Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure privaten Endpunkte ermöglichen Clients, die sich in Ihrem privaten Netzwerk befinden, über Azure Private Link sicher eine Verbindung mit Ihrer Azure Container Apps Umgebung herzustellen. Eine Private-Link-Verbindung verhindert die Exponierung gegenüber dem öffentlichen Internet. Private Endpunkte verwenden eine private IP-Adresse in Ihrem Azure virtuellen Netzwerkadressraum und werden in der Regel mit einer privaten DNS-Zone konfiguriert.
Private Endpunkte werden sowohl für Verbrauchspläne als auch für dedizierte Pläne in Workload-Profilumgebungen unterstützt.
Abrechnung
Private Endpunkte verursachen zusätzliche Gebühren. Wenn Sie einen privaten Endpunkt in Container-Apps aktivieren, werden Ihnen beide in Rechnung gestellt:
- Die ressource Private Link.
- Die dedizierte private Endpunktinfrastruktur für Container-Apps. Sie wird als separate Dedizierte Planverwaltungsgebühr angezeigt und gilt sowohl für Verbrauchs- als auch für dedizierte Pläne.
Anleitungsartikel
- Weitere Informationen zum Konfigurieren privater Endpunkte in Container-Apps finden Sie unter Use a private endpoint with an Azure Container Apps environment.
- Private Link Konnektivität mit Azure Front Door wird für Container-Apps unterstützt. Weitere Informationen finden Sie unter Create a private link with Azure Front Door.
Überlegungen
- Um einen privaten Endpunkt zu verwenden, müssen Sie den öffentlichen Netzwerkzugriff deaktivieren. Standardmäßig ist der Zugriff über öffentliche Netzwerke aktiviert, was bedeutet, dass private Endpunkte deaktiviert sind.
- Um einen privaten Endpunkt mit einer benutzerdefinierten Domäne und einer Apex-Domäne als Hostnamen-Eintragstyp zu verwenden, müssen Sie eine private DNS-Zone mit demselben Namen wie Ihr öffentliches DNS konfigurieren. Konfigurieren Sie im Datensatzsatz die private IP-Adresse Ihres privaten Endpunkts anstelle der IP-Adresse der Container-Apps-Umgebung. Wenn Sie Ihre benutzerdefinierte Domäne mit CNAME konfigurieren, bleibt das Setup unverändert. Weitere Informationen finden Sie unter Einrichten einer benutzerdefinierten Domäne mit einem vorhandenen Zertifikat.
- Das virtuelle Netzwerk Ihres privaten Endpunkts kann vom virtuellen Netzwerk getrennt werden, das Sie in Ihre Container-App integriert haben.
- Sie können einen privaten Endpunkt sowohl zu neuen als auch vorhandenen Workloadprofilumgebungen hinzufügen.
Um eine Verbindung mit Ihren Container-Apps über einen privaten Endpunkt herzustellen, müssen Sie eine private DNS-Zone konfigurieren.
| Dienstleistung | Unterressource | Name der privaten DNS-Zone |
|---|---|---|
Azure Container Apps (Microsoft.App/ManagedEnvironments) |
managedEnvironment |
privatelink.{regionName}.azurecontainerapps.io |
Sie können auch private Endpunkte mit einer privaten Verbindung mit Azure Front Door anstelle von Azure Application Gateway
Domain Name System (DNS)
Das Konfigurieren von DNS im virtuellen Netzwerk Ihrer Container-Apps-Umgebung ist aus folgenden Gründen wichtig:
MIT DNS können Ihre Container-Apps Domänennamen in IP-Adressen auflösen, sodass sie dienste innerhalb und außerhalb des virtuellen Netzwerks ermitteln und kommunizieren können. Zu diesen Diensten gehören Anwendungsgateway, Netzwerksicherheitsgruppen und private Endpunkte.
Benutzerdefinierte DNS-Einstellungen verbessern die Sicherheit, indem Sie die VON Ihren Container-Apps erstellten DNS-Abfragen steuern und überwachen können. Mit dieser Möglichkeit können Sie potenzielle Sicherheitsbedrohungen erkennen und mindern, indem Sie sicherstellen, dass Ihre Container-Apps nur mit vertrauenswürdigen Domänen kommunizieren.
Benutzerdefinierter DNS
Wenn Ihr virtuelles Netzwerk anstelle des standardmäßigen Azure bereitgestellten DNS-Servers einen benutzerdefinierten DNS-Server verwendet, konfigurieren Sie Ihren DNS-Server so, dass nicht aufgelöste DNS-Abfragen an 168.63.129.16 weitergeleitet werden.
