Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os Aplicativos de Contêiner do Azure operam no contexto de um ambiente, que executa sua própria rede virtual. Ao criar um ambiente, há algumas considerações importantes que informam os recursos de rede de seus aplicativos de contêiner:
Seleção de ambiente
Os Aplicativos de Contêiner têm dois tipos de ambiente diferentes, que compartilham muitas das mesmas características de rede com algumas diferenças importantes.
| Tipo de ambiente | Tipos de plano com suporte | Descrição |
|---|---|---|
| Perfis de carga de trabalho | Consumo, Dedicado | Dá suporte às rotas definidas pelo usuário (UDR), saídas por meio do Gateway da NAT e criação de pontos de extremidade privados no ambiente do aplicativo de contêiner. O tamanho mínimo da sub-rede necessária é /27. |
| Apenas Consumo | Consumo | Não dá suporte a UDR (rotas definidas pelo usuário), saída por meio de Gateway da NAT, emparelhamento por meio de um gateway remoto ou outra saída personalizada. O tamanho mínimo da sub-rede necessária é /23. |
Para obter mais informações, consulte Tipos de ambiente.
Tipo de rede virtual
Por padrão, os Container Apps são integrados à rede do Azure, que é acessível publicamente pela internet e só pode se comunicar com endpoints acessíveis pela internet. Você também tem a opção de fornecer uma VNet existente ao criar seu ambiente. Depois de criar um ambiente com a rede do Azure padrão ou uma VNet existente, o tipo de rede não poderá ser alterado.
Use uma VNet existente quando precisar de recursos de rede do Azure, como:
- Grupos de segurança de rede
- Integração do Gateway de Aplicativo
- Integração do Firewall do Azure
- Controle sobre o tráfego de saída do seu aplicativo de contêiner
- Acesso a recursos localizados atrás de pontos de extremidade privados em sua rede virtual
Se você usar uma VNet existente, precisará fornecer uma sub-rede dedicada exclusivamente ao ambiente do Aplicativo de Contêiner que você implanta. Essa sub-rede não está disponível para outros serviços. Para obter mais informações, consulte a configuração de rede virtual.
Nível de acessibilidade
Você pode configurar se seu aplicativo de contêiner permite entrada pública ou entrada somente de dentro de sua VNet no nível do ambiente.
| Nível de acessibilidade | Descrição |
|---|---|
| Externo | Permite que seu aplicativo de contêiner aceite solicitações públicas. Ambientes externos são implantados com um IP virtual em um endereço IP externo voltado para o público. |
| Interna | Os ambientes internos não têm pontos de extremidade públicos e são implantados com um VIP (IP virtual) mapeado para um endereço IP interno. O ponto de extremidade interno é um balanceador de carga interno (ILB) do Azure e os endereços IP são emitidos a partir da lista de endereços IP privados da VNet existente. |
Acesso à rede pública
A configuração de acesso à rede pública determina se o ambiente dos seus aplicativos de contêiner é acessível pela internet pública. Sua capacidade de alterar essa configuração após criar seu ambiente vai depender da configuração de IP virtual do ambiente. A tabela a seguir mostra valores válidos para acesso à rede pública, dependendo da configuração de IP virtual do seu ambiente.
| IP virtual | Acesso à rede pública com suporte | Descrição |
|---|---|---|
| Externo | Enabled, Disabled |
O ambiente de aplicativos de contêiner foi criado com um ponto de extremidade com acesso à internet. A configuração de acesso à rede pública determina se o tráfego é aceito por meio do ponto de extremidade público ou somente por meio de pontos de extremidade privados, e a configuração de acesso à rede pública pode ser alterada após a criação do ambiente. |
| Interna | Disabled |
O ambiente de aplicativos de contêiner foi criado sem um ponto de extremidade acessível pela internet. A configuração de acesso à rede pública não pode ser alterada para aceitar o tráfego da Internet. |
Para criar pontos de extremidade privados no ambiente do Aplicativo de Contêiner do Azure, o acesso à rede pública precisa ser definido como Disabled.
As políticas de rede do Azure têm suporte com o sinalizador de acesso à rede pública.
Configuração de entrada
Na seção ingress, você pode definir as seguintes configurações:
Entrada: você pode habilitar ou desabilitar a entrada para seu aplicativo de contêiner.
Tráfego de entrada: Você pode aceitar tráfego para seu aplicativo Container de qualquer lugar ou limitá-lo ao tráfego proveniente do mesmo ambiente de Aplicativos de Contêiner do Azure.
Regras de divisão de tráfego: você pode definir regras de divisão de tráfego entre diferentes revisões do aplicativo. Para obter mais informações, confira Divisão de tráfego.
Para obter mais informações sobre diferentes cenários de rede, confira Entrada nos Aplicativos de Contêiner do Azure.
