Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma rede virtual cria um limite de segurança em torno de seu Aplicativos de Contêiner do Azure environment. Por padrão, os ambientes são criados com uma rede virtual gerada automaticamente. No entanto, o uso de uma rede virtual existente oferece mais recursos de rede do Azure, como integração com o Gateway de Aplicativo do Azure, grupos de segurança de rede e comunicação com recursos atrás de pontos de extremidade privados. Essa configuração é importante para clientes corporativos que precisam isolar aplicativos internos e críticos da Internet pública.
Ao criar uma rede virtual, tenha em mente as seguintes situações:
Se você quer que o aplicativo de contêiner restrinja todo o acesso externo, crie um ambiente interno dos Aplicativos de Contêiner.
Se você usar sua própria rede virtual, precisará fornecer uma sub-rede dedicada exclusivamente ao seu aplicativo de contêiner. Essa sub-rede não está disponível para outros serviços.
Os endereços de rede são atribuídos a partir de um intervalo de sub-rede que você define durante a criação do ambiente.
Você pode definir o intervalo de sub-rede que o ambiente de Aplicativos de Contêiner usa.
Você pode restringir as solicitações de entrada ao ambiente exclusivamente para a rede virtual implantando o ambiente como interno.
Observação
Ao fornecer sua própria rede virtual, serão criados recursos gerenciados adicionais. Esses recursos incorrem em custos a suas taxas associadas.
Ao começar a projetar a rede em torno do seu aplicativo de contêiner, veja Planejar redes virtuais.
Observação
A movimentação de redes virtuais entre diferentes grupos de recursos ou assinaturas não será permitida se um ambiente de Aplicativos de Contêiner estiver usando a rede virtual.
Sub-rede
A integração de rede virtual depende de uma sub-rede dedicada. A alocação de endereços IP em uma sub-rede e os tamanhos de sub-rede compatíveis dependem do plano que você está usando em Aplicativos de Contêiner.
Selecione o tamanho da sub-rede com cuidado. Você não pode modificar os tamanhos da sub-rede depois de criar um ambiente de Aplicativos de Contêiner.
Cada tipo de ambiente tem seus próprios requisitos de sub-rede:
O tamanho mínimo da sub-rede necessário para a integração de rede virtual é
/27.Você deve delegar sua sub-rede para
Microsoft.App/environments.Quando você está usando um ambiente externo com entrada externa, o tráfego de entrada é roteado por meio do IP público da infraestrutura e não por meio da sub-rede.
Os Aplicativos de Contêiner reservam automaticamente 12 endereços IP para integração com a sub-rede. O número de endereços IP necessários para a integração da infraestrutura não varia de acordo com as demandas de escala do ambiente.
Endereços IP adicionais são alocados de acordo com as seguintes regras, dependendo do tipo de perfil de carga de trabalho que você está usando:
Perfil de carga de trabalho dedicada: à medida que o aplicativo de contêiner se expande, cada nó tem um endereço de IP atribuído.
Perfil da carga de trabalho de consumo: cada endereço IP pode ser compartilhado entre várias réplicas. Quando estiver planejando quantos endereços IP são necessários para seu aplicativo, planeje um endereço IP por 10 réplicas.
Quando você faz uma alteração em uma revisão em modo revisão única, o espaço de endereço necessário é dobrado por um curto período para dar suporte a implantações com tempo de inatividade zero. Essa duplicação afeta as réplicas ou os nós reais, disponíveis e compatíveis para um determinado tamanho de sub-rede. A tabela a seguir mostra os endereços máximos disponíveis por bloco CIDR e o efeito na escala horizontal.
Tamanho da sub-rede Endereços IPdisponíveis 1 Número máximo de nós (perfil de carga de trabalho dedicada)2 Máximo de réplicas (perfil de carga de trabalho de consumo)2 /23 498 249 2,490 /24 242 121 1,210 /25 114 57 570 /26 50 vinte e cinco 250 /27 18 9 90 1 O número de endereços IP disponíveis é o tamanho da sub-rede menos os 14 endereços IP necessários para Aplicativos de Contêiner do Azure infraestrutura (que inclui cinco endereços IP que a sub-rede reserva).
2 Esses números representam aplicativos no modo de revisão única.
Restrições para intervalos de endereços de sub-rede
Os intervalos de endereços da sub-rede não podem se sobrepor aos seguintes intervalos que o Serviço de Kubernetes do Azure reserva:
- 169.254.0.0/16
- 172.30.0.0/16
- 172.31.0.0/16
- 192.0.2.0/24
Além disso, um ambiente de perfil de carga de trabalho reserva os seguintes endereços:
- 100.100.0.0/17
- 100.100.128.0/19
- 100.100.160.0/19
- 100.100.192.0/19
Configuração de sub-rede com a CLI
Quando um ambiente de Aplicativos de Contêiner é criado, você fornece IDs de recurso para duas sub-redes diferentes.
Se você estiver usando o CLI do Azure, o parâmetro para definir a ID do recurso de sub-rede será infrastructure-subnet-resource-id. A sub-rede hospeda componentes de infraestrutura e contêineres de aplicativo de usuário.
Se você estiver usando a CLI do Azure com um ambiente somente Consumo e o intervalo platformReservedCidr estiver definido, ambas as sub-redes não devem se sobrepor ao intervalo de IP definido em platformReservedCidr.
Integração com o Gateway da NAT do Azure
Você pode usar Gateway da NAT do Azure para simplificar a conectividade para o tráfego de internet de saída em sua rede virtual em um ambiente de perfil de carga de trabalho.
Quando você configura um gateway nat (conversão de endereços de rede) em sua sub-rede, o gateway NAT fornece um endereço IP público estático para seu ambiente. Todo o tráfego de saída do aplicativo de contêiner é roteado por meio do endereço IP público estático do gateway NAT.
Observação
Atualmente, não há suporte para a SKU StandardV2 de Gateway da NAT do Azure para integração.
Recursos gerenciados
Ao implantar um ambiente interno ou externo em sua própria rede, um novo grupo de recursos é criado na assinatura do Azure em que seu ambiente está hospedado. Esse grupo de recursos contém componentes de infraestrutura que a plataforma Aplicativos de Contêiner do Azure gerencia. Não modifique os serviços neste grupo ou no próprio grupo de recursos.
Observação
As marcas definidas pelo usuário atribuídas ao seu ambiente de Aplicativos de Contêiner são replicadas para todos os recursos dentro do grupo de recursos, incluindo o próprio grupo de recursos.
O nome do grupo de recursos criado na assinatura Azure em que seu ambiente está hospedado é prefixado com ME_ por padrão. Você pode personalizar o nome do grupo de recursos ao criar seu ambiente de Aplicativos de Contêiner.
Para ambientes externos, o grupo de recursos contém um endereço IP público usado especificamente para conectividade de entrada com seu ambiente externo e um balanceador de carga. Para ambientes internos, o grupo de recursos contém apenas um balanceador de carga.
Além da cobrança padrão do Container Apps, você paga por:
Um IP público estático padrão para saída se você estiver usando um ambiente interno ou externo, além de um IP público estático padrão para entrada se você estiver usando um ambiente externo. Se você precisar de mais IPs públicos para saída por causa de problemas na NAT de origem (SNAT), abra um chamado de suporte para solicitar uma substituição.
Um balanceador de carga de padrão.
O custo dos dados processados (em gigabytes) inclui entrada e saída para operações de gerenciamento.