Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Container Apps fungerar i samband med en environment, som kör ett eget virtuellt nätverk. När du skapar en miljö är några viktiga överväganden viktiga för nätverksfunktionerna i dina containerappar: miljötyp, typ av virtuellt nätverk och tillgänglighetsnivå.
Miljöval
Container Apps har två miljötyper. De delar många av samma nätverksegenskaper, med några viktiga skillnader.
| Miljötyp | Plantyper som stöds | beskrivning |
|---|---|---|
| Arbetsbelastningsprofiler (standard) | Förbrukning, dedikerad | Stöder användardefinierade vägar (UDR), utgående via Azure NAT Gateway och skapa privata slutpunkter i containerappmiljön. Den minsta nödvändiga undernätsstorleken är /27. |
| Endast konsumtion (för äldre system) | Förbrukning | Stöder inte UDR:er, utgående trafik via Azure NAT Gateway, peering via en fjärrgateway eller annan anpassad utgående trafik. Den minsta nödvändiga undernätsstorleken är /23. |
Mer information finns i Miljötyper.
Typ av virtuellt nätverk
Som standard är Container Apps integrerat med det Azure nätverket, som är offentligt tillgängligt via Internet och endast kan kommunicera med internettillgängliga slutpunkter. Du kan också ange ett befintligt virtuellt nätverk när du skapar din miljö i stället. När du har skapat en miljö med antingen standardnätverket Azure eller ett befintligt virtuellt nätverk kan du inte ändra nätverkstypen.
Använd ett befintligt virtuellt nätverk när du behöver Azure nätverksfunktioner som:
- Nätverkssäkerhetsgrupper.
- Azure Application Gateway-integrering.
- Azure Firewall-integration.
- Kontroll över utgående trafik från containerappen.
- Åtkomst till resurser bakom privata slutpunkter i ditt virtuella nätverk.
Om du använder ett befintligt virtuellt nätverk måste du tillhandahålla ett undernät som uteslutande är dedikerat till den Container Apps-miljö som du distribuerar. Det här undernätet är inte tillgängligt för andra tjänster. Mer information finns i Konfiguration av virtuellt nätverk.
Hjälpmedelsnivå
Du kan konfigurera om containerappen endast tillåter offentlig ingress eller ingress från ditt virtuella nätverk på miljönivå.
| Hjälpmedelsnivå | beskrivning |
|---|---|
| Externt | Containerappen kan acceptera offentliga begäranden. Externa miljöer distribueras med en virtuell IP-adress på en extern, offentlig IP-adress. |
| Internt | Interna miljöer har inga offentliga slutpunkter och distribueras med en virtuell IP-adress mappad till en intern IP-adress. Den interna slutpunkten är en Azure intern lastbalanserare. IP-adresser utfärdas från det befintliga virtuella nätverkets lista över privata IP-adresser. |
Åtkomst till offentligt nätverk
Inställningen för åtkomst till offentligt nätverk avgör om containerappmiljön är tillgänglig från det offentliga Internet. Om du kan ändra den här inställningen när du har skapat din miljö beror på miljöns virtuella IP-konfiguration. I följande tabell visas giltiga värden för åtkomst till offentligt nätverk, beroende på miljöns virtuella IP-konfiguration.
| Virtuell IP-adress | Offentlig nätverksåtkomst som stöds | beskrivning |
|---|---|---|
| Externt |
Enabled, Disabled |
Container Apps-miljön skapades med en internettillgänglig slutpunkt. Inställningen för åtkomst till offentligt nätverk avgör om trafik accepteras via den offentliga slutpunkten eller endast via privata slutpunkter. Du kan ändra den här inställningen när du har skapat miljön. |
| Internt | Disabled |
Container Apps-miljön skapades utan en internettillgänglig slutpunkt. Du kan inte ändra inställningen för offentlig nätverksåtkomst för att acceptera trafik från Internet. |
Om du vill skapa privata slutpunkter i containerappmiljön måste du ange åtkomst till offentligt nätverk till Disabled.
Azure nätverksprinciper stöds med flaggan för åtkomst till offentliga nätverk.
Ingresskonfiguration
I ingressavsnittet kan du konfigurera följande inställningar:
Aktivera eller inaktivera ingress för containerappen.
Acceptera trafik till din containerapp var som helst eller från endast i samma Container Apps-miljö.
Definiera trafikdelningsregler mellan revisioner av ditt program. Mer information finns i Trafikdelning.
Mer information om nätverksscenarier finns i Ingress i Azure Container Apps.
