Bereitstellen eines virtuellen Netzwerks in einer internen Azure Container Apps-Umgebung

Das folgende Beispiel zeigt, wie Sie eine Container Apps-Umgebung in einem vorhandenen virtuellen Netzwerk erstellen.

Melden Sie sich zunächst beim Azure-Portal an.

Erstellen einer Container-App

Beginnen Sie auf der Startseite des Azure-Portals, um Ihre Container-App zu erstellen.

1. Suchen Sie in der oberen Suchleiste nach Container Apps.
2. Wählen Sie in den Suchergebnissen Container Apps aus.
3. Wählen Sie die Schaltfläche Erstellen.

Registerkarte „Grundlagen“

Gehen Sie auf der Registerkarte Grundeinstellungen wie folgt vor:

1. Geben Sie im Abschnitt Projektdetails die folgenden Werte ein.

   Einstellung	Aktion
   Subscription	Wählen Sie Ihr Azure-Abonnement.
   Resource group	Wählen Sie Neu erstellen aus, und geben Sie my-container-apps ein.
   Name der Container-App	Geben Sie my-container-app ein.

Erstellen einer Umgebung

Erstellen Sie als Nächstes eine Umgebung für Ihre Container-App.

1. Wählen Sie die geeignete Region aus.

   Einstellung	Wert
   Region	Wählen Sie USA, Mitte aus.

2. Wählen Sie im Feld Container Apps-Umgebung erstellen den Link Neu erstellen aus.

3. Geben Sie auf der Seite Container Apps-Umgebung erstellen auf der Registerkarte Grundlagen die folgenden Werte ein:

   Einstellung	Wert
   Umgebungsname	Geben Sie my-environment ein.
   Umgebungstyp	Wählen Sie Nur Verbrauch aus.
   Zonenredundanz	Wählen Sie Deaktiviert aus.

4. Wählen Sie die Registerkarte Überwachung aus, um einen Log Analytics-Arbeitsbereich zu erstellen.

5. Wählen Sie Azure Log Analytics als Protokollziel aus.

6. Wählen Sie im Feld Log Analytics-Arbeitsbereich den Link Neu erstellen aus, und geben Sie die folgenden Werte ein:

   Einstellung	Wert
   Name	Geben Sie my-container-apps-logs ein.

   Im Feld Standort ist bereits USA, Mitte angegeben.

7. Wählen Sie OK aus.

Hinweis

Sie können ein vorhandenes virtuelles Netzwerk verwenden. Für die Verwendung mit Container Apps ist aber ein dediziertes Subnetz mit einem CIDR-Bereich von /23 oder mehr erforderlich, wenn Sie eine reine Verbrauchsumgebung verwenden. Wenn Sie die Umgebung mit Workloadprofilen verwenden, ist /27 oder mehr erforderlich. Weitere Informationen zur Subnetzgröße finden Sie in der Übersicht über die Netzwerkumgebung.

7. Wählen Sie die Registerkarte Netzwerk aus, um ein VNET zu erstellen.

8. Wählen Sie neben Use your own virtual network (Eigenes virtuelles Netzwerk verwenden) die Option Ja aus.

9. Wählen Sie neben dem Feld Virtuelles Netzwerk den Link Neu erstellen aus, und geben Sie den folgenden Wert ein:

   Einstellung	Wert
   Name	Geben Sie my-custom-vnet ein.

10. Wählen Sie die Schaltfläche OK aus.

11. Wählen Sie neben dem Feld Infrastruktursubnetz den Link Neu erstellen aus, und geben Sie die folgenden Werte ein:

    Einstellung	Wert
    Subnetzname	Geben Sie infrastructure-subnet ein.
    Adressblock des virtuellen Netzwerks	Lassen Sie die Standardwerte unverändert.
    Subnetzadressblock	Lassen Sie die Standardwerte unverändert.

