Co to jest usługa Azure Container Instances?
Kontenery stają się preferowanym sposobem tworzenia pakietów aplikacji w chmurze, ich wdrażania oraz zarządzania nimi. Usługa Azure Container Instances oferuje najszybszy i najprostszy sposób uruchamiania kontenerów systemu Linux lub Windows na platformie Azure bez konieczności zarządzania maszynami wirtualnymi i bez konieczności wdrażania usługi wyższego poziomu.
Usługa ACI obsługuje zwykłe, poufne i spot kontenery. Interfejs ACI może służyć jako pojedyncze wystąpienie lub wiele wystąpień za pośrednictwem grup NGroup lub można uzyskać możliwości orkiestracji, wdrażając zasobniki w klastrze usługi Azure Kubernetes Service (AKS) za pośrednictwem węzłów wirtualnych w usłudze ACI. W przypadku jeszcze szybszych czasów uruchamiania usługa ACI obsługuje pule rezerwowe.
Krótki czas uruchamiania
Kontenery oferują znaczące korzyści związane z uruchamianiem w porównaniu do maszyn wirtualnych. Usługa Azure Container Instances umożliwia uruchamianie kontenera na platformie Azure w ciągu kilku sekund bez konieczności aprowizowania maszyn wirtualnych i zarządzania nimi.
Przenoszenie obrazów kontenerów systemu Linux lub Windows z usługi Docker Hub, prywatnego rejestru kontenerów platformy Azure lub innego rejestru platformy Docker opartego na chmurze. Odwiedź często zadawane pytania, aby dowiedzieć się, które rejestry obsługuje usługa ACI. Usługa Azure Container Instances buforuje kilka typowych podstawowych obrazów systemu operacyjnego, co ułatwia szybkie wdrażanie niestandardowych obrazów aplikacji.
W przypadku jeszcze szybszych czasów uruchamiania usługa ACI obsługuje pule rezerwowe.
Dostęp do kontenera
Usługa Azure Container Instances umożliwia uwidacznianie grup kontenerów bezpośrednio w Internecie przy użyciu adresu IP i w pełni kwalifikowanej nazwy domeny (FQDN). Podczas tworzenia wystąpienia kontenera możesz określić niestandardową etykietę nazwy DNS, dzięki czemu aplikacja będzie dostępna pod adresem etykieta_niestandardowa.region_świadczenia_usługi_Azure.azurecontainer.io.
Usługa Azure Container Instances obsługuje również wykonywanie polecenia w uruchomionym kontenerze przez udostępnienie interaktywnej powłoki ułatwiającej tworzenie aplikacji i rozwiązywanie problemów. Dostęp przejmuje dostęp za pośrednictwem protokołu HTTPS, używając protokołu TLS do zabezpieczania połączeń klienckich.
Ważne
Usługa Azure Container Instances wymaga wszystkich bezpiecznych połączeń z serwerów i aplikacji do korzystania z protokołu TLS 1.2. Obsługa protokołów TLS 1.0 i 1.1 została wycofana.
Zgodne wdrożenia
Zabezpieczenia na poziomie funkcji hypervisor
W przeszłości kontenery oferowały izolację zależności aplikacji i nadzór nad zasobami, ale były niewystarczająco wzmocnione w przypadku wrogiego użycia wielodostępnego. Usługa Azure Container Instances gwarantuje, że aplikacja jest izolowana w kontenerze w takim samym stopniu, w jakim byłaby na maszynie wirtualnej.
Dane klienta
Usługa Azure Container Instances nie przechowuje danych klientów. Przechowuje jednak identyfikatory subskrypcji subskrypcji platformy Azure używane do tworzenia zasobów. Przechowywanie identyfikatorów subskrypcji jest wymagane, aby upewnić się, że grupy kontenerów będą nadal działać zgodnie z oczekiwaniami.
Rozmiary niestandardowe
Kontenery są przeważnie optymalizowane do uruchamiania tylko jednej aplikacji, ale szczegółowe potrzeby poszczególnych aplikacji mogą się bardzo różnić. Usługa Azure Container Instances zapewnia optymalne wykorzystanie, zezwalając na korzystanie z dokładnych specyfikacji rdzeni procesora i pamięci. Opłaty są naliczane zgodnie z zapotrzebowaniem i za sekundę, dlatego można skutecznie dostosować wydatki w oparciu o potrzeby.
