Ressources et scénarios relatifs aux réseaux virtuels
Un réseau virtuel Azure fournit un accès réseau privé et sécurisé à vos ressources Azure et locales. En déployant des groupes de conteneurs dans un réseau virtuel Azure, vos conteneurs peuvent communiquer en toute sécurité avec d’autres ressources dans le réseau virtuel.
Cet article fournit des informations générales sur les scénarios, limitations et ressources relatifs aux réseaux virtuels. Pour obtenir des exemples de déploiement à l’aide d’Azure CLI, consultez Déployer des instance de conteneur dans un réseau virtuel Azure.
Important
Le déploiement d’un groupe de conteneurs sur un réseau virtuel est généralement disponible pour les conteneurs Linux et Windows, dans la plupart des régions où Azure Container Instances est disponible. Pour plus de détails, consultez Disponibilité des ressources et limites de quotas.
Scénarios
Les groupes de conteneurs déployés dans un réseau virtuel Azure autorisent les scénarios suivants :
- Communication directe entre les groupes de conteneurs dans le même sous-réseau
- Envoyer la sortie d’une charge de travail basée sur des tâches à partir d’instances de conteneur à une base de données dans le réseau virtuel
- Récupérer le contenu des instances de conteneur à partir d’un point de terminaison de service dans le réseau virtuel
- Activer la communication de conteneurs avec les ressources locales par le biais d’une passerelle VPN ou ExpressRoute
- Intégrer avec Pare-feu Azure pour identifier le trafic sortant en provenance du conteneur
- Résoudre les noms par le biais du système Azure DNS interne pour la communication avec les ressources Azure sur le réseau virtuel, telles que les machines virtuelles
- Utiliser des règles de groupe de sécurité réseau pour contrôler l’accès du conteneur aux sous-réseaux ou autres ressources réseau
Scénarios de mise en réseau non pris en charge
- Azure Load Balancer – Le placement d’un équilibreur de charge Azure devant des instances de conteneurs dans un groupe de conteneurs en réseau n’est pas pris en charge
- Peering mondial de réseaux virtuels – Le peering mondial (connexion de réseaux virtuels entre des régions Azure) n’est pas pris en charge
- Étiquette DNS ou adresse IP publique - Les groupes de conteneurs déployés sur un réseau virtuel ne prennent actuellement pas en charge l’exposition de conteneurs directement sur Internet avec une adresse IP publique ou un nom de domaine complet.
- Identité managée avec Réseau virtuel dans les régions Azure Government – L’identité managée avec des fonctionnalités de réseau virtuel n’est pas prise en charge dans les régions Azure Government
Autres limitations
- Pour que vous puissiez déployer des groupes de conteneurs sur un sous-réseau, celui-ci ne doit pas contenir d’autres types de ressources. Supprimez toutes les ressources d’un sous-réseau avant de déployer des groupes de conteneurs dans celui-ci, ou créez un sous-réseau.
- Pour déployer des groupes de conteneurs sur un sous-réseau, le sous-réseau et le groupe de conteneurs doivent se trouver sur le même abonnement Azure.
- En raison des ressources réseau supplémentaires impliquées, les déploiements sur un réseau virtuel sont généralement plus lents que les déploiements d’une instance de conteneur standard.
- Les connexions sortantes aux ports 25 et 19390 ne sont pas prises en charge pour l’instant. Le port 19390 doit être ouvert dans votre pare-feu pour la connexion à ACI depuis le Portail Azure lorsque des groupes de conteneurs sont déployés dans des réseaux virtuels.
- Pour les connexions entrantes, le pare-feu doit également autoriser toutes les adresses IP au sein du réseau virtuel.
- Si vous connectez votre groupe de conteneurs à un compte Stockage Azure, vous devez ajouter un point de terminaison de service à cette ressource.
- Les adresses IPv6 ne sont pas prises en charge pour l’instant.
- Selon le type de votre abonnement, certains ports pourraient être bloqués.
- Les instances de conteneur ne lisent pas les paramètres DNS d’un réseau virtuel associé, ni n’en héritent. Les paramètres DNS doivent être définis explicitement pour les instances de conteneur.
Ressources réseau requises
Trois ressources de réseau virtuel Azure sont requises pour déployer des groupes de conteneurs dans un réseau virtuel : le réseau virtuel lui-même, un sous-réseau délégué dans le réseau virtuel et un profil réseau.
Réseau virtuel
Un réseau virtuel définit l’espace d’adressage dans lequel vous créez un ou plusieurs sous-réseaux. Ensuite, vous déployez des ressources Azure (par exemple, des groupes de conteneurs) dans les sous-réseaux de votre réseau virtuel.
Sous-réseau (délégué)
Les sous-réseaux segmentent le réseau virtuel en espaces d’adressage distincts utilisables par les ressources Azure que vous placez dedans. Vous créez un ou plusieurs sous-réseaux dans un réseau virtuel.
Le sous-réseau que vous utilisez pour les groupes de conteneurs peut contenir des groupes de conteneurs uniquement. Avant de déployer un groupe de conteneurs sur un sous-réseau, vous devez déléguer explicitement le sous-réseau avant l’approvisionnement. Une fois délégué, le sous-réseau ne peut être utilisé que pour les groupes de conteneur. Si vous tentez de déployer des ressources autres que des groupes de conteneurs dans un sous-réseau délégué, l’opération échoue.
Profil réseau
Important
Les profils réseau ont été retirés depuis la version 2021-07-01
de l’API. Si vous utilisez cette version ou une version plus récente, ignorez les étapes et actions relatives aux profils réseau.
Un profil réseau est un modèle de configuration de réseau pour les ressources Azure. Il spécifie certaines propriétés réseau de la ressource, par exemple le sous-réseau dans lequel il doit être déployé. Lorsque vous utilisez pour la première fois la commande az container create pour déployer un groupe de conteneurs sur un sous-réseau (et donc un réseau virtuel), Azure crée un profil réseau pour vous. Vous pouvez ensuite utiliser ce profil réseau pour les déploiements futurs dans le sous-réseau.
Pour utiliser un modèle Resource Manager, un fichier YAML ou une méthode de programmation pour déployer un groupe de conteneurs dans un sous-réseau, vous devez fournir l’ID de ressource Resource Manager complet d’un profil réseau. Vous pouvez utiliser un profil précédemment créé à l’aide de az container create ou créer un profil à l’aide d’un modèle Resource Manager (voir l’exemple de modèle et la référence). Pour obtenir l’ID d’un profil précédemment créé, utilisez la commande az network profile list.
Le diagramme suivant illustre plusieurs groupes de conteneurs déployés sur un sous-réseau délégué à Azure Container Instances. Une fois que vous déployez un groupe de conteneurs sur un sous-réseau, vous pouvez y déployer d’autres groupes de conteneurs en spécifiant le même profil réseau.
Étapes suivantes
- Pour obtenir des exemples de déploiement avec Azure CLI, consultez Déployer des instance de conteneur dans un réseau virtuel Azure.
- Pour déployer un nouveau réseau virtuel, sous-réseau, profil réseau et groupe de conteneurs à l’aide d’un modèle Resource Manager, consultez Créer un groupe de conteneurs Azure avec un réseau virtuel.
- Lorsque vous utilisez le portail Azure pour créer une instance de conteneur, vous pouvez également fournir les paramètres d’un réseau virtuel nouveau ou existant sous l’onglet Mise en réseau.