12. Wählen Sie die Schaltfläche OK aus.

13. Wählen Sie unter Virtuelle IP-Adresse die Option Intern aus.

14. Klicken Sie auf Erstellen.

Bereitstellen der Container-App

1. Wählen Sie unten auf der Seite die Option Überprüfen und Erstellen aus.

   Wenn keine Fehler gefunden werden, wird die Schaltfläche Erstellen aktiviert.

   Werden Fehler gefunden, wird jede Registerkarte, die Fehler enthält, mit einem roten Punkt markiert. Navigieren Sie zur entsprechenden Registerkarte. Felder, die einen Fehler enthalten, werden rot hervorgehoben. Wenn Sie alle Fehler behoben haben, wählen Sie erneut Überprüfen und erstellen aus.

2. Klicken Sie auf Erstellen.

   Eine Seite mit der Meldung Bereitstellung wird durchgeführt wird angezeigt. Nach dem erfolgreichen Abschluss der Bereitstellung wird die Meldung Ihre Bereitstellung wurde abgeschlossen angezeigt.

Voraussetzungen

• Azure-Konto mit einem aktiven Abonnement.
  • Falls Sie keins haben, können Sie kostenlos eins erstellen.
• Installieren Sie die Azure CLI, Version 2.28.0 oder höher.

Setup

Um sich ausgehend von der CLI bei Azure anzumelden, führen Sie den folgenden Befehl aus und befolgen Sie die Anweisungen, um den Authentifizierungsprozess abzuschließen.

Bash

az login

Azure PowerShell

Connect-AzAccount

Verwenden Sie den Upgradebefehl, um sicherzustellen, dass Sie die neueste Version der CLI ausführen.

Bash

az upgrade

Azure PowerShell

Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force

Ignorieren Sie alle Warnungen zu derzeit verwendeten Modulen.

Installieren oder aktualisieren Sie als Nächstes die Azure Container Apps-Erweiterung für die CLI.

Bash

az extension add --name containerapp --upgrade

Azure PowerShell

Install-Module -Name Az.App

Wenn Sie eine ältere Version des Az.App-Moduls installiert haben, aktualisieren Sie es.

Update-Module -Name Az.App

Nachdem die aktuelle Erweiterung oder das aktuelle Modul installiert ist, registrieren Sie nun die Namespaces Microsoft.App und Microsoft.OperationalInsights.

Hinweis

Azure Container Apps-Ressourcen wurden vom Microsoft.Web-Namespace zum Microsoft.App-Namespace migriert. Weitere Informationen finden Sie unter Namespacemigration von Microsoft.Web zu Microsoft.App im März 2022.

Bash

az provider register --namespace Microsoft.App

az provider register --namespace Microsoft.OperationalInsights

Azure PowerShell

Register-AzResourceProvider -ProviderNamespace Microsoft.App

Register-AzResourceProvider -ProviderNamespace Microsoft.OperationalInsights

Festlegen von Umgebungsvariablen

Legen Sie die folgenden Umgebungsvariablen fest. Ersetzen Sie <PLATZHALTER> durch Ihre Werte:

Bash

RESOURCE_GROUP="<RESOURCE_GROUP>"
LOCATION="<LOCATION>"
CONTAINERAPPS_ENVIRONMENT="<CONTAINERAPPS_ENVIRONMENT>"

Azure PowerShell

$ResourceGroupName = '<RESOURCE_GROUP>'
$Location = '<LOCATION>'
$ContainerAppsEnvironment = '<CONTAINERAPPS_ENVIRONMENT>'

Erstellen einer Azure-Ressourcengruppe

Erstellen Sie eine Ressourcengruppe, um die Dienste im Zusammenhang mit der Bereitstellung Ihrer Container-App zu organisieren.

Bash

az group create \
  --name $RESOURCE_GROUP \
  --location "$LOCATION"

Azure PowerShell

New-AzResourceGroup -Location $Location -Name $ResourceGroupName

Erstellen einer Umgebung

Eine Umgebung in Azure Container Apps erstellt eine sichere Grenze für eine Gruppe von Container-Apps. Container-Apps, die in derselben Umgebung bereitgestellt werden, werden im gleichen virtuellen Netzwerk bereitgestellt und schreiben Protokolle in denselben Log Analytics-Arbeitsbereich.

Registrieren Sie den Anbieter Microsoft.ContainerService.

Bash

az provider register --namespace Microsoft.ContainerService

Azure PowerShell

Register-AzResourceProvider -ProviderNamespace Microsoft.ContainerService

Deklarieren Sie eine Variable zum Aufnehmen des VNet-Namens.

Bash

VNET_NAME="my-custom-vnet"

Azure PowerShell

$VnetName = 'my-custom-vnet'

Erstellen Sie nun eine Instanz des virtuellen Netzwerks, die der Container Apps-Umgebung zugeordnet werden soll. Das virtuelle Netzwerk muss über zwei Subnetze für die Container App-Instanz verfügen.

Hinweis

Das Präfix für Netzwerksubnetzadressen erfordert einen CIDR-Mindestbereich von /23 für die Verwendung mit Container Apps, wenn eine reine Verbrauchsumgebung verwendet wird. Wenn Sie die Umgebung mit Workloadprofilen verwenden, ist /27 oder mehr erforderlich. Weitere Informationen zur Subnetzgröße finden Sie in der Übersicht über die Netzwerkumgebung.

Bash

az network vnet create \
  --resource-group $RESOURCE_GROUP \
  --name $VNET_NAME \
  --location $LOCATION \
  --address-prefix 10.0.0.0/16

az network vnet subnet create \
  --resource-group $RESOURCE_GROUP \
  --vnet-name $VNET_NAME \
  --name infrastructure-subnet \
  --address-prefixes 10.0.0.0/23

Azure PowerShell

$SubnetArgs = @{
    Name = 'infrastructure-subnet'
    AddressPrefix = '10.0.0.0/23'
}
$subnet = New-AzVirtualNetworkSubnetConfig @SubnetArgs

$VnetArgs = @{
    Name = $VnetName
    Location = $Location
    ResourceGroupName = $ResourceGroupName
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnet
}
$vnet = New-AzVirtualNetwork @VnetArgs

Nachdem das VNet eingerichtet wurde, können Sie jetzt die Infrastruktursubnetz-ID abfragen.

Bash

INFRASTRUCTURE_SUBNET=`az network vnet subnet show --resource-group ${RESOURCE_GROUP} --vnet-name $VNET_NAME --name infrastructure-subnet --query "id" -o tsv | tr -d '[:space:]'`

Azure PowerShell

$InfrastructureSubnet = (Get-AzVirtualNetworkSubnetConfig -Name $SubnetArgs.Name -VirtualNetwork $vnet).Id

Erstellen Sie abschließend die Container Apps-Umgebung mit dem VNet und Subnetz.

Bash

az containerapp env create \
  --name $CONTAINERAPPS_ENVIRONMENT \
  --resource-group $RESOURCE_GROUP \
  --location "$LOCATION" \
  --infrastructure-subnet-resource-id $INFRASTRUCTURE_SUBNET \
  --internal-only

In der folgenden Tabelle werden die für containerapp env create verwendeten Parameter beschrieben.

Parameter	Beschreibung
name	Name der Container-Apps-Umgebung.
resource-group	Name der Ressourcengruppe
logs-workspace-id	(Optional) Die ID eines vorhandenen Log Analytics-Arbeitsbereichs. Wenn sie ausgelassen werden, wird ein Arbeitsbereich für Sie erstellt.
logs-workspace-key	Geheimer Log Analytics-Clientschlüssel. Erforderlich, wenn Sie einen vorhandenen Arbeitsbereich verwenden.
location	Azure-Standort, an dem die Umgebung bereitgestellt werden soll.
infrastructure-subnet-resource-id	Ressourcen-ID eines Subnetzs für Infrastrukturkomponenten und Benutzeranwendungscontainer.
internal-only	(Optional) Die Umgebung verwendet keine öffentliche statische IP, sondern nur interne IP-Adressen, die im benutzerdefinierten VNET verfügbar sind. (Erfordert eine Infrastruktur-Subnetzressourcen-ID.)

Wenn die Umgebung in Ihrem benutzerdefinierten virtuellen Netzwerk erstellt wurde, können Sie Container Apps mithilfe des Befehls az containerapp create in der Umgebung bereitstellen.

Azure PowerShell

Für die Container Apps-Umgebung ist ein Log Analytics-Arbeitsbereich erforderlich. Die folgenden Befehle erstellen einen Log Analytics-Arbeitsbereich und speichern die Arbeitsbereichs-ID und den primären freigegebenen Schlüssel in Umgebungsvariablen.

$WorkspaceArgs = @{
    Name = 'myworkspace'
    ResourceGroupName = $ResourceGroupName
    Location = $Location
    PublicNetworkAccessForIngestion = 'Enabled'
    PublicNetworkAccessForQuery = 'Enabled'
}
New-AzOperationalInsightsWorkspace @WorkspaceArgs
$WorkspaceId = (Get-AzOperationalInsightsWorkspace -ResourceGroupName $ResourceGroupName -Name $WorkspaceArgs.Name).CustomerId
$WorkspaceSharedKey = (Get-AzOperationalInsightsWorkspaceSharedKey -ResourceGroupName $ResourceGroupName -Name $WorkspaceArgs.Name).PrimarySharedKey

Führen Sie den folgenden Befehl aus, um die Umgebung zu erstellen:

$EnvArgs = @{
    EnvName = $ContainerAppsEnvironment
    ResourceGroupName = $ResourceGroupName
    Location = $Location
    AppLogConfigurationDestination = 'log-analytics'
    LogAnalyticConfigurationCustomerId = $WorkspaceId
    LogAnalyticConfigurationSharedKey = $WorkspaceSharedKey
    VnetConfigurationInfrastructureSubnetId = $InfrastructureSubnet
    VnetConfigurationInternal = $true
}
New-AzContainerAppManagedEnv @EnvArgs

In der folgenden Tabelle werden die für New-AzContainerAppManagedEnv verwendeten Parameter beschrieben.

Parameter	Beschreibung
EnvName	Name der Container-Apps-Umgebung.
ResourceGroupName	Name der Ressourcengruppe
LogAnalyticConfigurationCustomerId	Die ID eines vorhandenen Log Analytics-Arbeitsbereichs
LogAnalyticConfigurationSharedKey	Geheimer Log Analytics-Clientschlüssel.
Location	Azure-Standort, an dem die Umgebung bereitgestellt werden soll.
VnetConfigurationInfrastructureSubnetId	Ressourcen-ID eines Subnetzs für Infrastrukturkomponenten und Benutzeranwendungscontainer.
VnetConfigurationInternal	(Optional) Die Umgebung verwendet keine öffentliche statische IP, sondern nur interne IP-Adressen, die im benutzerdefinierten VNET verfügbar sind. (Erfordert eine Infrastruktur-Subnetzressourcen-ID.)

Wenn die Umgebung mit Ihrem benutzerdefinierten virtuellen Netzwerk erstellt wurde, können Sie Container Apps in der Umgebung bereitstellen.

Optionale Konfiguration

Sie haben die Möglichkeit, ein privates DNS bereitzustellen und benutzerdefinierte Netzwerk-IP-Adressbereiche für die Container Apps-Umgebung zu definieren.

Bereitstellen mit einem privaten DNS

Wenn Sie die Container-App mit einem privaten DNS bereitstellen möchten, führen Sie die folgenden Befehle aus.

Extrahieren Sie zunächst identifizierbare Informationen aus der Umgebung.

