Condividi tramite


Scenari e risorse di reti virtuali

In Rete virtuale di Azure sono disponibili funzionalità per implementare una rete sicura e privata per le risorse locali e di Azure. Grazie alla distribuzione di gruppi di contenitori in una rete virtuale di Azure, i contenitori possono comunicare in modo sicuro con altre risorse nella rete virtuale.

Questo articolo fornisce informazioni generali su scenari di rete virtuale, limitazioni e risorse. Per esempi di distribuzione che usano l'interfaccia della riga di comando di Azure, vedere Distribuire istanze di contenitore in una rete virtuale di Azure.

Importante

La distribuzione di gruppi di contenitori in una rete virtuale è disponibile a livello generale per i contenitori Linux e Windows, nella maggior parte delle aree in cui è disponibile Istanze di Azure Container. Per informazioni dettagliate, vedere Limiti di disponibilità e quota delle risorse.

Scenari

Gruppi di contenitori distribuiti in una rete virtuale di Azure abilitano scenari analoghi ai seguenti:

  • Comunicazione diretta tra i gruppi di contenitori nella stessa subnet
  • Invio dell'output di carichi di lavoro basati su attività dalle istanze di contenitore a un database nella rete virtuale
  • Recuperare contenuto per le istanze di contenitore da un endpoint di servizio nella rete virtuale
  • Abilitare la comunicazione dei contenitori con le risorse locali tramite un gateway VPN o ExpressRoute
  • Eseguire l'integrazione con Firewall di Azure per identificare il traffico in uscita proveniente dal contenitore
  • Risolvere i nomi tramite IL DNS di Azure interno per la comunicazione con le risorse di Azure nella rete virtuale, ad esempio le macchine virtuali
  • Usare le regole del gruppo di sicurezza di rete per controllare l'accesso al contenitore alle subnet o ad altre risorse di rete

Scenari di rete non supportati

  • Azure Load Balancer : l'inserimento di un servizio di bilanciamento del carico di Azure davanti alle istanze di contenitore in un gruppo di contenitori in rete non è supportato
  • Peering di rete virtuale globale: il peering globale (connessione di reti virtuali tra aree di Azure) non è supportato
  • Indirizzo IP pubblico o etichetta DNS: i gruppi di contenitori distribuiti in una rete virtuale non supportano attualmente l'esposizione di contenitori direttamente a Internet con un indirizzo IP pubblico o un nome di dominio completo
  • Identità gestita con Rete virtuale in aree di Azure per enti pubblici : l'identità gestita con funzionalità di rete virtuale non è supportata nelle aree Azure per enti pubblici

Altre limitazioni

  • Per distribuire gruppi di contenitori in una subnet, la subnet non può contenere altri tipi di risorse. Rimuovere tutte le risorse esistenti da una subnet esistente prima di distribuirvi gruppi di contenitori o creare una nuova subnet.
  • Per distribuire gruppi di contenitori in una subnet, la subnet e il gruppo di contenitori devono trovarsi nella stessa sottoscrizione di Azure.
  • A causa delle risorse di rete aggiuntive coinvolte, le distribuzioni in una rete virtuale sono in genere più lente rispetto alla distribuzione di un'istanza di contenitore standard.
  • Le connessioni in uscita alla porta 25 e 19390 non sono attualmente supportate. La porta 19390 deve essere aperta nel firewall per la connessione ad ACI da portale di Azure quando i gruppi di contenitori vengono distribuiti nelle reti virtuali.
  • Per le connessioni in ingresso, il firewall deve anche consentire tutti gli indirizzi IP all'interno della rete virtuale.
  • Se si connette il gruppo di contenitori a un account Archiviazione di Azure, è necessario aggiungere un endpoint di servizio a tale risorsa.
  • Gli indirizzi IPv6 non sono attualmente supportati.
  • A seconda del tipo di sottoscrizione, alcune porte potrebbero essere bloccate.
  • Le istanze del contenitore non leggono o ereditano le impostazioni DNS da una rete virtuale associata. Le impostazioni DNS devono essere impostate in modo esplicito per le istanze del contenitore.

Risorse di rete necessarie

Per distribuire gruppi di contenitori in una rete virtuale, sono necessarie tre risorse di Rete virtuale di Azure, ovvero la rete virtuale stessa, una subnet delegata nella rete virtuale e un profilo di rete.

Rete virtuale

Una rete virtuale definisce lo spazio degli indirizzi in cui si creano una o più subnet. A questo punto è possibile distribuire le risorse di Azure (ad esempio i gruppi di contenitori) nelle subnet nella rete virtuale.

Subnet (delegata)

Le subnet segmentano la rete virtuale in spazi di indirizzi separati usabili dalle risorse di Azure contenute. In una rete virtuale possono essere create una o più subnet.

La subnet usata per i gruppi di contenitori può includere solo gruppi di contenitori. Prima di distribuire un gruppo di contenitori in una subnet, è necessario delegare in modo esplicito la subnet prima di effettuare il provisioning. Dopo che è stata delegata, la subnet può essere usata solo per i gruppi di contenitori. Se si prova a distribuire risorse diverse da gruppi di contenitori in una subnet delegata, l'operazione ha esito negativo.

Profilo di rete

Importante

I profili di rete sono stati ritirati a partire dalla versione dell'API 2021-07-01. Se si usa questa o una versione più recente, ignorare i passaggi e le azioni correlati ai profili di rete.

Un profilo di rete è un modello di configurazione di rete per le risorse di Azure. Il profilo specifica determinate proprietà di rete per la risorsa, ad esempio la subnet in cui deve essere distribuito. Quando si usa per la prima volta il comando az container create per distribuire un gruppo di contenitori in una subnet (e quindi una rete virtuale), Azure crea automaticamente un profilo di rete. È quindi possibile usare tale profilo di rete per le distribuzioni future nella subnet.

Per usare un modello di Resource Manager, il file YAML o un metodo a livello di codice per distribuire un gruppo di contenitori in una subnet, è necessario specificare l'ID risorsa di Resource Manager completo di un profilo di rete. È possibile usare un profilo creato in precedenza usando az container create oppure creare un profilo usando un modello di Resource Manager (vedere l'esempio di modello e le informazioni di riferimento). Per ottenere l'ID di un profilo creato in precedenza, usare il comando az network profile list.

Il diagramma seguente illustra diversi gruppi di contenitori distribuiti in una subnet delegata a Istanze di Azure Container. Dopo aver distribuito un gruppo di contenitori in una subnet, è possibile distribuire più gruppi di contenitori specificando lo stesso profilo di rete.

Gruppi di contenitori in una rete virtuale

Passaggi successivi