Rekursive Azure-Resolver verwenden diese IP-Adresse, um Anfragen aufzulösen.
Wenn Sie Ihre Netzwerksicherheitsgruppe oder Firewall konfigurieren, unterscheiden sich die DNS-Anforderungen zwischen Workloadprofiltypen:
Verbrauchsplan: Sie müssen den Datenverkehr zum
AzurePlatformDNS-Dienst-Tag zulassen (einschließlich168.63.129.16). Das Blockieren dieses Diensttags verhindert, dass Ihre Container-Apps-Umgebung ordnungsgemäß funktioniert, auch wenn Sie einen benutzerdefinierten DNS-Server konfiguriert haben.Dedizierte Workloadprofile: Sie können das Diensttag
AzurePlatformDNSbei Bedarf blockieren, da dedizierte Workloadprofile für die grundlegende Funktionalität keinen Zugriff auf Azure DNS benötigen.Für Organisationen mit strengen DNS-Sicherheitsanforderungen (z. B. Banking und Gesundheitswesen) bieten dedizierte Workloadprofile die Möglichkeit, den DNS-Datenverkehrsfluss über benutzerdefinierte DNS-Server vollständig zu steuern, ohne dass Azure DNS Zugriff erforderlich ist.
Von Bedeutung
Benutzer von privaten DNS-Zonen dürfen nicht die Auflösung von *.hcp.<LOCATION>.azmk8s.io, mcr.microsoft.com und anderen DNS-Anforderungen blockieren oder außer Kraft setzen, die mit Azure Kubernetes Service gemeinsam genutzt und in Erforderliche globale FQDN-/Anwendungsregeln für Azure aufgeführt sind. Wird die Auflösbarkeit erforderlicher Einträge nicht sichergestellt, beeinträchtigt dies den Betrieb und die Netzwerkfunktionen Ihrer Container-Apps-Umgebung.
Eingehende Daten für den virtuellen Netzwerkumfang
Wenn Sie beabsichtigen, einen Ingress in einer internen Umgebung für den virtuellen Netzwerkbereich zu verwenden, konfigurieren Sie Ihre Domänen auf eine der folgenden Arten:
Nicht benutzerdefinierte Domänen: Wenn Sie nicht planen, eine benutzerdefinierte Domäne zu verwenden, erstellen Sie eine private DNS-Zone, die die Standarddomäne der Container Apps-Umgebung in die statische IP-Adresse der Container Apps-Umgebung auflöst. Sie können Azure Privates DNS oder Ihren eigenen DNS-Server verwenden.
Wenn Sie Azure Privates DNS verwenden, erstellen Sie eine private DNS Zone, die als Standarddomäne der Container-App-Umgebung (
<UNIQUE_IDENTIFIER>.<REGION_NAME>.azurecontainerapps.io) bezeichnet wird, mit einemA-Eintrag. DerA-Eintrag enthält den Namen*<DNS Suffix>und die statische IP-Adresse der Container Apps-Umgebung. Weitere Informationen finden Sie unter Create and configure an Azure Privates DNS zone.Benutzerdefinierte Domänen: Wenn Sie benutzerdefinierte Domänen verwenden und eine externe Container Apps-Umgebung verwenden möchten, verwenden Sie eine öffentlich auflösbare Domäne, um der Container-App eine benutzerdefinierte Domäne und ein Zertifikat hinzuzufügen. Wenn Sie eine interne Container-Apps-Umgebung verwenden, gibt es keine Überprüfung für die DNS-Bindung, da der Cluster nur innerhalb des virtuellen Netzwerks verfügbar ist.
Erstellen Sie außerdem eine private DNS-Zone, die die apex-Domäne in die statische IP-Adresse der Container Apps-Umgebung auflöst. Sie können Azure Privates DNS oder Ihren eigenen DNS-Server verwenden. Wenn Sie Azure Privates DNS verwenden, erstellen Sie eine private DNS Zone namens apex domain, mit einem
A-Eintrag, der auf die statische IP-Adresse der Container-Apps-Umgebung verweist.
Um die statische IP-Adresse der Container-Apps-Umgebung abzurufen, können Sie eine der folgenden Methoden verwenden:
- Wechseln Sie im Azure-Portal zur Seite für Ihre Container-App, und notieren Sie sich den Wert Custom DNS suffix.
- Verwenden Sie im Azure CLI den Befehl
az containerapp env list.