Bash

ENVIRONMENT_DEFAULT_DOMAIN=`az containerapp env show --name ${CONTAINERAPPS_ENVIRONMENT} --resource-group ${RESOURCE_GROUP} --query properties.defaultDomain --out json | tr -d '"'`

ENVIRONMENT_STATIC_IP=`az containerapp env show --name ${CONTAINERAPPS_ENVIRONMENT} --resource-group ${RESOURCE_GROUP} --query properties.staticIp --out json | tr -d '"'`

VNET_ID=`az network vnet show --resource-group ${RESOURCE_GROUP} --name ${VNET_NAME} --query id --out json | tr -d '"'`

Azure PowerShell

$EnvironmentDefaultDomain = (Get-AzContainerAppManagedEnv -EnvName $ContainerAppsEnvironment -ResourceGroupName $ResourceGroupName).DefaultDomain

$EnvironmentStaticIp = (Get-AzContainerAppManagedEnv -EnvName $ContainerAppsEnvironment -ResourceGroupName $ResourceGroupName).StaticIp

Richten Sie als Nächstes das private DNS ein.

Bash

az network private-dns zone create \
  --resource-group $RESOURCE_GROUP \
  --name $ENVIRONMENT_DEFAULT_DOMAIN

az network private-dns link vnet create \
  --resource-group $RESOURCE_GROUP \
  --name $VNET_NAME \
  --virtual-network $VNET_ID \
  --zone-name $ENVIRONMENT_DEFAULT_DOMAIN -e true

az network private-dns record-set a add-record \
  --resource-group $RESOURCE_GROUP \
  --record-set-name "*" \
  --ipv4-address $ENVIRONMENT_STATIC_IP \
  --zone-name $ENVIRONMENT_DEFAULT_DOMAIN

Azure PowerShell

New-AzPrivateDnsZone -ResourceGroupName $ResourceGroupName -Name $EnvironmentDefaultDomain

New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $ResourceGroupName -Name $VnetName -VirtualNetwork $Vnet -ZoneName $EnvironmentDefaultDomain -EnableRegistration

$DnsRecords = @()
$DnsRecords += New-AzPrivateDnsRecordConfig -Ipv4Address $EnvironmentStaticIp

$DnsRecordArgs = @{
    ResourceGroupName = $ResourceGroupName
    ZoneName = $EnvironmentDefaultDomain
    Name = '*'
    RecordType = 'A'
    Ttl = 3600
    PrivateDnsRecords = $DnsRecords
}
New-AzPrivateDnsRecordSet @DnsRecordArgs

Netzwerkparameter

Es gibt drei optionale Netzwerkparameter, die Sie beim Aufrufen von containerapp env create definieren können. Verwenden Sie diese Optionen, wenn Sie über ein gepeertes VNet mit separaten Adressbereichen verfügen. Durch die explizite Konfiguration dieser Bereiche wird sichergestellt, dass die von der Container Apps-Umgebung verwendeten Adressen keine Konflikte mit anderen Bereichen in der Netzwerkinfrastruktur verursachen.

Sie müssen entweder Werte für alle drei dieser Eigenschaften oder für keine dieser Eigenschaften angeben. Wenn Sie keine Werte angeben, werden sie für Sie generiert.

Bash

Parameter	Beschreibung
platform-reserved-cidr	Der Adressbereich, der intern für Infrastrukturdienste der Umgebung verwendet wird. Muss eine Größe zwischen /23 und /12 bei Verwendung eine reinen Verbrauchsumgebung aufweisen
platform-reserved-dns-ip	Eine IP-Adresse aus dem platform-reserved-cidr-Bereich, der für den internen DNS-Server verwendet wird. Die Adresse darf nicht der ersten Adresse im Bereich oder der Netzwerkadresse entsprechen. Wenn beispielsweise platform-reserved-cidr auf 10.2.0.0/16 festgelegt ist, kann platform-reserved-dns-ip nicht 10.2.0.0 (die Netzwerkadresse) oder 10.2.0.1 (die Infrastruktur reserviert die Verwendung dieser IP-Adresse) sein. In diesem Fall wäre 10.2.0.2 die erste IP-Adresse, die für das DNS verwendet werden kann.
docker-bridge-cidr	Der Adressbereich, der dem Docker-Bridgenetzwerk zugewiesen ist. Dieser Bereich muss eine Größe zwischen /28 und /12 aufweisen.

