共用方式為


什麼是 Azure 容器執行個體?

容器即將成為封裝、部署及管理雲端應用程式的慣用方法。 Azure 容器執行個體 提供在 Azure 中執行 Linux 或 Windows 容器的最快速且最簡單的方式,而不需要管理任何虛擬機,也不需要採用更高階的服務。

ACI 支援 一般機密Spot 容器。 ACI 可以透過 NGroups 作為單一實例或多重實例,或者您可以透過 ACI 上的虛擬節點在 Azure Kubernetes Service (AKS) 叢集中部署 Pod 來取得協調流程功能。 為了加快啟動時間,ACI 支援 待命集區

快速啟動時間

容器提供比虛擬機器 (VM) 更多的啟動優點。 Azure 容器執行個體可於幾秒鐘內在 Azure 中啟動容器,而不需要佈建和管理 VM。

從 Docker Hub、私人 Azure 容器登錄或其他雲端式 Docker 登錄引進 Linux 或 Windows 容器映像。 請瀏覽常見問題以了解 ACI 支援哪些登錄。 Azure 容器執行個體會快取數個常見的基本 OS 映像,協助加速部署您的自訂應用程式映像。

為了加快啟動時間,ACI 支援 待命集區

容器存取

Azure 容器執行個體可讓您利用 IP 位址和完整網域名稱 (FQDN),直接向網際網路公開您的容器群組。 當您建立容器執行個體時,您可以指定自訂的 DNS 名稱標籤,讓系統可以在 customlabel.azureregion.azurecontainer.io 找到您的應用程式。

Azure 容器執行個體也支援在執行中的容器中執行命令,方法是提供互動式殼層來協助進行應用程式開發和疑難排解。 存取會透過 HTTPS 進行,並使用 TLS 來保護用戶端連線。

重要

Azure 容器執行個體 需要伺服器和應用程式的所有安全連線才能使用 TLS 1.2。 TLS 1.0 和 1.1 的支援已淘汰。

符合規範的部署

Hypervisor 層級安全性

從歷史上看,容器提供了應用程式相依性隔離和資源治理,但對於敵意的多租用戶使用來說其強化程度不足。 Azure Container Instances 保證會將您的應用程式隔離在容器中,就像在 VM 中一樣。

客戶資料

Azure 容器執行個體服務不會儲存客戶資料。 不過,此服務會儲存建立資源所用的 Azure 訂用帳戶識別碼。 您必須儲存訂用帳戶識別碼,以確保容器群組會如預期般繼續執行。

自訂大小

容器通常已最適合只執行單一應用程式,但這些應用程式的確切需求可能明顯不同。 Azure Container Instances 允許使用明確的 CPU 核心和記憶體規格,以提供最佳的使用率。 您可以根據所需的部分支付費用並以秒計費,以便根據實際需求來微調您的支出。

對於計算密集型作業 (例如機器學習),Azure Container Instances 可排程 Linux 容器以使用 NVIDIA Tesla GPU 資源 (預覽)。

永續性儲存體

為了擷取和保存 Azure Container Instances 的狀態,我們支援直接裝載 Azure 檔案儲存體共用 (由 Azure 儲存體提供支援)。

Linux 和 Windows 容器

Azure Container Instances 可讓您使用相同的 API 來排程 Windows 和 Linux 容器。 您可以在建立容器群組時指定作業系統類型喜好設定。

某些功能目前僅限於 Linux 容器:

進行 Windows 容器部署時,請使用以常用的 Windows 基礎映像為基礎的映像。

在單一容器群組中執行多個容器

Azure 容器執行個體 支援在共用相同容器主機、局域網路、記憶體和生命週期的單一容器群組內排程多個容器。 這可讓您將主要應用程式容器與其他支援的角色容器 (例如記錄 Sidecars) 結合。

虛擬網路部署

Azure 容器執行個體可將容器執行個體部署至 Azure 虛擬網路。 藉由部署至您虛擬網路內的子網路,容器執行個體可以安全地與虛擬網路中的其他資源通訊,包括內部部署的資源 (透過 VPN 閘道ExpressRoute)。

