Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Uma rede virtual cria um limite de segurança em torno do seu Azure Container Apps ambiente. Por predefinição, os ambientes são criados com uma rede virtual gerada automaticamente. No entanto, usar uma rede virtual existente proporciona mais funcionalidades de rede Azure, como integração com o Gateway de Aplicação do Azure, grupos de segurança de rede e comunicação com recursos atrás de endpoints privados. Essa configuração é importante para clientes corporativos que precisam isolar aplicativos internos de missão crítica da Internet pública.
Ao criar uma rede virtual, tenha em mente as seguintes situações:
Se você quiser que seu aplicativo de contêiner restrinja todo o acesso externo, crie um ambiente interno de Aplicativos de contêiner.
Se usar a sua própria rede virtual, precisa de fornecer uma sub-rede dedicada exclusivamente à sua aplicação container. Esta sub-rede não está disponível para outros serviços.
Os endereços de rede são atribuídos a partir de um intervalo de sub-rede que defines à medida que o ambiente é criado.
Pode definir o intervalo de sub-redes que o ambiente Container Apps utiliza.
Pode restringir os pedidos de entrada ao ambiente exclusivamente à rede virtual, implementando o ambiente como interno.
Observação
Quando você fornece sua própria rede virtual, recursos gerenciados adicionais são criados. Estes recursos incorrem em custos às taxas associadas.
Ao começar a projetar a rede à volta do seu aplicativo de contêiner, consulte Planear redes virtuais.
Observação
Mover redes virtuais entre diferentes grupos de recursos ou subscrições não é permitido se um ambiente Container Apps estiver a usar a rede virtual.
sub-rede
A integração de rede virtual depende de uma sub-rede dedicada. A atribuição de endereços IP numa sub-rede e os tamanhos de sub-redes suportados dependem do plano que está a utilizar no Container Apps.
Selecione cuidadosamente o tamanho da sub-rede. Não podes modificar o tamanho das subredes depois de criares um ambiente de Aplicações Container.
Cada tipo de ambiente tem os seus próprios requisitos de sub-rede:
O tamanho mínimo de sub-rede necessário para a integração de redes virtuais é
/27.Você deve delegar sua sub-rede ao
Microsoft.App/environments.Quando usas um ambiente externo com entrada externa, o tráfego de entrada passa pelo IP público da infraestrutura em vez de através da tua sub-rede.
O Container Apps reserva automaticamente 12 endereços IP para integração com a sub-rede. O número de endereços IP necessários para a integração da infraestrutura não varia com base nas demandas de escala do ambiente.
Endereços IP adicionais são atribuídos de acordo com as seguintes regras, dependendo do tipo de perfil de carga de trabalho que está a utilizar:
Perfil dedicado de carga de trabalho: À medida que o seu aplicativo de contentor se expande, cada nó tem um endereço IP atribuído.
Perfil de carga de trabalho de consumo: Cada endereço IP pode ser partilhado entre múltiplas réplicas. Quando planeia quantos endereços IP são necessários para a sua aplicação, preveja um endereço IP por cada 10 réplicas.
Quando faz uma alteração numa revisão em modo de revisão única, o espaço de endereçamento necessário é duplicado por um curto período para suportar implementações sem tempo de inatividade. Esta duplicação afeta o número real de réplicas ou nós suportados e disponíveis para um determinado tamanho de sub-rede. A tabela a seguir mostra os endereços máximos disponíveis por bloco CIDR e o efeito na escala horizontal.
Tamanho da sub-rede Endereços IPdisponíveis 1 Nós máximos (Perfil de carga de trabalho dedicado)2 Réplicas máximas (Perfil de carga de trabalho de consumo)2 /23 498 249 2,490 /24 242 121 1,210 /25 114 57 570 /26 50 25 250 /27 18 9 90 1 O número de endereços IP disponíveis é o tamanho da sub-rede menos os 14 endereços IP necessários para Azure Container Apps infraestrutura (que inclui 5 endereços IP reservados pela sub-rede).
2 Estes números contabilizam aplicações em modo de revisão única.
Restrições para intervalos de endereços de sub-redes
Os intervalos de endereços das subredes não podem sobrepor-se aos seguintes intervalos que o Azure Kubernetes Service reserva:
- 169.254.0.0/16
- 172.30.0.0/16
- 172.31.0.0/16
- 192.0.2.0/24
Além disso, um ambiente de perfil de carga de trabalho reserva os seguintes endereços:
- 100.100.0.0/17
- 100.100.128.0/19
- 100.100.160.0/19
- 100.100.192.0/19
Configuração da sub-rede com o CLI
À medida que um ambiente de Aplicativos de Contêiner é criado, você fornece IDs de recursos para uma única sub-rede.
Se estiver a usar o CLI do Azure, o parâmetro para definir o ID do recurso da sub-rede é infrastructure-subnet-resource-id. A sub-rede hospeda componentes de infraestrutura e contêineres de aplicativos de usuário.
Se estiver a usar o CLI do Azure num ambiente apenas de Consumption e o intervalo platformReservedCidr estiver definido, ambas as sub-redes não devem sobrepor-se ao intervalo IP definido em platformReservedCidr.
Integração do Azure NAT Gateway
Pode usar o Azure NAT Gateway para simplificar a conectividade do seu tráfego de internet de saída na sua rede virtual num ambiente de perfil de carga de trabalho.
Quando configura um gateway de tradução de endereços de rede (NAT) na sua sub-rede, o gateway NAT fornece um endereço IP público estático para o seu ambiente. Todo o tráfego de saída da sua aplicação container é encaminhado através do endereço IP público estático do gateway NAT.
Observação
O SKU StandardV2 do Azure NAT Gateway atualmente não é suportado para integração.
Recursos administrados
Quando você implanta um ambiente interno ou externo em sua própria rede, um novo grupo de recursos é criado na assinatura do Azure onde seu ambiente está hospedado. Este grupo de recursos contém componentes de infraestrutura que a plataforma Azure Container Apps gere. Não modifique os serviços neste grupo nem o grupo de recursos em si.
Observação
As tags definidas pelo usuário atribuídas ao seu ambiente de Aplicativos de Contêiner são replicadas para todos os recursos dentro do grupo de recursos, incluindo o próprio grupo de recursos.
O nome do grupo de recursos criado na subscrição de Azure onde o seu ambiente está alojado é prefixado por ME_ por defeito.
Pode personalizar o nome do grupo de recursos enquanto cria o seu ambiente de Aplicações Container.
Para ambientes externos, o grupo de recursos contém um endereço IP público usado especificamente para conectividade de entrada com seu ambiente externo e um balanceador de carga. Para ambientes internos, o grupo de recursos contém apenas um balanceador de carga.
Para além da faturação padrão do Container Apps, ser-lhe-á cobrado:
Um IP público estático padrão para saída se estiver a usar um ambiente interno ou externo, mais um IP público estático padrão para entrada se estiver a usar um ambiente externo. Se precisar de mais endereços IP públicos de saída devido a problemas de NAT de origem (SNAT), abra um pedido de suporte para solicitar uma exceção.
Um balanceador de carga padrão.
O custo dos dados processados (em gigabytes) inclui tanto a entrada como a saída para operações de gestão.