros, configure o endereço IP privado do seu endpoint privado em vez do endereço IP do ambiente do Container Apps. Ao configurar seu domínio personalizado com CNAME, a configuração permanece inalterada. Para obter mais informações, consulte Configurar um domínio personalizado com um certificado existente.
- A rede virtual do seu endpoint privado pode ser separada da rede virtual à qual seu aplicativo de contêiner foi integrado.
- Você pode adicionar um ponto de extremidade privado tanto a ambientes de perfil de carga de trabalho novos quanto existentes.
Para se conectar aos aplicativos de contêiner por meio de um ponto de extremidade privado, você deve configurar uma zona DNS privada.
| Serviço | Sub-recurso | Nome da zona de DNS privada |
|---|---|---|
Aplicativos de Contêiner do Azure (Microsoft.App/ManagedEnvironments) |
managedEnvironment |
privatelink.{regionName}.azurecontainerapps.io |
Você também pode utilizar pontos de extremidade privados com uma conexão privada com Azure Front Door no lugar de Gateway de Aplicativo do Azure.
DNS
A configuração do DNS na rede virtual do ambiente de Aplicativos de Contêiner é importante pelos seguintes motivos:
O DNS permite que seus aplicativos de contêiner resolvam nomes de domínio para endereços IP para que possam descobrir e se comunicar com serviços dentro e fora da rede virtual. Esses serviços incluem o Application Gateway, grupos de segurança de rede e endpoints privados.
As configurações de DNS personalizadas aprimoram a segurança, permitindo que você controle e monitore as consultas DNS que seus aplicativos de contêiner fazem. Essa capacidade ajuda você a identificar e reduzir possíveis ameaças à segurança, garantindo que seus aplicativos de contêiner se comuniquem apenas com domínios confiáveis.
DNS Personalizado
Se sua rede virtual usar um servidor DNS personalizado em vez do servidor DNS fornecido por Azure padrão, configure o servidor DNS para encaminhar consultas DNS não resolvidas para 168.63.129.16.
resolvedores recursivos do Azure usam este endereço IP para resolver solicitações.
Quando você estiver configurando seu grupo de segurança de rede ou firewall, os requisitos de DNS diferem entre os tipos de perfil de carga de trabalho:
Plano de consumo: você deve permitir o tráfego para a
AzurePlatformDNSmarca de serviço (que inclui168.63.129.16). Bloquear essa marca de serviço impede que seu ambiente de Aplicativos de Contêiner funcione corretamente, mesmo se você tiver um servidor DNS personalizado configurado.Perfis de carga de trabalho dedicados: você pode bloquear a marca de serviço
AzurePlatformDNS, se desejado, porque perfis de carga de trabalho dedicados não exigem acesso a DNS do Azure para funcionalidade básica.Para organizações que têm requisitos de segurança DNS rigorosos (como serviços bancários e de saúde), os perfis de carga de trabalho dedicados fornecem a opção de controlar completamente o fluxo de tráfego DNS por meio de servidores DNS personalizados sem a necessidade de acesso DNS do Azure.
Importante
Os usuários de zonas DNS privadas não devem bloquear ou substituir a resolução de *.hcp.<LOCATION>.azmk8s.io, mcr.microsoft.com e outros requisitos de DNS compartilhados com o Serviço de Kubernetes do Azure e listados em Azure FQDN/regras de aplicativo necessárias global. A falta de garantia para a resolubilidade das entradas necessárias compromete a operação e a rede do ambiente dos Aplicativos de Contêiner.
Entrada para o escopo da rede virtual
Se você planeja usar ingress em um ambiente interno no escopo da rede virtual, configure seus domínios de uma das seguintes maneiras:
Domínios não personalizados: se você não pretende usar um domínio personalizado, crie uma zona DNS privada que resolva o domínio padrão do ambiente dos Aplicativos de Contêiner para o endereço IP estático do ambiente dos Aplicativos de Contêiner. Você pode usar Azure DNS privado ou seu próprio servidor DNS.
Se você usar o Azure DNS privado, crie uma zona de DNS privado com o nome do domínio padrão do ambiente do Container App (
<UNIQUE_IDENTIFIER>.<REGION_NAME>.azurecontainerapps.io), com um registroA. O registroAcontém o nome*<DNS Suffix>e o endereço IP estático do ambiente dos Aplicativos de Contêiner. Para obter mais informações, consulte Criar e configurar uma zona Azure DNS privado.Domínios personalizados: se você pretende usar domínios personalizados e está usando um ambiente externo dos Aplicativos de Contêiner, use um domínio resolvível publicamente para adicionar um domínio personalizado e um certificado ao aplicativo contêiner. Se você estiver usando um ambiente interno de Aplicativos de Contêiner, não haverá validação para a associação DNS porque o cluster está disponível somente de dentro da rede virtual.
Além disso, crie uma zona DNS privada que resolva o domínio apex para o endereço IP estático do ambiente dos Aplicativos de Contêiner. Você pode usar Azure DNS privado ou seu próprio servidor DNS. Se você usar Azure DNS privado, crie uma zona de private DNS denominada domínio apex, com um registro
Aque aponta para o endereço IP estático do ambiente de Aplicativos de Contêiner.
Para obter o endereço IP estático do ambiente de Aplicativos de Contêiner, você pode usar qualquer um destes métodos:
- No portal do Azure, acesse a página do seu aplicativo de contêineres e anote o valor sufixo DNS personalizado.
- Na CLI do Azure, use o comando
az containerapp env list.