可用性區域支援

Azure 容器執行個體支援區域性容器群組部署,這表示執行個體會釘選到特定的自我選取可用性區域。 每個容器群組都可以指定可用性區域。

受控識別

Azure 容器執行個體 支援搭配容器群組使用受控識別,這可讓您的容器群組向任何支援 Microsoft Entra 驗證的服務進行驗證,而不需要在容器程式代碼中管理認證。

受控識別已驗證映像提取

Azure 容器執行個體 可以使用受控識別向 Azure Container Registry (ACR) 實例進行驗證,讓您不需要直接在容器群組定義中包含使用者名稱和密碼,即可提取映像。

機密容器部署

ACI 上的機密容器可讓您在信任的執行環境 (TEE) 中執行容器,信任的執行環境會為容器工作負載提供硬體型機密性和完整性保護。 ACI 上的機密容器可以保護使用中的資料,並加密記憶體中正在處理的資料。 支援將 ACI 上的機密容器作為 SKU,您可以在部署工作負載時加以選取。 如需詳細資訊,請參閱機密容器群組

現成容器部署

與一般優先級 ACI 容器相比,ACI Spot 容器可讓客戶以高達 70% 的折扣價格在未使用的 Azure 容量上執行可中斷的容器化工作負載。 當 Azure 遇到剩餘容量不足時,可能會先佔 ACI 現成容器,而且 ACI 現成容器很適合沒有嚴格可用性需求的工作負載。 將根據每秒記憶體和核心使用量向客戶收費。 若要運用 ACI 現成容器,您可以使用特定的屬性旗標部署工作負載,該旗標會指出您想要使用現成容器群組,並運用折扣價格模式。 如需詳細資訊,請參閱 Spot容器群組

NGroups

NGroups 提供管理多個相關容器群組的進階功能。 NGroups 支援維護指定數目的容器群組、執行滾動升級、跨多個可用性區域部署、使用負載平衡器進行輸入,以及部署機密容器。 如需詳細資訊,請參閱 關於 NGroups

Azure 容器執行個體 上的虛擬節點

Azure 容器執行個體 上的虛擬節點可讓您在 ACI 中以容器群組身分執行的 Azure Kubernetes Service (AKS) 叢集中部署 Pod。 這可讓您使用熟悉的 Kubernetes 建構來協調容器群組。 由於虛擬節點是由 ACI 的無伺服器基礎結構所支援,因此您可以快速相應增加工作負載,而不需要等候 Kubernetes 叢集自動調整程式部署 VM 計算節點。

考量

透過命令行介面 (CLI) 傳遞的使用者認證會儲存為後端的純文字。 以純文本儲存認證是安全性風險;Microsoft 建議客戶將使用者認證儲存在 CLI 環境變數中,以確保這些認證儲存在後端時會經過加密/轉換。

如果容器群組停止運作,建議您先嘗試重新啟動容器、檢查應用程式程式碼或本地網路設定,再開立支援要求

容器映像不能大於 15 GB,任何超過此大小的映像都可能會導致非預期的行為:我的容器映像可以有多大?

某些 Windows Server 基礎映像不再與 Azure 容器執行個體相容:
支援的 Windows 基本 OS 映像有哪些?

如果容器群組重新啟動,容器群組的 IP 可能會變更。 建議您不要在情節中使用硬式編碼 IP 位址。 如果您需要靜態公用 IP 位址,請使用應用程式閘道:容器群組的靜態 IP 位址 - Azure 容器執行個體 | Microsoft Learn

存在保留給服務功能的連接埠。 建議您不要使用這些連接埠,因為使用它們會導致意外行為:ACI 服務是否為服務功能保留連接埠?

如果您在部署或執行容器時遇到問題,請先確認疑難排解指南中的常見錯誤和問題

容器群組可能會因為平台維護事件而重新啟動。 這些維護事件是為了確保基礎結構的持續改善:容器已進行隔離式重新啟動,而不需要明確的使用者輸入

ACI 不允許具有權限的容器作業。 建議您不要依賴針對您的案例使用根目錄。

下一步

使用我們的快速入門指南,嘗試使用單一命令將容器部署至 Azure。