Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt!
Om du distribuerar din containergrupp till ett virtuellt nätverk måste du använda en NAT-gateway för utgående anslutning. Det här är den enda konfiguration som stöds för utgående anslutning från din containergrupp i ett virtuellt nätverk. Mer information om hur du konfigurerar detta finns i Konfigurera en NAT-gateway för statisk IP-adress för utgående trafik från en containergrupp .
Azure Virtual Network tillhandahåller säkra, privata nätverk för dina Azure-resurser och lokala resurser. Genom att distribuera containergrupper till ett virtuellt Azure-nätverk kan dina containrar kommunicera säkert med andra resurser i det virtuella nätverket.
Den här artikeln innehåller bakgrund om scenarier, begränsningar och resurser i virtuella nätverk. Exempel på distribution genom Azure CLI finns i Distribuera containerinstanser till ett virtuellt Azure-nätverk.
Viktigt!
Distribution av containergrupper till ett virtuellt nätverk är allmänt tillgängligt för Linux- och Windows-containrar, i de flesta regioner där Azure Container Instances är tillgängligt. Mer information finns i Resurstillgänglighet och kvotgränser.
Scenarier
Containergrupper som distribueras till ett virtuellt Azure-nätverk aktiverar scenarier som:
- Direkt kommunikation mellan containergrupper i samma undernät
- Skicka aktivitetsbaserade arbetsbelastningsutdata från containerinstanser till en databas i det virtuella nätverket
- Hämta innehåll för containerinstanser från en tjänstslutpunkt i det virtuella nätverket
- Aktivera containerkommunikation med lokala resurser via en VPN-gateway eller ExpressRoute
- Integrera med Azure Firewall för att identifiera utgående trafik från containern
- Lös namn via den interna Azure DNS för kommunikation med Azure-resurser i det virtuella nätverket, som till exempel virtuella datorer.
- Använda NSG-regler för att styra containeråtkomst till undernät eller andra nätverksresurser
Nätverksscenarier som inte stöds
- Azure Load Balancer – Det går inte att placera en Azure Load Balancer framför containerinstanser i en nätverksbaserad containergrupp
- Global peering för virtuella nätverk – Global peering (anslutning av virtuella nätverk i Azure-regioner) stöds inte
- Offentlig IP- eller DNS-etikett – Containergrupper som distribueras till ett virtuellt nätverk stöder för närvarande inte att exponera containrar direkt på Internet med en offentlig IP-adress eller ett fullständigt domännamn
- Hanterad identitet med virtuellt nätverk i Azure Government-regioner – Hanterad identitet med funktioner för virtuella nätverk stöds inte i Azure Government-regioner
Andra begränsningar
- Om du vill distribuera containergrupper till ett undernät kan undernätet inte innehålla andra resurstyper. Ta bort alla befintliga resurser från ett befintligt undernät innan du distribuerar containergrupper till det eller skapa ett nytt undernät.
- Om du vill distribuera containergrupper till ett undernät måste undernätet och containergruppen finnas i samma Azure-prenumeration.
- På grund av de ytterligare nätverksresurser som ingår är distributioner till ett virtuellt nätverk vanligtvis långsammare än att distribuera en standardcontainerinstans.
- Utgående anslutningar till port 25 och 19390 stöds inte just nu. Port 19390 måste öppnas i brandväggen för att ansluta till ACI från Azure-portalen när containergrupper distribueras i virtuella nätverk.
- För inkommande anslutningar bör brandväggen också tillåta alla IP-adresser i det virtuella nätverket.
- Om du ansluter containergruppen till ett Azure Storage-konto måste du lägga till en tjänstslutpunkt till resursen.
- IPv6-adresser stöds inte just nu.
- Beroende på din prenumerationstyp kan vissa portar blockeras.
- Containerinstanser läser eller ärver inte DNS-inställningar från ett associerat virtuellt nätverk. DNS-inställningar måste anges uttryckligen för containerinstanser.
Nödvändiga nätverksresurser
Det krävs tre Azure Virtual Network-resurser för att distribuera containergrupper till ett virtuellt nätverk: själva det virtuella nätverket , ett delegerat undernät i det virtuella nätverket och en nätverksprofil.
Virtuellt nätverk
Ett virtuellt nätverk definierar adressutrymmet där du skapar ett eller flera undernät. Sedan distribuerar du Azure-resurser (till exempel containergrupper) till undernäten i ditt virtuella nätverk.
Undernät (delegerat)
Undernät segmentera det virtuella nätverket i separata adressutrymmen som kan användas av de Azure-resurser som du placerar i dem. Du skapar ett eller flera undernät i ett virtuellt nätverk.
Det undernät som du använder för containergrupper kan bara innehålla containergrupper. Innan du etablerar en containergrupp till ett undernät måste du uttryckligen delegera detta undernät innan tillhandahållande. När det har delegerats kan undernätet endast användas för containergrupper. Om du försöker distribuera andra resurser än containergrupper till ett delegerat undernät misslyckas åtgärden.
Utgående anslutning
NAT-gatewayen bör konfigureras med en offentlig IP-adress så att containergruppernas utgående trafik går via den offentliga IP-adressen. Detta gör det också möjligt för kunder att använda tjänsttaggade IP-adresser och/eller ha lämpliga NSG-regler.
Använd följande [az network nat gateway create][az-network-nat-gateway-create] för att skapa en NAT-gateway som använder den offentliga IP-adress som du skapade i föregående steg.
az network nat gateway create \
--resource-group $resourceGroup \
--name myNATgateway \
--public-ip-addresses myPublicIP \
--idle-timeout 10
Nätverksprofil
Viktigt!
Nätverksprofiler har dragits tillbaka från och med API-versionen 2021-07-01 . Om du använder den här eller en senare version ignorerar du alla steg och åtgärder som rör nätverksprofiler.
En nätverksprofil är en nätverkskonfigurationsmall för Azure-resurser. Den anger vissa nätverksegenskaper för resursen, till exempel det undernät som den ska distribueras till. När du först använder kommandot az container create för att distribuera en containergrupp till ett undernät (och därmed ett virtuellt nätverk) skapar Azure en nätverksprofil åt dig. Du kan sedan använda nätverksprofilen för framtida distributioner till undernätet.
Om du vill använda en Resource Manager-mall, YAML-fil eller en programmatisk metod för att distribuera en containergrupp till ett undernät måste du ange det fullständiga Resource Manager-resurs-ID:t för en nätverksprofil. Du kan använda en profil som tidigare skapats med az container create eller skapa en profil med hjälp av en Resource Manager-mall (se mallexempel och referens). Om du vill hämta ID:t för en tidigare skapad profil använder du kommandot az network profile list .
Följande diagram visar flera containergrupper som distribuerats till ett undernät som delegerats till Azure Container Instances. När du har distribuerat en containergrupp till ett undernät kan du distribuera fler containergrupper till den genom att ange samma nätverksprofil.
Nästa steg
- Distributionsexempel med Azure CLI finns i Distribuera containerinstanser till ett virtuellt Azure-nätverk.
- Information om hur du distribuerar ett nytt virtuellt nätverk, undernät, nätverksprofil och en containergrupp med hjälp av en Resource Manager-mall finns i Skapa en Azure-containergrupp med virtuellt nätverk.
- När du använder Azure-portalen för att skapa en containerinstans kan du även ange inställningar för ett nytt eller befintligt virtuellt nätverk på fliken Nätverk .