Recursos de entrada
| Característica | Saiba como |
|---|---|
| Entrada Configurar entrada |
Controle o roteamento do tráfego externo e interno para seu aplicativo de contêiner. |
| Entrada Premium | Defina configurações avançadas de entrada, como suporte ao perfil de carga de trabalho para entrada e tempo limite ocioso. |
| Restrições de IP | Restrinja o tráfego de entrada ao seu aplicativo de contêiner por endereço IP. |
| Autenticação de certificado de cliente | Configure a autenticação de certificado do cliente (também conhecido como TLS mútuo ou mTLS) para seu aplicativo de contêiner. |
| Divisão de tráfego Deployamento Blue/Green |
Divida o tráfego de entrada entre revisões ativas do seu aplicativo de contêiner. |
| Afinidade de sessão | Encaminhe todas as solicitações de um cliente para a mesma réplica do aplicativo de contêiner. |
| CORS (compartilhamento de recursos entre origens) | Habilite o CORS para seu aplicativo de contêiner, que permite solicitações feitas por meio do navegador para um domínio que não corresponde à origem da página. |
| Roteamento baseado em caminho | Use regras para rotear solicitações para diferentes aplicativos de contêiner em seu ambiente, dependendo do caminho de cada solicitação. |
| Redes virtuais | Configure a VNet para seu ambiente de aplicativo de contêiner. |
| DNS | Configure o DNS para a VNet do seu ambiente de aplicativo de contêiner. |
| Endpoint privado | Use um ponto de extremidade privado para acessar com segurança seu Aplicativo de Contêiner do Azure sem expô-lo à Internet pública. |
| Integrar com o Azure Front Door | Conecte-se diretamente do Azure Front Door aos Aplicativos de Contêiner do Azure usando um link privado em vez da Internet pública. |
Recursos de saída
| Característica | Saiba como |
|---|---|
| Usando o Firewall do Azure | Use o Firewall do Azure para controlar o tráfego de saída do seu aplicativo de contêiner. |
| Redes virtuais | Configure a VNet para seu ambiente de aplicativo de contêiner. |
| Protegendo uma VNet existente com um NSG | Proteja a VNet do seu ambiente de aplicativo de contêiner com um NSG (Grupo de Segurança de Rede). |
| Integração do Gateway NAT | Utilize o Gateway de NAT para simplificar a conectividade com a Internet de saída em sua rede virtual em um ambiente com configurações de perfil de carga de trabalho. |
Tutoriais
| Tutorial | Saiba como |
|---|---|
| Usar uma rede virtual | Use uma rede virtual. |
| Configurar o Gateway de Aplicativo WAF | Configurar um gateway de aplicativo WAF. |
| Habilitar UDR (Rotas Definidas pelo Usuário) | Habilitar UDR (rotas definidas pelo usuário). |
| Usar a segurança da camada de transporte mútua (mTLS) | Crie um aplicativo mTLS nos Aplicativos de Contêiner do Azure. |
| Usar um ponto de extremidade privado | Use um ponto de extremidade privado para acessar com segurança seu Aplicativo de Contêiner do Azure sem expô-lo à Internet pública. |
| Integrar com o Azure Front Door | Conecte-se diretamente do Azure Front Door aos Aplicativos de Contêiner do Azure usando um link privado em vez da Internet pública. |
Segurança do ambiente
Você pode proteger totalmente o ambiente de perfis de carga de trabalho de tráfego de rede de entrada e saída adotando as seguintes ações:
Crie seu ambiente de aplicativo de contêiner interno em um ambiente de perfis de carga de trabalho. Para obter etapas, veja Gerenciar perfis de carga de trabalho com a CLI do Azure.
Integre seus Aplicativos de Contêiner a um Gateway de Aplicativo.
Configure a UDR para rotear todo o tráfego por meio do Firewall do Azure.
Comportamento de proxy de borda HTTP
Os Aplicativos de Contêiner do Azure usam um proxy HTTP de borda que encerra o TLS (Transport Layer Security) e roteia solicitações para cada aplicativo.
Os aplicativos HTTP são dimensionados com base no número de solicitações e conexões HTTP. O Envoy encaminha o tráfego interno nos clusters.
As conexões downstream dão suporte a HTTP1.1 e HTTP2, e o Envoy detecta e atualiza automaticamente as conexões se a conexão do cliente exigir uma atualização.
As conexões upstream são definidas pela configuração da propriedade transport no objeto de entrada.
Dependências do portal
Para cada aplicativo nos Aplicativos de Contêiner do Azure, há duas URLs.
O runtime dos Aplicativos de Contêiner gera inicialmente um FQDN (nome de domínio totalmente qualificado) usado para acessar seu aplicativo. Confira a URL do Aplicativo na janela Visão Geral do aplicativo de contêiner no portal do Azure para obter o FQDN do aplicativo de contêiner.
Uma segunda URL também é gerada para você. Esse local concede acesso ao serviço de streaming de log e ao console. Se necessário, você pode incluir https://azurecontainerapps.dev/ na lista de permitidos do firewall ou do proxy.
Portas e endereços IP
As portas a seguir são expostas para conexões de entrada.
| Protocolo | Porta(s) |
|---|---|
| HTTP/HTTPS | 80, 443 |
Os endereços IP são divididos nos seguintes tipos:
| Tipo | Descrição |
|---|---|
| Endereço IP público de entrada | Usado para o tráfego de aplicativos em uma implantação externa e para o tráfego de gerenciamento em implantações internas e externas. |
| IP público de saída | Usado como o IP "de origem" das conexões de saída que saem da rede virtual. Essas conexões não são roteadas por uma VPN. Os IPs de saída podem ser alterados ao longo do tempo. O uso de um gateway da NAT ou outro proxy para tráfego de saída de um ambiente de Aplicativos de Contêiner só tem suporte em um ambiente de perfis de carga de trabalho. |
| Endereço IP do balanceador de carga interno | Esse endereço só existe em um ambiente interno. |