가상 네트워크는 Azure Container Apps 환경 주위에 보안 경계를 만듭니다. 기본적으로 환경은 자동으로 생성되는 VNet을 사용하여 만들어집니다. 그러나 기존 VNet을 사용하면 Application Gateway와의 통합, 네트워크 보안 그룹 및 프라이빗 엔드포인트 뒤에 있는 리소스와의 통신과 같은 더 많은 Azure 네트워킹 기능을 제공합니다. 이 구성은 공용 인터넷에서 중요 업무용 내부 애플리케이션을 격리해야 하는 엔터프라이즈 고객에게 중요합니다.
가상 네트워크를 만들 때는 다음과 같은 상황에 유의하세요.
컨테이너 앱이 모든 외부 액세스를 제한하도록 하려면 내부 Container Apps 환경을 만듭니다.
사용자 고유의 VNet을 사용하는 경우 컨테이너 앱 전용 서브넷을 제공해야 합니다. 이 서브넷은 다른 서비스에서 사용할 수 없습니다.
네트워크 주소는 환경을 만들 때 정의된 서브넷 범위에서 할당됩니다.
Container Apps 환경에서 사용하는 서브넷 범위를 정의할 수 있습니다.
환경을 내부로 배포하여 환경에 대한 인바운드 요청을 VNet으로만 제한할 수 있습니다.
비고
고유한 가상 네트워크를 제공하면 관리되는 리소스가 추가 생성됩니다. 이러한 리소스에는 관련 속도로 비용이 발생합니다.
컨테이너 앱을 중심으로 네트워크를 설계하면 가상 네트워크 계획을 참조하세요.
비고
Container Apps 환경에서 VNet을 사용 중인 경우 다른 리소스 그룹이나 구독 간에 VNet을 이동할 수 없습니다.
서브넷
가상 네트워크 통합은 전용 서브넷에 따라 다릅니다. 서브넷의 IP 주소 할당과 지원되는 서브넷 크기는 Azure Container Apps에서 사용하는 계획에 따라 달라집니다.
서브넷 크기를 신중하게 선택합니다. Container Apps 환경을 만든 후에는 서브넷 크기를 수정할 수 없습니다.
환경 형식에 따라 서브넷 요구 사항이 다릅니다.
/27은 가상 네트워크 통합에 필요한 최소 서브넷 크기입니다.당신은 서브넷을
Microsoft.App/environments에 위임해야 합니다.외부 수신과 함께 외부 환경을 사용하는 경우 인바운드 트래픽은 서브넷이 아닌 인프라의 공용 IP를 통해 라우팅됩니다.
Container Apps는 서브넷과 통합을 위해 IP 주소 12개를 자동으로 예약합니다. 인프라 통합에 필요한 IP 주소 수는 환경의 규모 요구에 따라 달라지지 않습니다. 추가 IP 주소는 사용 중인 워크로드 프로필 형식에 따라 다음 규칙에 따라 할당됩니다. 추가 IP 주소는 사용자 환경의 워크로드 프로필에 따라 할당됩니다.
전용 워크로드 프로필: 컨테이너 앱을 스케일 아웃하면 노드마다 IP 주소 하나가 있습니다.
사용량 워크로드 프로필: 각 IP 주소는 여러 복제본 간에 공유될 수 있습니다. 앱에 필요한 IP 주소 수를 계획할 때 복제본 10개당 IP 주소 1개를 계획합니다.
단일 수정 모드에서 수정 버전을 변경하면 가동 중지 시간이 없는 배포를 지원하기 위해 필요한 주소 공간은 짧은 시간 동안 두 배가 됩니다. 이로 인해 지정된 서브넷 크기에 실제로 사용할 수 있는 지원 복제본이나 노드가 영향을 받습니다. 다음 표에서는 CIDR 블록당 사용 가능한 최대 주소 수와 수평 스케일링에 대한 영향을 보여줍니다.
