Freigeben über


Was ist Azure Container Instances?

Container entwickeln sich mehr und mehr zum bevorzugten Instrument für das Packen, Bereitstellen und Verwalten von Cloudanwendungen. Mit Azure Container Instances lassen sich Container in Azure besonders schnell und einfach ausführen, ohne dass Sie dazu virtuelle Computer verwalten oder einen übergeordneten Dienst einführen müssen.

ACI unterstützt reguläre Container, vertrauliche Container und Spotcontainer. ACI kann als einzelne Instanz oder Lösung mit mehreren Instanzen über NGroups verwendet werden. Sie können auch Orchestrierungsfunktionen nutzen, indem Sie Pods in Ihrem Azure Kubernetes Service-Cluster (AKS) über virtuelle Knoten in ACI bereitstellen.

Schneller Start

Container bieten im Vergleich zu virtuellen Computern (VMs) erhebliche Vorteile beim Start. Azure Container Instances kann in Sekundenschnelle Container in Azure starten, ohne virtuelle Computer bereitstellen und verwalten zu müssen.

Verwenden Sie Linux- oder Windows-Containerimages aus Docker Hub, aus einer privaten Azure-Containerregistrierung oder aus einer anderen cloudbasierten Docker-Registrierung. In den häufig gestellten Fragen (Frequently Asked Questions, FAQ) erfahren Sie, welche Registrierungen von ACI unterstützt werden. Von Azure Container Instances werden verschiedene gängige Basis-Betriebssystemimages zwischengespeichert, um die Entwicklung Ihrer benutzerdefinierten Anwendungsimages zu beschleunigen.

Containerzugriff

Mit Azure Container Instances können Sie Ihre Containergruppen direkt über eine öffentliche IP-Adresse und einen vollqualifizierten Domainnamen (FQDN) im Internet verfügbar machen. Beim Erstellen einer Containerinstanz können Sie eine benutzerdefinierte DNS-Namensbezeichnung angeben, sodass Ihre Anwendung unter „customlabel.azureregion.azurecontainer.io“ erreichbar ist.

Azure Container Instances unterstützt auch das Ausführen eines Befehls in einem ausgeführten Container durch Bereitstellen einer interaktiven Shell zur Unterstützung durch Anwendungsentwicklung und Problembehandlung. Der Zugriff erfolgt über HTTPS und verwendet TLS zum Sichern von Clientverbindungen.

Wichtig

Azure Container Instances erfordert, dass alle sicheren Verbindungen von Servern und Anwendungen TLS 1.2 verwenden. Die Unterstützung für TLS 1.0 und 1.1 wurde eingestellt.

Konforme Bereitstellungen

Sicherheit auf Hypervisor-Ebene

In der Vergangenheit waren in Containern zwar eine Isolierung von Anwendungsabhängigkeiten und Ressourcengovernance verfügbar, diese waren jedoch nicht ausreichend gehärtet für die feindliche Umgebung bei der Verwendung mit mehreren Mandanten. Azure Container Instances gewährleistet, dass Ihre Anwendung in einem Container isoliert ist – genau wie bei einem virtuellen Computer.

Kundendaten

Der Azure Container Instances-Dienst speichert keine Kundendaten. Er speichert jedoch die Abonnement-IDs des Azure-Abonnements, das zum Erstellen von Ressourcen verwendet wird. Das Speichern von Abonnement-IDs ist erforderlich, um sicherzustellen, dass Ihre Containergruppen wie erwartet ausgeführt werden.

Benutzerdefinierte Größen

Container sind in der Regel für die Ausführung einer einzelnen Anwendung optimiert. Die genauen Anforderungen dieser Anwendungen können sich jedoch erheblich voneinander unterscheiden. Azure Container Instances ermöglicht exakte Angaben für CPU-Kerne und Arbeitsspeicher und bietet dadurch eine optimale Auslastung. Dank sekundengenauer Abrechnung können Sie Ihre Ausgaben auf der Grundlage Ihres tatsächlichen Bedarfs präzise optimieren.

Bei rechenintensiven Aufträgen wie maschinelles Lernen kann Azure Container Instances Linux-Container für die Nutzung von NVIDIA Tesla GPU-Ressourcen (Vorschau) planen.

