Szenarien und Ressourcen für virtuelle Azure-Netzwerke

  • Artikel

Das virtuelle Azure-Netzwerk (Azure Virtual Network) stellt ein sicheres, privates Netzwerk für Ihre Azure- und lokalen Ressourcen bereit. Durch die Bereitstellung von Containergruppen in einem virtuellen Azure-Netzwerk können Ihre Container sicher mit anderen Ressourcen im virtuellen Netzwerk kommunizieren.

Dieser Artikel bietet Hintergrundinformationen zu Szenarien, Einschränkungen und Ressourcen für virtuelle Netzwerke. Beispiele für die Bereitstellung mithilfe von Azure CLI finden Sie unter Bereitstellen von Containerinstanzen in einem virtuellen Azure-Netzwerk.

Wichtig

Die Bereitstellung von Containergruppen in einem virtuellen Netzwerk ist in den meisten Regionen, in denen Azure Container Instances verfügbar ist, für Linux- und Windows-Container allgemein verfügbar. Ausführliche Informationen finden Sie unter Ressourcenverfügbarkeits- und Kontingentgrenzen.

Szenarien

Containergruppen, die in einem virtuellen Azure-Netzwerk bereitgestellt werden, ermöglichen folgende Szenarien:

  • Direkte Kommunikation zwischen Containergruppen im gleichen Subnetz
  • Senden einer taskbasierten Workloadausgabe von Containerinstanzen an eine Datenbank im virtuellen Netzwerk
  • Abrufen des Inhalts für Containerinstanzen von einem Dienstendpunkt im virtuellen Netzwerk
  • Aktivieren der Containerkommunikation mit lokalen Ressourcen über ein VPN-Gateway oder ExpressRoute
  • Integrieren in Azure Firewall zum Identifizieren des ausgehenden Datenverkehrs, der vom Container ausgeht
  • Auflösen von Namen über das interne Azure DNS für die Kommunikation mit Azure-Ressourcen im virtuellen Netzwerk, z. B. virtuelle Computer
  • Verwenden von NSG-Regeln zum Steuern des Containerzugriffs auf Subnetze oder andere Netzwerkressourcen

Nicht unterstützte Netzwerkszenarien

  • Azure Load Balancer: Das Positionieren eines Azure Load Balancer vor Containerinstanzen in einer vernetzten Containergruppe wird nicht unterstützt.
  • Globales Peering virtueller Netzwerke: Globales Peering (Verbinden virtueller Netzwerke über Azure-Regionen hinweg) wird nicht unterstützt.
  • Öffentliche IP-Adresse oder DNS-Bezeichnung: Containergruppen, die in einem virtuellen Netzwerk bereitgestellt werden, unterstützen derzeit keine direkte Bereitstellung von Containern im Internet mit einer öffentlichen IP-Adresse oder einem vollqualifizierten Domänennamen.
  • Verwaltete Identität mit Virtual Network in Azure Government-Regionen – Verwaltete Identitäten mit Funktionen für virtuelle Netzwerke werden in Azure Government-Regionen nicht unterstützt

Weitere Einschränkungen

  • Um Containergruppen in einem Subnetz bereitstellen zu können, darf das Subnetz keine anderen Ressourcentypen enthalten. Entfernen Sie alle vorhandenen Ressourcen aus einem vorhandenen Subnetz, bevor Sie Containergruppen für dieses bereitstellen, oder erstellen Sie ein neues Subnetz.
  • Zum Bereitstellen von Containergruppen in einem Subnetz müssen sich das Subnetz und die Containergruppe im selben Azure-Abonnement befinden.
  • Sie können weder einen Livetest noch einen Bereitschaftstest in einer Containergruppe verwenden, die in einem virtuellen Netzwerk bereitgestellt wurde.
  • Aufgrund der zusätzlichen beteiligten Netzwerkressourcen erfolgen Bereitstellungen in einem virtuellen Netzwerk in der Regel langsamer als die Bereitstellung einer Standardcontainerinstanz.
  • Ausgehende Verbindungen mit den Ports 25 und 19390 werden derzeit nicht unterstützt. Port 19390 muss in Ihrer Firewall geöffnet sein, um über das Azure-Portal eine Verbindung mit ACI herzustellen, wenn Containergruppen in virtuellen Netzwerken bereitgestellt werden.
  • Bei eingehenden Verbindungen sollte die Firewall auch alle IP-Adressen innerhalb des virtuellen Netzwerks zulassen.
  • Wenn Sie eine Verbindung zwischen Ihrer Containergruppe und einem Azure Storage-Konto herstellen, müssen Sie dieser Ressource einen Dienstendpunkt hinzufügen.
  • IPv6-Adressen werden derzeit nicht unterstützt.
  • Je nach Abonnementtyp können bestimmte Ports blockiert werden.