W przypadku zadań wykorzystujących znaczną moc obliczeniową, takich jak uczenie maszynowe, usługa Azure Container Instances może zaplanować używanie zasobów procesorów GPU NVIDIA Tesla (wersja zapoznawcza) przez kontenery systemu Linux.
Magazyn trwały
Aby pobierać i utrwalać stan za pomocą usługi Azure Container Instances, oferujemy bezpośrednie instalowanie udziałów usługi Azure Files wspieranych przez usługę Azure Storage.
Kontenery systemów Linux i Windows
Usługa Azure Container Instances umożliwia planowanie kontenerów systemów Windows i Linux przy użyciu tego samego interfejsu API. Podczas tworzenia grup kontenerów można określić preferencję typu systemu operacyjnego.
Niektóre funkcje są obecnie ograniczone do kontenerów systemu Linux:
- Wiele kontenerów na grupę kontenerów
- Instalowanie woluminów (Azure Files, emptyDir, GitRepo, secret)
- Metryki użycia zasobów w usłudze Azure Monitor
- Zasoby procesora GPU (wersja zapoznawcza)
W przypadku wdrożeń kontenerów systemu Windows użyj obrazów opartych na typowych obrazach podstawowych systemu Windows.
Uruchamianie wielu kontenerów w jednej grupie kontenerów
Usługa Azure Container Instances obsługuje planowanie wielu kontenerów w ramach jednej grupy kontenerów, która współużytkuje ten sam host kontenera, sieć lokalną, magazyn i cykl życia. Dzięki temu można łączyć główny kontener aplikacji z innymi kontenerami pełniącymi rolę pomocniczą, np. przyczepkami rejestrowania.
Wdrażanie sieci wirtualnej
Usługa Azure Container Instances umożliwia wdrażanie wystąpień kontenerów w sieci wirtualnej platformy Azure. Po wdrożeniu w podsieci w sieci wirtualnej wystąpienia kontenerów mogą bezpiecznie komunikować się z innymi zasobami w sieci wirtualnej, w tym z lokalnymi (za pośrednictwem bramy sieci VPN lub usługi ExpressRoute).
Obsługa stref dostępności
Usługa Azure Container Instances obsługuje wdrożenia grup kontenerów strefowych, co oznacza, że wystąpienie jest przypięte do określonej, wybranej samodzielnie strefy dostępności. Strefę dostępności można określić dla grupy kontenerów.
Tożsamość zarządzana
Usługa Azure Container Instances obsługuje używanie tożsamości zarządzanej z grupą kontenerów, co umożliwia grupie kontenerów uwierzytelnianie w dowolnej usłudze obsługującej uwierzytelnianie firmy Microsoft Entra bez zarządzania poświadczeniami w kodzie kontenera.
Ściąganie uwierzytelnionych obrazów tożsamości zarządzanej
Usługa Azure Container Instances może uwierzytelniać się za pomocą wystąpienia usługi Azure Container Registry (ACR) przy użyciu tożsamości zarządzanej, umożliwiając ściąganie obrazu bez konieczności dołączania nazwy użytkownika i hasła bezpośrednio do definicji grupy kontenerów.
Wdrożenie kontenera poufnego
Kontenery poufne w usłudze ACI umożliwiają uruchamianie kontenerów w zaufanym środowisku wykonywania (TEE), które zapewnia ochronę poufności i integralności na podstawie sprzętu dla obciążeń kontenerów. Poufne kontenery w usłudze ACI mogą chronić dane w użyciu i szyfrować dane przetwarzane w pamięci. Poufne kontenery w usłudze ACI są obsługiwane jako jednostka SKU, którą można wybrać podczas wdrażania obciążenia. Aby uzyskać więcej informacji, zobacz poufne grupy kontenerów.
Wdrażanie kontenera typu spot
Kontenery usługi ACI Spot umożliwiają klientom uruchamianie przerywanych, konteneryzowanych obciążeń na nieużywanej pojemności platformy Azure przy obniżonych cenach do 70% w porównaniu z kontenerami ACI o stałym priorytecie. Kontenery typu spot usługi ACI mogą zostać wywłaszczone, gdy platforma Azure napotka niedobór nadmiarowej pojemności i jest odpowiednia dla obciążeń bez rygorystycznych wymagań dotyczących dostępności. Klienci są rozliczani za użycie pamięci i rdzeni na sekundę. Aby korzystać z kontenerów usługi ACI Spot, możesz wdrożyć obciążenie z określoną flagą właściwości wskazującą, że chcesz używać grup kontenerów typu Spot i korzystać z modelu cen z rabatem. Aby uzyskać więcej informacji, zobacz Spot container groups (Grupy kontenerów typu spot).
