Recursos e cenários de rede virtual

  • Artigo

A Rede Virtual do Azure fornece uma rede privada segura para seus recursos locais e do Azure. Implantando grupos de contêineres em uma rede virtual do Azure, os contêineres podem se comunicar com segurança com outros recursos na rede virtual.

Este artigo fornece informações sobre cenários, limitações e recursos de rede virtual. Para obter exemplos de implantação usando a CLI do Azure, veja Implantar instâncias de contêiner em uma rede virtual do Azure.

Importante

A implantação de grupo de contêineres em uma rede virtual está geralmente disponível para contêineres Linux e Windows, na maioria das regiões onde as Instâncias de Contêiner do Azure estão disponíveis. Para obter detalhes, veja Disponibilidade de recursos e limites de cota.

Cenários

Os grupos de contêineres implantados em uma rede virtual do Azure permitem cenários como:

  • Comunicação direta entre grupos de contêineres na mesma sub-rede
  • Enviar saída de carga de trabalho baseada em tarefa de instâncias de contêiner para um banco de dados na rede virtual
  • Recuperar o conteúdo para instâncias de contêiner de um ponto de extremidade de serviço na rede virtual
  • Habilitar a comunicação de contêiner com recursos locais por meio de um gateway de VPN ou ExpressRoute
  • Integrar com o Firewall do Azure para identificar o tráfego de saída proveniente do contêiner
  • Resolver nomes por meio do DNS interno do Azure para comunicação com recursos do Azure na rede virtual, como máquinas virtuais
  • Usar regras NSG para controlar o acesso de contêiner a sub-redes ou outros recursos de rede

Cenários de rede sem suporte

  • Azure Load Balancer - Não há suporte para colocar um Azure Load Balancer na frente de instâncias de contêiner em um grupo de contêineres em rede
  • Emparelhamento de rede virtual global - Não há suporte para o emparelhamento global (conexão de redes virtuais entre regiões do Azure)
  • Rótulo de DNS ou IP público – os grupos de contêineres implantados em uma rede virtual atualmente não dão suporte à exposição de contêineres diretamente na Internet com um endereço IP público ou um nome de domínio totalmente qualificado
  • Identidade Gerenciada com a Rede Virtual nas Regiões do Azure Governamental - Não há suporte para a identidade gerenciada com os recursos de rede virtual nas Regiões do Azure Governamental

Outras limitações

  • Para implantar grupos de contêineres em uma sub-rede, a sub-rede não pode conter outros tipos de recursos. Remova todos os recursos existentes de uma sub-rede existente antes de implantar grupos de contêineres nela ou crie uma nova sub-rede.
  • Para implantar grupos de contêineres em uma sub-rede, a sub-rede e o grupo de contêineres precisam estar na mesma assinatura do Azure.
  • Você não pode habilitar uma investigação de atividade ou investigação de preparação em um grupo de contêineres implantado em uma rede virtual.
  • Devido aos recursos de rede adicionais envolvidos, as implantações em uma rede virtual são normalmente mais lentas do que a implantação de uma instância de contêiner padrão.
  • No momento, não há suporte para as conexões de saída com as portas 25 e 19390. A porta 19390 precisa ser aberta no seu firewall para se conectar à ACI a partir do portal do Azure quando os grupos de contêineres forem implantados nas redes virtuais.
  • Para conexões de entrada, o firewall também deve permitir todos os endereços IP na rede virtual.
  • Se você estiver conectando seu grupo de contêineres a uma Conta de Armazenamento do Azure, deverá adicionar um ponto de extremidade de serviço nesse recurso.
  • No momento, não há suporte para os Endereços IPv6.
  • Dependendo do tipo da sua assinatura, determinadas portas podem ser bloqueadas.
  • As instâncias de contêiner não leem ou herdam as configurações de DNS de uma rede virtual associada. As configurações de DNS devem ser definidas explicitamente nas instâncias de contêiner.

Recursos de rede necessários

Três recursos de Rede Virtual do Azure são necessários para a implantação de grupos de contêineres em uma rede virtual: a rede virtual propriamente dita, uma sub-rede delegada dentro da rede virtual e um perfil de rede.

Rede virtual

Uma rede virtual define o espaço de endereço no qual você cria uma ou mais sub-redes. Em seguida, você implanta recursos do Azure (como grupos de contêineres) nas sub-redes na sua rede virtual.

Sub-rede (delegada)

As sub-redes segmentam a rede virtual em espaços de endereço separados utilizáveis pelos recursos do Azure colocados neles. Você cria uma ou várias sub-redes dentro de uma rede virtual.

A sub-rede que você usa nos grupos de contêineres poderá conter somente grupos de contêineres. Antes de implantar um grupo de contêineres em uma sub-rede, você deve delegar explicitamente a sub-rede antes do provisionamento. Depois de delegada, a sub-rede pode ser usada apenas para grupos de contêineres. Se você tentar implantar recursos diferentes de grupos de contêineres em uma sub-rede delegada, a operação falhará.

Perfil de rede

Importante

Os perfis de rede foram descontinuados na versão 2021-07-01 da API. Se você estiver usando essa ou uma versão mais recente, ignore as etapas e ações relacionadas aos perfis de rede.

Um perfil de rede é um modelo de configuração de rede para recursos do Azure. Ele especifica determinadas propriedades de rede para o recurso; por exemplo, a sub-rede na qual ele deve ser implantado. Quando você usa o comando az container create pela primeira vez para implantar um grupo de contêiner em uma sub-rede (e, portanto, em uma rede virtual), o Azure cria um perfil de rede para você. Em seguida, você pode usar esse perfil de rede para implantações futuras na sub-rede.

Para usar um modelo do Resource Manager, um arquivo YAML ou um método programático para implantar um grupo de contêiner em uma sub-rede, é necessário fornecer o ID completo do recurso do Gerenciador de Recursos de um perfil de rede. Você pode usar um perfil criado anteriormente usando o az contêiner create ou criar um perfil usando um modelo do Resource Manager (consulte exemplo de modelo e referência). Para obter o ID de um perfil criado anteriormente, use o comando lista de perfis de rede az.

O diagrama a seguir ilustra vários grupos de contêineres implantados em uma sub-rede delegada nas Instâncias de Contêiner do Azure. Depois de implantar um grupo de contêineres em uma sub-rede, você poderá implantar mais grupos de contêineres nele especificando o mesmo perfil de rede.

Grupos de contêineres dentro de uma rede virtual

Próximas etapas