Permanenter Speicher

Dank der Möglichkeit zur durch Azure Storage gesicherten direkten Einbindung von Azure Files-Freigaben können Sie mit Azure Container Instances den Zustand abrufen und speichern.

Linux- und Windows-Container

Azure Container Instances kann sowohl Windows- als auch Linux-Container mit der gleichen API planen. Sie können Ihre Betriebssystemtyppräferenz angeben, wenn Sie Ihre Containergruppen erstellen.

Einige Features sind momentan auf Linux-Container beschränkt:

Verwenden Sie für Windows-Containerbereitstellungen Images, die auf allgemeinen Windows-Basisimages beruhen.

Ausführen mehrerer Container in einer einzelnen Containergruppe

Azure Container Instances unterstützt die Planung von mehreren Containern in einer einzelnen Containergruppe mit gemeinsamem Containerhost, lokalem Netzwerk, Speicher und Lebenszyklus. Dadurch können Sie Ihren Hauptanwendungscontainer mit anderen unterstützenden Rollencontainern (beispielsweise Protokollierungs-Sidecars) kombinieren.

VNET-Bereitstellung

Azure Container Instances ermöglicht die Bereitstellung von Containerinstanzen in einem virtuellen Azure-Netzwerk. Bei Bereitstellung in einem Subnetz Ihres virtuellen Netzwerks können Containerinstanzen sicher mit anderen Ressourcen im virtuellen Netzwerk kommunizieren. Dies gilt auch für lokale Ressourcen (per VPN-Gateway oder ExpressRoute).

Unterstützung von Verfügbarkeitszonen

Azure Container Instances unterstützt zonale Containergruppenbereitstellungen. Das bedeutet, dass die Instanz an eine bestimmte, selbst ausgewählte Verfügbarkeitszone angeheftet ist. Die Verfügbarkeitszone kann pro Containergruppe angegeben werden.

Verwaltete Identität

Azure Container Instances unterstützt die Verwendung einer verwalteten Identität mit der Containergruppe. Dadurch kann sich die Containergruppe bei jedem Dienst authentifizieren, der die Microsoft Entra-Authentifizierung unterstützt, ohne Anmeldeinformationen im Containercode verwalten zu müssen.

Pullvorgänge für authentifizierte Images der verwalteten Identität

Azure Container Instances kann sich mithilfe einer verwalteten Identität bei einer ACR-Instanz (Azure Container Registry) authentifizieren, sodass Sie das Image pullen können, ohne einen Benutzernamen und ein Kennwort direkt in die Containergruppendefinition aufnehmen zu müssen.

Bereitstellung vertraulicher Container

Mit vertraulichen Containern in ACI können Sie Container in einer vertrauenswürdigen Ausführungsumgebung (Trusted Execution Environment, TEE) ausführen, die hardwarebasierten Schutz für die Vertraulichkeit und Integrität Ihrer Containerworkloads bietet. Vertrauliche Container in ACI können verwendete Daten während der Verarbeitung schützen und Daten verschlüsseln, die im Arbeitsspeicher verarbeitet werden. Vertrauliche Container in ACI werden als SKU unterstützt, die Sie auswählen können, wenn Sie Ihren Workload bereitstellen. Weitere Informationen finden Sie unter Vertrauliche Containergruppen.

Spot-Containerbereitstellung

Mit ACI Spot-Containern können Kunden unterbrechbare, containerisierte Workloads mit ungenutzter Azure-Kapazität zu deutlich reduzierten Preisen (bis zu 70 %) im Vergleich zu ACI Containern mit regulärer Priorität ausführen. ACI-Spotcontainer können vorzeitig ausgelastet werden, wenn Azure auf einen Mangel an überschüssiger Kapazität stößt, und sie eignen sich für Workloads ohne strenge Verfügbarkeitsanforderungen. Die Abrechnung erfolgt pro Sekunde für die Speicher- und Kernnutzung. Um ACI Spot-Container zu verwenden, können Sie Ihre Workload mit einem bestimmten Eigenschaftenflag bereitstellen, das angibt, dass Sie Spot-Containergruppen verwenden möchten, und das rabattierte Preismodell nutzen. Weitere Informationen finden Sie unter Spotcontainergruppen.