• Die Adressbereiche platform-reserved-cidr und docker-bridge-cidr können nicht miteinander oder mit den Bereichen eines der beiden bereitgestellten Subnetze in Konflikt stehen. Vergewissern Sie sich außerdem, dass diese Bereiche keinen Konflikt mit anderen Adressbereichen im VNET verursachen.

• Wenn diese Eigenschaften nicht bereitgestellt werden, werden von der CLI die Bereichswerte automatisch basierend auf dem Adressbereich des VNET generiert, damit Bereichskonflikte verhindert werden.

Azure PowerShell

Parameter	Beschreibung
VnetConfigurationPlatformReservedCidr	Der Adressbereich, der intern für Infrastrukturdienste der Umgebung verwendet wird. Muss eine Größe zwischen /23 und /12 bei Verwendung eine reinen Verbrauchsumgebung aufweisen
VnetConfigurationPlatformReservedDnsIP	Eine IP-Adresse aus dem VnetConfigurationPlatformReservedCidr-Bereich, der für den internen DNS-Server verwendet wird. Die Adresse darf nicht der ersten Adresse im Bereich oder der Netzwerkadresse entsprechen. Wenn beispielsweise VnetConfigurationPlatformReservedCidr auf 10.2.0.0/16 festgelegt ist, kann VnetConfigurationPlatformReservedDnsIP nicht 10.2.0.0 (die Netzwerkadresse) oder 10.2.0.1 (die Infrastruktur reserviert die Verwendung dieser IP-Adresse) sein. In diesem Fall wäre 10.2.0.2 die erste IP-Adresse, die für das DNS verwendet werden kann.
VnetConfigurationDockerBridgeCidr	Der Adressbereich, der dem Docker-Bridgenetzwerk zugewiesen ist. Dieser Bereich muss eine Größe zwischen /28 und /12 aufweisen.

• Die Adressbereiche VnetConfigurationPlatformReservedCidr und VnetConfigurationDockerBridgeCidr können nicht miteinander oder mit den Bereichen eines der beiden bereitgestellten Subnetze in Konflikt stehen. Vergewissern Sie sich außerdem, dass diese Bereiche keinen Konflikt mit anderen Adressbereichen im VNET verursachen.

• Wenn diese Eigenschaften nicht angegeben werden, werden die Bereichswerte automatisch basierend auf dem Adressbereich des VNET generiert, um Bereichskonflikte zu verhindern.

Bereinigen von Ressourcen

Wenn Sie diese Anwendung nicht weiterverwenden möchten, können Sie die Azure Container Apps-Instanz und alle zugehörigen Dienste löschen, indem Sie die Ressourcengruppe my-container-apps entfernen. Durch das Löschen dieser Ressourcengruppe werden die Ressourcengruppe entfernt, die automatisch vom Container Apps-Dienst erstellt wird, der die benutzerdefinierten Netzwerkkomponenten enthält.

Achtung

Mit dem folgenden Befehl werden die angegebene Ressourcengruppe und alle darin enthaltenen Ressourcen gelöscht. Falls in der angegebenen Ressourcengruppe Ressourcen enthalten sind, die nicht zum Umfang dieses Leitfadens gehören, werden sie ebenfalls gelöscht.

Bash

az group delete --name $RESOURCE_GROUP

Azure PowerShell

Remove-AzResourceGroup -Name $ResourceGroupName -Force

Zusätzliche Ressourcen

• Um eingehenden Datenverkehr im VNET-Umfang zu verwenden, müssen Sie DNS einrichten.

Nächste Schritte

Verwalten des Verhaltens der automatischen Skalierung