Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplicativos de Contêiner do Azure opera no contexto de um environment, que executa sua própria rede virtual. À medida que você cria um ambiente, algumas considerações importantes informam os recursos de rede de seus aplicativos de contêiner: tipo de ambiente, tipo de rede virtual e nível de acessibilidade.
Seleção de ambiente
Os Aplicativos de Contêiner têm dois tipos de ambiente. Eles compartilham muitas das mesmas características de rede, com algumas diferenças importantes.
| Tipo de ambiente | Tipos de plano com suporte | Descrição |
|---|---|---|
| Perfis de carga de trabalho (padrão) | Consumo, Dedicado | Dá suporte a UDRs (rotas definidas pelo usuário), saída por meio de Gateway da NAT do Azure e criação de pontos de extremidade privados no ambiente do aplicativo de contêiner. O tamanho mínimo da sub-rede necessária é /27. |
| Somente consumo (herdado) | Consumo | Não oferece suporte a UDRs, saída por meio do Gateway da NAT do Azure, emparelhamento via um gateway remoto nem qualquer outra saída personalizada. O tamanho mínimo da sub-rede necessária é /23. |
Para obter mais informações, consulte Tipos de ambiente.
Tipo de rede virtual
Por padrão, o Container Apps é integrado à rede do Azure, que é acessível publicamente pela internet e só pode se comunicar com endpoints acessíveis pela internet. Você também tem a opção de fornecer uma rede virtual existente ao criar seu ambiente. Depois de criar um ambiente com o padrão Azure rede ou uma rede virtual existente, você não poderá alterar o tipo de rede.
Use uma rede virtual existente quando precisar Azure recursos de rede, como:
- Grupos de segurança de rede.
- Gateway de Aplicativo do Azure integração.
- Firewall do Azure integração.
- Controle sobre o tráfego de saída do seu aplicativo de contêiner.
- Acesso a recursos localizados atrás de pontos de extremidade privados em sua rede virtual.
Se você usar uma rede virtual existente, precisará fornecer uma sub-rede dedicada exclusivamente ao ambiente de Aplicativos de Contêiner que você implanta. Essa sub-rede não está disponível para outros serviços. Para obter mais informações, consulte a configuração de rede virtual.
Nível de acessibilidade
Você pode configurar se seu aplicativo de contêiner permite entrada pública ou entrada somente de dentro de sua rede virtual no nível do ambiente.
| Nível de acessibilidade | Descrição |
|---|---|
| Externo | Seu aplicativo de contêiner pode aceitar solicitações públicas. Ambientes externos são implantados com um IP virtual em um endereço IP externo voltado para o público. |
| Interna | Ambientes internos não têm endpoints públicos e são implantados com um IP virtual mapeado para um endereço IP interno. O ponto de extremidade interno é um balanceador de carga interno do Azure. Os endereços IP são emitidos na lista de endereços IP privados da rede virtual existente. |
Acesso à rede pública
A configuração de acesso à rede pública determina se seu ambiente de Aplicativos de Contêiner está acessível na Internet pública. Sua capacidade de alterar essa configuração após criar seu ambiente vai depender da configuração de IP virtual do ambiente. A tabela a seguir mostra valores válidos para acesso à rede pública, dependendo da configuração de IP virtual do seu ambiente.
| IP virtual | Acesso à rede pública com suporte | Descrição |
|---|---|---|
| Externo |
Enabled, Disabled |
O ambiente do Container Apps foi criado com um endpoint acessível pela internet. A configuração de acesso à rede pública determina se o tráfego é aceito por meio do ponto de extremidade público ou apenas por meio de pontos de extremidade privados. Você pode alterar essa configuração depois de criar o ambiente. |
| Interna | Disabled |
O ambiente do Container Apps foi criado sem um endpoint acessível pela Internet. Você não pode alterar a configuração de acesso à rede pública para aceitar o tráfego da Internet. |
Para criar pontos de extremidade privados em seu ambiente de Aplicativos de Contêiner, você deve definir o acesso à rede pública como Disabled.
As políticas de rede do Azure são compatíveis com o sinalizador de acesso à rede pública.
Configuração de entrada
Na seção ingress, você pode configurar as seguintes definições:
Habilite ou desabilite a entrada para seu aplicativo de contêiner.
Aceite o tráfego para seu aplicativo de contêiner de qualquer lugar ou somente dentro do mesmo ambiente de Aplicativos de Contêiner.
Defina regras de divisão de tráfego entre revisões do aplicativo. Para obter mais informações, confira Divisão de tráfego.
Para obter mais informações sobre cenários de rede, consulte Ingress no Aplicativos de Contêiner do Azure.