NGroups

NGroups bietet erweiterte Funktionen zum Verwalten mehrerer verwandter Containergruppen. NGroups bietet Unterstützung für das Aufrechterhalten einer bestimmten Anzahl von Containergruppen, das Durchführen von parallelen Upgrades, das Bereitstellen über mehrere Verfügbarkeitszonen hinweg, das Verwenden von Lastenausgleichsmodulen für eingehenden Datenverkehr und das Bereitstellen vertraulicher Container. Weitere Informationen finden Sie unter Informationen zu NGroups.

Virtuelle Knoten in Azure Container Instances

Mit virtuellen Knoten in Azure Container Instances können Sie Pods in Ihrem AKS-Cluster (Azure Kubernetes Service) bereitstellen, die als Containergruppen in ACI ausgeführt werden. Auf diese Weise können Sie Ihre Containergruppen mithilfe vertrauter Kubernetes-Konstrukte koordinieren. Da virtuelle Knoten auf der serverlosen Infrastruktur von ACI aufbauen, können Sie Ihre Workload schnell skalieren, ohne warten zu müssen, dass die automatische Skalierung des Kubernetes-Clusters VM-Serverknoten bereitstellt.

Überlegungen

Die über die Befehlszeilenschnittstelle (CLI) übergebenen Anmeldeinformationen des Benutzers werden als Nur-Text im Back-End gespeichert. Das Speichern von Anmeldeinformationen in Nur-Text ist ein Sicherheitsrisiko. Microsoft empfiehlt Kunden, Benutzeranmeldeinformationen in CLI-Umgebungsvariablen (Command Line Interface, Befehlszeilenschnittstelle) zu speichern, um sicherzustellen, dass sie beim Speichern im Back-End verschlüsselt/transformiert werden.

Sollte Ihre Containergruppe nicht mehr funktionieren, empfiehlt es sich, den Container neu zu starten sowie den Anwendungscode und die lokale Netzwerkkonfiguration zu überprüfen, bevor Sie eine Supportanfrage erstellen.

Containerimages dürfen maximal 15 GB groß sein. Größere Images führen unter Umständen zu unerwartetem Verhalten: Wie groß darf mein Containerimage sein?

Einige Windows Server-Basisimages sind nicht mehr mit Azure Container Instances kompatibel:
Welche Windows-Basisbetriebssystem-Images werden unterstützt?

Wenn eine Containergruppe neu gestartet wird, ändert sich möglicherweise ihre IP-Adresse. Wir raten davon ab, eine hartcodierte IP-Adresse in Ihrem Szenario zu verwenden. Wenn Sie eine statische öffentliche IP-Adresse benötigen, verwenden Sie Application Gateway: Verfügbarmachen einer statischen IP-Adresse für eine Containergruppe

Bestimmte Ports sind für Dienstfunktionen reserviert. Diese Ports sollten nicht verwendet werden, da dies zu unerwartetem Verhalten führt: Reserviert der ACI-Dienst Ports für die Dienstfunktionalität?

Sollten Sie Probleme beim Bereitstellen oder Ausführen Ihres Containers haben, überprüfen Sie zunächst den Leitfaden zur Problembehandlung auf allgemeine Fehler und Probleme.

Ihre Containergruppen können aufgrund von Plattformwartungsereignissen neu gestartet werden. Diese Wartungsmaßnahmen werden durchgeführt, um die zugrunde liegende Infrastruktur kontinuierlich zu verbessern: Häufig gestellte Fragen zu Azure Container Instances (Isolierter Neustart ohne explizite Benutzereingabe für Container ausgeführt)

ACI erlaubt keine privilegierten Containervorgänge. Ihr Szenario sollte nicht von der Verwendung des Stammverzeichnisses abhängig sein.

Nächste Schritte

Stellen Sie mit einem einzelnen Befehl einen Container in Azure bereit. Eine entsprechende Anleitung finden Sie in unserem Schnellstarthandbuch: