(非推奨) Azure Container Service アプリケーションへのパブリック アクセスを有効にする

  • [アーティクル]

警告

Azure Container Service (ACS) は非推奨となっています。 ACS に新しい機能が追加されることはありません。 API、ポータルのエクスペリエンス、CLI コマンド、ドキュメントはすべて非推奨としてマークされます。

詳細については、Azure.com で Azure Container Service の非推奨化に関するお知らせを参照してください。

次のいずれかの Azure Marketplace ソリューションをデプロイすることをお勧めします。

Kubernetes を使用する場合は、Azure Kubernetes Service に関するページを参照してください。

ACS パブリック エージェント プール のすべての DC/OS コンテナーは、自動的にインターネットに公開されます。 既定では、ポート 804438080 が開かれ、それらのポートでリッスンしているすべての (パブリック) コンテナーにアクセスできます。 この記事では、Azure Container Service のアプリケーションのために、さらに多くのポートを開く方法について説明します。

ポートを開く (ポータル)

まず、必要なポートを開く必要があります。

  1. ポータルにログインします。

  2. Azure Container Service をデプロイしたリソース グループを見つけます。

  3. エージェント ロード バランサー ( XXXX-agent-lb-XXXXというような名前) を選択します。

    Azure container service load balancer

  4. [プローブ][追加] の順にクリックします。

    Azure container service load balancer probes

  5. プローブのフォームに入力し、 [OK]をクリックします。

    フィールド 説明
    名前 プローブのわかりやすい名前。
    Port テストするコンテナーのポート。
    パス (HTTP モードの場合) プローブする相対 Web サイト パス。 HTTPS はサポートされていません。
    Interval プローブの試行の間隔 (秒単位)。
    異常のしきい値 コンテナーが異常と判断されるまでの、連続するプローブの試行回数。

  6. エージェント ロード バランサーのプロパティに戻って、[負荷分散規則][追加] の順にクリックします。

    Azure container service load balancer rules

  7. ロード バランサーのフォームに入力し、 [OK]をクリックします。

    フィールド 説明
    名前 ロード バランサーのわかりやすい名前。
    Port パブリック受信ポート。
    バックエンド ポート トラフィックのルーティング先となるコンテナーの内部パブリック ポート。
    バックエンド プール このプール内のコンテナーが、このロード バランサーの対象となります。
    プローブ バックエンド プール 内のターゲットが正常であるかどうかを判断するために使用されるプローブ。
    セッション永続化 セッションの期間中、クライアントからのトラフィックをどのように処理するかを決定します。

    なし: 同じクライアントからの連続する要求は、任意のコンテナーで処理できます。
    クライアント IP: 同じクライアントからの連続する要求は、同じコンテナーで処理できます。
    クライアント IP とプロトコル: 同じクライアント IP とプロトコルの組み合わせからの連続する要求は、同じコンテナーで処理できます。
    アイドル タイムアウト (TCP のみ) keep-alive メッセージに依存せずに、TCP/HTTP クライアントを開いたままにしておく時間 (分単位)。

セキュリティ規則を追加する (ポータル)

次に、開いたポートからファイアウォールを介してトラフィックをルーティングするセキュリティ規則を追加する必要があります。

  1. ポータルにログインします。

  2. Azure Container Service をデプロイしたリソース グループを見つけます。

  3. パブリック エージェント ネットワーク セキュリティ グループ (XXXX-agent-public-nsg-XXXX のような名前) を選択します。

    Azure container service network security group

  4. [受信セキュリティ規則][追加] の順に選択します。

    Azure container service network security group rules

  5. パブリック ポートを許可するようにファイアウォール規則を設定し、 [OK]をクリックします。

    フィールド 説明
    名前 ファイアウォール規則のわかりやすい名前。
    優先度 規則の優先順位。 数値が低いほど、優先度は高くなります。
    source この規則によって許可または拒否される受信 IP アドレスの範囲を制限します。 制限を指定しない場合は、 [任意] を使用します。
    サービス このセキュリティ規則の対象となる定義済みサービスのセットを選択します。 または、 [カスタム] を使用して独自に作成します。
    Protocol TCP または UDP に基づいて、トラフィックを制限します。 制限を指定しない場合は、 [任意] を使用します。
    ポートの範囲 [サービス][カスタム] である場合は、この規則が影響するポートの範囲を指定します。 80 のような単一のポートを使用することも、1024-1500 のような範囲を使用することもできます。
    アクション 条件に一致するトラフィックを許可または拒否します。

次のステップ

パブリックとプライベートの DC/OS エージェントの違いについて学習します。

DC/OS コンテナーの管理の詳細をお読みください。