Recursos de entrada
| Característica | Saiba como |
|---|---|
|
Entrada Configurar entrada |
Controle o roteamento do tráfego externo e interno para seu aplicativo de contêiner. |
| Entrada Premium | Defina configurações avançadas de entrada, como suporte ao perfil de carga de trabalho para entrada e tempo limite ocioso. |
| Restrições de IP | Restrinja o tráfego de entrada ao seu aplicativo de contêiner por endereço IP. |
| Autenticação de certificado de cliente | Configure a autenticação de certificado do cliente (também conhecido como TLS mútuo ou mTLS) para seu aplicativo de contêiner. |
|
Divisão de tráfego Deployamento Blue/Green |
Divida o tráfego de entrada entre revisões ativas do seu aplicativo de contêiner. |
| Afinidade de sessão | Encaminhe todas as solicitações de um cliente para a mesma réplica do aplicativo de contêiner. |
| CORS (compartilhamento de recursos entre origens) | Habilite o CORS para seu aplicativo de contêiner, que permite solicitações feitas por meio do navegador para um domínio que não corresponde à origem da página. |
| Roteamento baseado em caminho | Use regras para rotear solicitações para diferentes aplicativos de contêiner em seu ambiente, dependendo do caminho de cada solicitação. |
| Redes virtuais | Configure a rede virtual para seu ambiente de Aplicativos de Contêiner. |
| DNS | Configure o DNS para a rede virtual do ambiente de Aplicativos de Contêiner. |
| Endpoint privado | Use um ponto de extremidade privado para acessar com segurança seu aplicativo de contêiner sem expô-lo à Internet pública. |
| Integrar com o Azure Front Door | Conecte-se diretamente de Azure Front Door a um aplicativo de contêiner usando um link privado em vez da Internet pública. |
Recursos de saída
| Característica | Saiba como |
|---|---|
| Usando o Firewall do Azure | Use o Firewall do Azure para controlar o tráfego de saída do seu aplicativo de contêiner. |
| Redes virtuais | Configure a rede virtual para seu ambiente de Aplicativos de Contêiner. |
| Protegendo uma rede virtual existente com um grupo de segurança de rede | Ajude a proteger a rede virtual do ambiente de Aplicativos de Contêiner usando um grupo de segurança de rede. |
| Integração com o Azure NAT Gateway | Use Gateway da NAT do Azure para simplificar a conectividade de saída da Internet em sua rede virtual em um ambiente de perfil de carga de trabalho. |
Artigos de instruções
| Artigo | Saiba como |
|---|---|
| Fornecer uma rede virtual para um ambiente de Aplicativos de Contêiner do Azure | Use uma rede virtual. |
| Proteger os Aplicativos de Contêiner do Azure com o Firewall de Aplicativo Web no Gateway de Aplicativo | Configure o Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure. |
| Controle o tráfego de saída em Aplicativos de Contêiner do Azure com rotas definidas pelo usuário | Habilitar UDRs. |
| Usar mTLS nos Aplicativos de Contêiner do Azure | Crie um aplicativo com mTLS nos Aplicativos de Contêiner. |
| Utilizar um ponto de extremidade privado com um ambiente de Aplicativos de Contêiner do Azure | Use um ponto de extremidade privado para acessar com segurança seu aplicativo de contêiner sem expô-lo à Internet pública. |
| Crie um link privado para um aplicativo de contêiner com Azure Front Door | Conecte-se diretamente de Azure Front Door a um aplicativo de contêiner usando um link privado em vez da Internet pública. |
Segurança do ambiente
Você pode ajudar a proteger seu ambiente de perfil de carga de trabalho para o tráfego de rede de entrada e saída executando as seguintes ações:
Crie seu ambiente interno dos Aplicativos de Contêiner em um ambiente de perfil de carga de trabalho. Para obter etapas, veja Gerenciar perfis de carga de trabalho com a CLI do Azure.
Integrar o Container Apps com Application Gateway.
Configure uma UDR para rotear todo o tráfego por Firewall do Azure.
Comportamento de proxy de borda HTTP
Aplicativos de Contêiner do Azure usa um proxy HTTP de borda que encerra o TLS e roteia solicitações para cada aplicativo.
Os aplicativos HTTP são dimensionados com base no número de solicitações e conexões HTTP. O Envoy encaminha o tráfego interno nos clusters.
As conexões downstream dão suporte a HTTP/1.1 e HTTP/2. O Envoy detecta automaticamente e faz upgrade das conexões se a conexão do cliente exigir isso.
Você define conexões de entrada definindo a propriedade transport no objeto ingress.
Dependências do portal
Para cada aplicativo no Container Apps, há duas URLs.
O runtime dos Aplicativos de Contêiner gera inicialmente um FQDN (nome de domínio totalmente qualificado) usado para acessar seu aplicativo. Para obter o FQDN do seu aplicativo de contêiner, acesse seu aplicativo de contêiner no portal do Azure. No painel Visão geral , o FQDN é o valor da URL do Aplicativo .
Uma segunda URL também é gerada para você. Esta localização permite acesso ao serviço de streaming de logs e ao console. Se necessário, adicione https://azurecontainerapps.dev/ à lista de permissões do seu firewall ou proxy.
Portas e endereços IP
As seguintes portas são expostas para conexões de entrada:
| Protocolo | Ports |
|---|---|
| HTTP/HTTPS | 80, 443 |
Os endereços IP têm os seguintes tipos:
| Tipo | Descrição |
|---|---|
| IP de entrada pública | Usado para o tráfego de aplicativos em uma implantação externa e para o tráfego de gerenciamento em implantações internas e externas. |
| IP público de saída | Usado como o IP "de origem" das conexões de saída que saem da rede virtual. Essas conexões não são roteadas por uma VPN. Os IPs de saída podem mudar ao longo do tempo. O uso do Gateway da NAT do Azure ou de outro proxy para tráfego de saída de um ambiente do Container Apps tem suporte apenas em um ambiente de perfil de carga de trabalho. |
| IP do balanceador de carga interno | Existe apenas em um ambiente interno. |