你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

虚拟网络配置

2025-07-22

虚拟网络围绕 Azure 容器应用环境创建安全边界。默认情况下，环境是使用自动生成的 VNet 创建的。但是，使用现有 VNet 提供了更多 Azure 网络功能，例如与应用程序网关集成、网络安全组以及与专用终结点后面的资源通信。对于需要从公共 Internet 隔离内部任务关键型应用程序的企业客户来说，此配置非常重要。

创建虚拟网络时，请记住以下情况：

如果希望容器应用限制所有外部访问，请创建内部容器应用环境。
如果使用自己的 VNet，则需要提供专用于容器应用的子网。此子网不可用于其他服务。
网络地址是从创建环境时定义的子网范围分配的。
- 可以定义容器应用环境使用的子网范围。
- 可以通过将环境部署为内部环境，限制为只能从 VNet 对环境发出入站请求。

注释

提供自己的虚拟网络时，会创建其他托管资源。这些资源按关联的费率产生成本。

开始围绕容器应用设计网络时，请参阅规划虚拟网络。

该图显示了 Azure 容器应用程序环境如何使用现有 VNET，或者如何提供自己的 VNET。

注释

如果容器应用环境正在使用 VNet，则不允许在不同资源组或订阅之间移动 VNet。

子网

虚拟网络集成取决于专用子网。子网中的 IP 地址分配和支持的子网大小取决于你在 Azure 容器应用中使用的计划。

请慎重选择子网大小。创建容器应用环境后，无法修改子网大小。

不同的环境类型具有不同的子网要求：

工作负载配置文件环境
仅用于消费的环境

/27 是虚拟网络集成所需的最小子网大小。
必须将子网委托给 Microsoft.App/environments。
当使用带有外部入口的外部环境时，入站流量是通过基础结构的公共 IP 而不是通过子网来路由的。
容器应用自动保留 12 个 IP 地址用于与子网集成。基础结构集成所需的 IP 地址数不会因环境的规模需求而异。根据以下规则分配其他 IP 地址，具体取决于使用更多 IP 地址的工作负载配置文件的类型，分配具体取决于环境的工作负载配置文件：
- 专用工作负载配置文件：当容器应用横向扩展时，每个节点会分配有一个 IP 地址。
- 消耗工作负载配置文件：每个 IP 地址都可能在多个副本之间共享。在规划应用所需的 IP 地址数时，请为每 10 个副本规划 1 个 IP 地址。

在单一修订模式下更改修订时，所需地址空间会在短时间内翻倍，以支持零故障时间部署。对于给定的子网大小，这会影响其实际可用的受支持副本或节点。下表显示了每个 CIDR 块的最大可用地址数，以及对横向缩放的影响。

子网大小	可用 IP 地址¹	最大节点数（专用工作负载配置文件）²	最大副本数（消耗工作负载配置文件）²
/23	498	249	2,490
/24	242	121	1,210
/25	114	57	570
/26	50	二十五	250
/27	18	9	90

¹ 可用 IP 地址是子网的大小减去 Azure 容器应用基础结构所需的 14 个 IP 地址，其中包括子网保留的 5 个 IP 地址。 ² 这会考虑单一修订模式下的应用。

/23 是虚拟网络集成所需的最小子网大小。
不得将子网委派给任何服务。
容器应用运行时至少为 VNet 中的基础结构保留 60 个 IP。随着环境中应用数量的扩展，预留的数量最多可能会增加 256 个地址。
在应用缩放时，将为每个新副本分配一个新的 IP 地址。
在单一修订模式下更改修订时，所需地址空间会在短时间内翻倍，以支持零故障时间部署。对于给定的子网大小，这会影响其实际可用的受支持副本数。

子网地址范围不能与 Azure Kubernetes 服务保留的以下范围重叠：

169.254.0.0/16
172.30.0.0/16
172.31.0.0/16
192.0.2.0/24

此外，工作负载配置文件环境会保留以下地址：

100.100.0.0/17
100.100.128.0/19
100.100.160.0/19
100.100.192.0/19

使用 CLI 进行子网配置

创建容器应用环境时，需要为单个子网提供资源 ID。

如果使用 CLI，则定义子网资源 ID 的参数为 infrastructure-subnet-resource-id。子网托管基础结构组件和用户应用容器。

如果对“仅消耗”环境使用 Azure CLI 并且已定义 platformReservedCidr 范围，则两个子网不得与 platformReservedCidr 中定义的 IP 范围重叠。

NAT 网关集成

可以使用 NAT 网关来简化工作负载配置文件环境中虚拟网络内出站 Internet 流量的出站连接。

在子网上配置 NAT 网关时，NAT 网关为环境提供静态公共 IP 地址。来自容器应用的所有出站流量都通过 NAT 网关的静态公共 IP 地址进行路由。

托管的资源

在你将内部或外部环境部署到自己的网络中时，会在托管环境的 Azure 订阅中创建一个新资源组。此资源组包含由 Azure 容器应用平台管理的基础结构组件。请勿修改此组中的服务或资源组本身。

注释

分配给容器应用环境的用户定义标记将复制到资源组中的所有资源，包括资源组本身。

工作负载配置文件环境
“仅消耗”环境

默认情况下，在托管环境的 Azure 订阅中创建的资源组名称以 ME_ 为前缀，并且在创建容器应用环境时，可以自定义该资源组的名称。

对于外部环境，该资源组包含一个专门用来与外部环境和负载均衡器建立入站连接的公共 IP 地址。对于内部环境，该资源组仅包含负载均衡器。

除了标准 Azure 容器应用账单，还需要为下列项付费：

如果使用的是内部或外部环境，会有一个标准静态公共 IP 供出口使用。此外，如果使用的是外部环境，还会有一个标准静态公共 IP 供入口使用。如果由于 SNAT 问题需要更多公共 IP，开具支持票证来请求替代。
一个标准负载均衡器。
已处理的数据（以 GB 为单位）的成本包括管理操作的流入量和流出量。

默认情况下，在托管环境的 Azure 订阅中创建的资源组名称以 MC_ 为前缀，并且在创建容器应用时，无法自定义该资源组的名称。该资源组包含一个专门用来与环境和负载均衡器建立出站连接的公共 IP 地址。

除了标准 Azure 容器应用账单，还需要为下列项付费：

一个用于流出量的标准静态公共 IP。如果由于资源网络地址转换 (SNAT) 问题需要将更多 IP 用于流出量，请提交支持工单来请求替代。
如果使用的是内部环境，则为 2 个标准负载均衡器；如果使用的是外部环境，则为 1 个标准负载均衡器。每个负载均衡器的规则少于 6 条。已处理的数据（以 GB 为单位）的成本包括管理操作的流入量和流出量。

后续步骤

使用 Azure 防火墙管理出站连接

反馈

此页面是否有帮助？