Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der private Azure-Endpunkt ermöglicht Clients, die sich in Ihrem privaten Netzwerk befinden, über Azure Private Link eine sichere Verbindung mit Ihrer Azure Container Apps-Umgebung herzustellen. Bei einer Private Link-Verbindung wird der Datenverkehr also vom öffentlichen Internet isoliert. Private Endpunkte verwenden eine private IP-Adresse in Ihrem virtuellen Azure-Netzwerkadressraum und werden in der Regel mit einer privaten DNS-Zone konfiguriert.
Private Endpunkte werden sowohl für Verbrauchspläne als auch für dedizierte Pläne in Workload-Profilumgebungen unterstützt.
Anleitungen
- Weitere Informationen zum Konfigurieren privater Endpunkte in Azure Container Apps finden Sie im Tutorial Verwenden eines privaten Endpunkts mit einer Azure Container Apps-Umgebung.
- Konnektivität über eine private Verbindung mit Azure Front Door wird für Azure Container Apps unterstützt. Weitere Informationen finden Sie unter Erstellen einer privaten Verbindung mit Azure Front Door.
Überlegungen
- Um einen privaten Endpunkt zu verwenden, müssen Sie den öffentlichen Netzwerkzugriff deaktivieren. Standardmäßig ist der Zugriff über öffentliche Netzwerke aktiviert, was bedeutet, dass private Endpunkte deaktiviert sind.
- Um einen privaten Endpunkt mit einer benutzerdefinierten Domäne und einer Apex-Domäne als Datensatztyp „Hostname“ zu verwenden, müssen Sie eine private DNS-Zone mit demselben Namen wie Ihr öffentliches DNS konfigurieren. Konfigurieren Sie im Recordset die private IP-Adresse Ihres privaten Endpunkts anstelle der IP-Adresse der Container App-Umgebung. Wenn Sie Ihre benutzerdefinierte Domäne mit CNAME konfigurieren, bleibt das Setup unverändert. Weitere Informationen finden Sie unter Einrichten einer benutzerdefinierten Domäne mit einem vorhandenen Zertifikat.
- Das VNet Ihres privaten Endpunkts kann von dem mit Ihrer Container-App integrierten VNet getrennt werden.
- Sie können einen privaten Endpunkt sowohl zu neuen als auch vorhandenen Workloadprofilumgebungen hinzufügen.
Um eine Verbindung mit Ihren Container-Apps über einen privaten Endpunkt herzustellen, müssen Sie eine private DNS-Zone konfigurieren.
Dienstleistung | Unterressource | Name der privaten DNS-Zone |
---|---|---|
Azure-Container-Apps (Microsoft.App/ManagedEnvironments) | verwaltete Umgebung | privatelink.{regionName}.azurecontainerapps.io |
Sie können auch private Endpunkte mit einer privaten Verbindung mit Azure Front Door anstelle des Anwendungsgateways verwenden.
Domain Name System (DNS)
Das Konfigurieren von DNS im virtuellen Netzwerk Ihrer Azure-Container-Apps-Umgebung ist aus den folgenden Gründen wichtig:
Mit DNS können Ihre Container-Apps Domänennamen in IP-Adressen auflösen. Auf diese Weise können sie Dienste innerhalb und außerhalb des virtuellen Netzwerks ermitteln und mit ihnen kommunizieren. Dazu gehören Dienste wie Azure-Anwendungsgateway, Netzwerksicherheitsgruppen und private Endpunkte.
Benutzerdefinierte DNS-Einstellungen verbessern die Sicherheit, indem Sie die VON Ihren Container-Apps vorgenommenen DNS-Abfragen steuern und überwachen können. Dadurch können potenzielle Sicherheitsbedrohungen identifiziert und abgemildert werden, indem sichergestellt wird, dass Ihre Container-Apps nur mit vertrauenswürdigen Domänen kommunizieren.
Benutzerdefinierter DNS
Wenn Ihr VNet anstelle des von Azure bereitgestellten DNS-Standardservers einen benutzerdefinierten DNS-Server verwendet, konfigurieren Sie Ihren DNS-Server so, dass nicht aufgelöste DNS-Abfragen an 168.63.129.16
weitergeleitet werden. Rekursive Resolver von Azure verwenden diese IP-Adresse, um Anforderungen aufzulösen. Wenn Sie Ihre Netzwerksicherheitsgruppe (Network Security Group, NSG) oder Firewall konfigurieren, blockieren Sie die 168.63.129.16
Adresse nicht, andernfalls funktioniert Ihre Container-Apps-Umgebung nicht ordnungsgemäß.
VNet-Umfangseingang
Wenn Sie vorhaben, "VNet-scope ingress" in einer internen Umgebung zu verwenden, konfigurieren Sie Ihre Domänen in einer der folgenden Weisen:
Nicht benutzerdefinierte Domänen: Wenn Sie nicht planen, eine benutzerdefinierte Domäne zu verwenden, erstellen Sie eine private DNS-Zone, die die Standarddomäne der Container Apps-Umgebung in die statische IP-Adresse der Container Apps-Umgebung auflöst. Sie können das private Azure-DNS oder Ihren eigenen DNS-Server verwenden. Wenn Sie privates Azure-DNS verwenden, erstellen Sie eine private DNS-Zone, die als die Standarddomäne der Container Apps-Umgebung (
<UNIQUE_IDENTIFIER>.<REGION_NAME>.azurecontainerapps.io
) mit einemA
-Eintrag bezeichnet wird. DerA
-Eintrag enthält den Namen*<DNS Suffix>
und die statische IP-Adresse der Container Apps-Umgebung. Weitere Informationen finden Sie unter Erstellen und Konfigurieren einer Azure Private DNS-Zone.Benutzerdefinierte Domänen: Wenn Sie benutzerdefinierte Domänen verwenden und eine externe Container Apps-Umgebung verwenden möchten, verwenden Sie eine öffentlich auflösbare Domäne, um der Container-App eine benutzerdefinierte Domäne und ein Zertifikat hinzuzufügen. Wenn Sie eine interne Container-Apps-Umgebung verwenden, gibt es keine Überprüfung für die DNS-Bindung, da der Cluster nur innerhalb des virtuellen Netzwerks verfügbar ist. Erstellen Sie außerdem eine private DNS-Zone, die die apex-Domäne in die statische IP-Adresse der Container Apps-Umgebung auflöst. Sie können das private Azure-DNS oder Ihren eigenen DNS-Server verwenden. Wenn Sie privates Azure-DNS verwenden, erstellen Sie eine private DNS-Zone mit demselben Namen wie die apex-Domäne und einen
A
-Eintrag, der auf die statische IP-Adresse der Container Apps-Umgebung verweist.
Die statische IP-Adresse der Container Apps-Umgebung erhalten Sie im Azure-Portal im benutzerdefinierten DNS-Suffix der Container-App-Seite oder mit dem Azure CLI-Befehl az containerapp env list
.