Inkommande funktioner
| Funktion | Lär dig hur du gör |
|---|---|
|
Inledning Konfigurera ingress |
Kontrollera routningen av extern och intern trafik till containerappen. |
| Premium-ingress | Konfigurera avancerade inställningar för ingress, till exempel stöd för arbetsbelastningsprofil för ingress och inaktivitetstimeout. |
| IP-begränsningar | Begränsa inkommande trafik till din containerapp efter IP-adress. |
| Autentisering av klientcertifikat | Konfigurera klientcertifikatautentisering (kallas även ömsesidig TLS eller mTLS) för din containerapp. |
|
Trafikdelning Blå/grön distribution |
Dela inkommande trafik mellan aktiva versioner av din containerapplikation. |
| Sessionstillhörighet | Dirigera alla begäranden från en klient till samma replik av containerappen. |
| Resursdelning mellan olika ursprung (CORS) | Aktivera CORS för din containerapp, vilket tillåter begäranden som görs via webbläsaren till en domän som inte matchar sidans ursprung. |
| Sökvägsbaserad routning | Använd regler för att dirigera begäranden till olika containerappar i din miljö, beroende på sökvägen för varje begäran. |
| Virtuella nätverk | Konfigurera det virtuella nätverket för din Container Apps-miljö. |
| DNS | Konfigurera DNS för containerappmiljöns virtuella nätverk. |
| Privat slutpunkt | Använd en privat slutpunkt för att få säker åtkomst till containerappen utan att exponera den för det offentliga Internet. |
| Integrera med Azure Front Door | Anslut direkt från Azure Front Door till en containerapp med hjälp av en privat länk i stället för det offentliga Internet. |
Utgående funktioner
| Funktion | Lär dig hur du gör |
|---|---|
| Använda Azure Firewall | Använd Azure Firewall för att styra utgående trafik från containerappen. |
| Virtuella nätverk | Konfigurera det virtuella nätverket för din Container Apps-miljö. |
| Skydda ett befintligt virtuellt nätverk med en nätverkssäkerhetsgrupp | Skydda din Container Apps-miljös virtuella nätverk med hjälp av en nätverkssäkerhetsgrupp. |
| Integrering med Azure NAT Gateway | Använd Azure NAT Gateway för att förenkla utgående Internetanslutning i ditt virtuella nätverk i en arbetsbelastningsprofilmiljö. |
Instruktionsartiklar
| Artikel | Lär dig hur du gör |
|---|---|
| Tillhandahålla ett virtuellt nätverk till en Azure Container Apps-miljö | Använd ett virtuellt nätverk. |
| Skydda Azure Container Apps med hjälp av Web Application Firewall på Application Gateway | Konfigurera Azure Web Application Firewall på Azure Application Gateway. |
| Styr utgående trafik i Azure Container Apps med användardefinierade vägar | Aktivera UDR: er. |
| Använd mTLS i Azure Container Apps | Skapa ett mTLS-program i Container Apps. |
| Använd en privat slutpunkt med en Azure Container Apps miljö | Använd en privat slutpunkt för att få säker åtkomst till containerappen utan att exponera den för det offentliga Internet. |
| Skapa en privat länk till en containerapp med Azure Front Door | Anslut direkt från Azure Front Door till en containerapp med hjälp av en privat länk i stället för det offentliga Internet. |
Miljösäkerhet
Du kan skydda din arbetsbelastningsprofilmiljö för inkommande och utgående nätverkstrafik genom att vidta följande åtgärder:
Skapa din interna Container Apps-miljö i en arbetsbelastningsprofilmiljö. Anvisningar finns i Hantera arbetsbelastningsprofiler med Azure CLI.
Integrera Container Apps med Application Gateway.
Konfigurera en UDR för att dirigera all trafik via Azure Firewall.
HTTP-proxybeteende vid nätverkets kant
Azure Container Apps använder en EDGE HTTP-proxy som avslutar TLS och dirigerar begäranden till varje program.
HTTP-program skalas baserat på antalet HTTP-begäranden och anslutningar. Envoy dirigerar trafik inom kluster.
Underordnade anslutningar stöder HTTP/1.1 och HTTP/2. Envoy identifierar och uppgraderar anslutningar automatiskt om klientanslutningen kräver en uppgradering.
Du definierar överordnade anslutningar genom att ange transport egenskapen för ingressobjektet .
Portalberoenden
För varje app i Container Apps finns det två URL:er.
Container Apps-körningen genererar ursprungligen ett fullständigt domännamn (FQDN) som används för att komma åt din app. Om du vill hämta FQDN för din containerapp går du till din containerapp i Azure-portalen. I fönstret Översikt är FQDN-värdet program-URL .
En andra URL genereras också åt dig. Den här platsen ger åtkomst till loggströmningstjänsten och konsolen. Om det behövs lägger du till https://azurecontainerapps.dev/ i listan över tillåtna brandväggar eller proxyservrar.
Portar och IP-adresser
Följande portar exponeras för inkommande anslutningar:
| Protokoll | Ports |
|---|---|
| HTTP/HTTPS | 80, 443 |
IP-adresser har följande typer:
| Typ | beskrivning |
|---|---|
| Offentlig inkommande IP-adress | Används för programtrafik i en extern distribution och för hantering av trafik i både interna och externa distributioner. |
| Utgående offentlig IP-adress | Används som "från"-IP för utgående anslutningar som lämnar det virtuella nätverket. De här anslutningarna dirigeras inte ned från ett VPN. Utgående IP-adresser kan ändras med tiden. Användning av Azure NAT Gateway eller en annan proxy för utgående trafik från en Container Apps-miljö stöds endast i en arbetslastprofilmiljö. |
| Ip-adress för intern lastbalanserare | Finns bara i en intern miljö. |