Erforderliche Netzwerkressourcen

Es gibt drei Azure Virtual Network-Ressourcen, die für die Bereitstellung von Containergruppen in einem virtuellen Netzwerk erforderlich sind: das virtuelle Netzwerk selbst, ein delegiertes Subnetz innerhalb des virtuellen Netzwerks und ein Netzwerkprofil.

Virtuelles Netzwerk

Ein virtuelles Netzwerk definiert den Adressraum, in dem Sie mindestens ein Subnetz erstellen. Anschließend stellen Sie Azure-Ressourcen (z.B. Containergruppen) in den Subnetzen in Ihrem virtuellen Netzwerk bereit.

Subnetz (delegiert)

Subnetze unterteilen das virtuelle Netzwerk in getrennte Adressräume, die von den Azure-Ressourcen, die Sie darin platzieren, verwendet werden können. Sie erstellen eine oder mehrere Subnetze innerhalb eines virtuellen Netzwerks.

Das Subnetz, das Sie für Containergruppen verwenden, darf nur Containergruppen enthalten. Wenn Sie zuerst eine Containergruppe für ein Subnetz bereitstellen, delegiert Azure das Subnetz an Azure Container Instances. Nach erfolgter Delegierung kann das Subnetz nur für Containergruppen verwendet werden. Wenn Sie versuchen, andere Ressourcen als Containergruppen für ein delegiertes Subnetz bereitzustellen, tritt ein Fehler beim Vorgang auf.

Netzwerkprofil

Wichtig

Netzwerkprofile sind ab der API-Version 2021-07-01 veraltet. Wenn Sie diese oder eine neuere Version verwenden, ignorieren Sie alle Schritte und Aktionen, die sich auf Netzwerkprofile beziehen.

Ein Netzwerkprofil ist eine Netzwerkkonfigurationsvorlage für Azure-Ressourcen. Es gibt bestimmte Netzwerkeigenschaften für die Ressource an, z.B. das Subnetz, in dem diese bereitgestellt werden sollen. Wenn Sie den Befehl az container create zum ersten Mal zum Bereitstellen einer Containergruppe in einem Subnetz (und somit in einem virtuellen Netzwerk) verwenden, erstellt Azure ein Netzwerkprofil für Sie. Sie können dieses Netzwerkprofil dann für zukünftige Bereitstellungen in dem Subnetz verwenden.

Sie müssen die vollständige Resource Manager-Ressourcen-ID eines Netzwerkprofils angeben, um eine Resource Manager-Vorlage, YAML-Datei oder programmgesteuerte Methode zum Bereitstellen einer Containergruppe in einem Subnetz verwenden zu können. Sie können ein Profil verwenden, das Sie zuvor mithilfe des Befehls az container create erstellt haben, oder ein Profil mithilfe einer Resource Manager-Vorlage erstellen (Informationen dazu finden Sie im Vorlagenbeispiel und in der Referenz). Verwenden Sie den Befehl az network profile list, um die ID eines zuvor erstellten Profils abzurufen.

In der folgenden Abbildung wurden mehrere Containergruppen für ein Subnetz bereitgestellt, das an Azure Container Instances delegiert wurde. Nachdem Sie eine Containergruppe für ein Subnetz bereitgestellt haben, können Sie zusätzliche Containergruppen für dieses bereitstellen, indem Sie das gleiche Netzwerkprofil angeben.

Container groups within a virtual network

Nächste Schritte

  • Beispiele für die Bereitstellung mithilfe von Azure CLI finden Sie unter Bereitstellen von Containerinstanzen in einem virtuellen Azure-Netzwerk.
  • Informationen zum Bereitstellen eines neuen virtuellen Netzwerks, eines Subnetzes, eines Netzwerkprofils und einer Containergruppe mithilfe einer Resource Manager-Vorlage finden Sie unter Create an Azure container group with VNet (Erstellen einer Azure-Containergruppe mit einem virtuellen Netzwerk).
  • Wenn Sie das Azure-Portal zum Erstellen einer Containerinstanz verwenden, können Sie auf der Registerkarte Netzwerk auch Einstellungen für ein neues oder vorhandenes virtuelles Netzwerk angeben.