서브넷 크기 사용할 수 있는 IP 주소1 최대 노드 수(전용 워크로드 프로필)2 최대 복제본 수(사용량 워크로드 프로필)2 /23 498 249 2,490 /24 242 121 1,210 /25 114 57 570 /26 50 이십오 (25) 250 /27 18 9 90 1 사용 가능한 IP 주소는 서브넷에서 예약된 5개의 IP 주소를 포함하는 Azure Container Apps 인프라에 필요한 14개의 IP 주소를 뺀 서브넷의 크기입니다. 2 단일 수정 모드의 앱을 고려합니다.
서브넷 주소 범위 제한 사항
서브넷 주소 범위는 다음과 같은 Azure Kubernetes Service에서 예약한 범위와 겹칠 수 없습니다.
- 169.254.0.0/16
- 172.30.0.0/16
- 172.31.0.0/16
- 192.0.2.0/24
또한 워크로드 프로필 환경에서는 다음 주소를 예약합니다.
- 100.100.0.0/17
- 100.100.128.0/19
- 100.100.160.0/19
- 100.100.192.0/19
CLI를 사용하여 서브넷 구성
Container Apps 환경이 생성되면 단일 서브넷의 리소스 ID를 제공합니다.
CLI를 사용하는 경우 서브넷 리소스 ID를 정의하는 매개 변수는 infrastructure-subnet-resource-id입니다. 서브넷은 인프라 구성 요소 및 사용자 앱 컨테이너를 호스트합니다.
소비 전용 환경에서 Azure CLI를 사용하고 platformReservedCidr 범위가 정의된 경우 두 서브넷이 정의된 IP 범위 platformReservedCidr와 겹치지 않아야 합니다.
NAT 게이트웨이 통합
NAT Gateway를 사용하여 워크로드 프로필 환경의 가상 네트워크에서 아웃바운드 인터넷 트래픽에 대한 아웃바운드 연결을 간소화할 수 있습니다.
서브넷에서 NAT Gateway를 구성할 때 NAT Gateway는 사용자 환경의 고정 공용 IP 주소를 제공합니다. 컨테이너 앱의 모든 아웃바운드 트래픽은 NAT Gateway의 고정 공용 IP 주소를 통해 라우팅됩니다.
관리형 리소스
내부 또는 외부 환경을 자체 네트워크에 배포하면 환경이 호스트되는 Azure 구독에 새 리소스 그룹이 생성됩니다. 이 리소스 그룹에는 Azure Container Apps 플랫폼에서 관리되는 인프라 구성 요소가 포함되어 있습니다. 이 그룹이나 리소스 그룹 자체의 서비스를 수정하지 마세요.
비고
Container Apps 환경에 할당된 사용자 정의 태그는 리소스 그룹 자체를 포함하여 리소스 그룹 내의 모든 리소스에 복제됩니다.
환경이 호스트되는 Azure 구독에서 만든 리소스 그룹 이름에는 기본적으로 ME_ 접두사가 추가되며 컨테이너 앱 환경을 만들 때 리소스 그룹 이름을 사용자 지정할 수 있습니다.
외부 환경의 경우 이 리소스 그룹에는 외부 환경과 부하 분산 장치에 대한 인바운드 연결에 특별히 사용되는 공용 IP 주소가 포함되어 있습니다. 내부 환경의 경우 리소스 그룹에는 Load Balancer만 포함됩니다.
표준 Azure Container Apps 청구 외에 다음 요금도 청구됩니다.
송신용 표준 고정 공용 IP 1개(내부 또는 외부 환경을 사용하는 경우) 및 수신용 표준 고정 공용 IP 1개(외부 환경을 사용하는 경우). SNAT 이슈로 인해 송신용 공용 IP가 더 많이 필요하면 지원 티켓을 열어 재정의를 요청합니다.
표준 부하 분산 장치 하나
처리된 데이터 비용(GB 단위)에는 관리 작업에 사용되는 수신과 송신 모두 포함됩니다.