NGrupy
Grupy NGroups zapewniają zaawansowane możliwości zarządzania wieloma powiązanymi grupami kontenerów. Grupy NGroup zapewniają obsługę obsługi określonej liczby grup kontenerów, przeprowadzania uaktualnień stopniowego, wdrażania w wielu strefach dostępności, używania modułów równoważenia obciążenia dla ruchu przychodzącego i wdrażania poufnych kontenerów. Aby uzyskać więcej informacji, zobacz About NGroups (Informacje o grupach NGroups).
Węzły wirtualne w usłudze Azure Container Instances
Węzły wirtualne w usłudze Azure Container Instances umożliwiają wdrażanie zasobników w klastrze usługi Azure Kubernetes Service (AKS), które działają jako grupy kontenerów w usłudze ACI. Dzięki temu można organizować grupy kontenerów przy użyciu znanych konstrukcji platformy Kubernetes. Ponieważ węzły wirtualne są wspierane przez infrastrukturę bezserwerową usługi ACI, można szybko skalować obciążenie w górę bez konieczności oczekiwania na automatyczne skalowanie klastra Kubernetes w celu wdrożenia węzłów obliczeniowych maszyny wirtualnej.
Kwestie wymagające rozważenia
Poświadczenia użytkownika przekazywane za pośrednictwem interfejsu wiersza polecenia (CLI) są przechowywane jako zwykły tekst w zapleczu. Przechowywanie poświadczeń w postaci zwykłego tekstu jest zagrożeniem bezpieczeństwa; Firma Microsoft zaleca klientom przechowywanie poświadczeń użytkownika w zmiennych środowiskowych interfejsu wiersza polecenia, aby upewnić się, że są szyfrowane/przekształcane podczas przechowywania w zapleczu.
Jeśli grupa kontenerów przestanie działać, zalecamy ponowne uruchomienie kontenera, sprawdzenie kodu aplikacji lub konfigurację sieci lokalnej przed otwarciem wniosku o pomoc techniczną.
Obrazy kontenerów nie mogą być większe niż 15 GB. Obrazy powyżej tego rozmiaru mogą powodować nieoczekiwane zachowanie: Jak duży może być mój obraz kontenera?
Niektóre podstawowe obrazy systemu Windows Server nie są już zgodne z usługą Azure Container Instances:
Jakie podstawowe obrazy systemu operacyjnego Windows są obsługiwane?
Jeśli grupa kontenerów zostanie ponownie uruchomiona, adres IP grupy kontenerów może ulec zmianie. W twoim scenariuszu zalecamy użycie zakodowanego na podstawie kodu adresu IP. Jeśli potrzebujesz statycznego publicznego adresu IP, użyj usługi Application Gateway: statyczny adres IP dla grupy kontenerów — Azure Container Instances | Microsoft Learn
Istnieją porty zarezerwowane dla funkcji usługi. Zalecamy, aby nie używać tych portów, ponieważ korzystanie z nich prowadzi do nieoczekiwanego zachowania: Czy porty rezerwowania usługi ACI dla funkcji usługi?
Jeśli masz problemy z wdrażaniem lub uruchamianiem kontenera, najpierw zapoznaj się z przewodnikiem rozwiązywania problemów, aby zapoznać się z typowymi błędami i problemami
Grupy kontenerów mogą zostać uruchomione ponownie z powodu zdarzeń konserwacji platformy. Te zdarzenia konserwacji są wykonywane w celu zapewnienia ciągłego ulepszania podstawowej infrastruktury: kontener miał izolowane ponowne uruchomienie bez jawnych danych wejściowych użytkownika
Usługa ACI nie zezwala na uprzywilejowane operacje kontenerów. Zalecamy, aby nie zależeć od używania katalogu głównego w twoim scenariuszu.
Następne kroki
Spróbuj wdrożyć kontener na platformie Azure za pomocą jednego polecenia, korzystając z naszego przewodnika Szybki start: