虚拟网络配置

虚拟网络围绕 Azure 容器应用 environment 创建安全边界。默认情况下，环境是使用自动生成的虚拟网络创建的。但是，使用现有虚拟网络可提供更多Azure网络功能，例如与Azure 应用程序网关集成、网络安全组以及与专用终结点后面的资源通信。对于需要从公共 Internet 隔离内部任务关键型应用程序的企业客户来说，此配置非常重要。

创建虚拟网络时，请记住以下情况：

如果希望容器应用限制所有外部访问，请创建内部容器应用环境。
如果使用自己的虚拟网络，则需要提供专用于容器应用的子网。此子网不适用于其他服务。
网络地址是从您在创建环境时定义的子网范围中分配的。
- 可以定义容器应用环境使用的子网范围。
- 可以通过将环境部署为internal类型，将其入站请求限制为仅来自虚拟网络。

注释

提供自己的虚拟网络时，会创建其他托管资源。这些资源按关联的费率产生成本。

开始围绕容器应用设计网络时，请参阅 “规划虚拟网络”。

Azure 容器应用环境如何使用现有虚拟网络，或使用您自己提供的虚拟网络的示意图。

注释

如果容器应用环境正在使用虚拟网络，则不允许在不同资源组或订阅之间移动虚拟网络。

子网

虚拟网络集成取决于专用子网。子网中的 IP 地址分配和支持的子网大小取决于你在容器应用中使用的计划。

请仔细选择子网大小。创建容器应用环境后，无法修改子网大小。

每个环境类型都有自己的子网要求：

工作负载配置文件环境
仅供消费环境

虚拟网络集成所需的最小子网大小为 /27。
必须将子网委托给 Microsoft.App/environments。
将外部环境与外部入口配合使用时，入站流量通过基础结构的公共 IP 而不是通过子网路由。
容器应用自动保留 12 个 IP 地址，以便与子网集成。基础结构集成所需的 IP 地址数不会因环境的规模需求而异。

根据以下规则分配其他 IP 地址，具体取决于使用的工作负荷配置文件的类型：
- 专用工作负荷配置文件：随着容器应用横向扩展，每个节点分配有一个 IP 地址。
- 消耗工作负荷配置文件：每个 IP 地址都可以在多个副本之间共享。规划应用所需的 IP 地址数时，请为每个 10 个副本规划一个 IP 地址。

在单修订模式下，当您对某个修订版本进行更改时，为支持零停机部署，所需的地址空间会在短时间内加倍。这种加倍会影响特定规模子网中实际可用且受支持的副本数或节点数。下表显示了每个 CIDR 块的最大可用地址，以及水平缩放的影响。

子网大小	可用 IP 地址¹	最大节点数（专用工作负荷配置文件）²	最大副本数（消耗工作负荷配置文件）²
/23	498	249	2,490
/24	242	121	1,210
/25	114	57	570
/26	50	二十五	250
/27	18	9	90

¹ 可用 IP 地址数是子网的大小减去Azure 容器应用基础结构所需的 14 个 IP 地址（其中包括子网保留的 5 个 IP 地址）。

² 这些数字已计入处于单修订模式的应用。

虚拟网络集成所需的最小子网大小为 /23。
您的子网不得委托给任何服务，包括Microsoft.App/environments。
容器应用运行时为虚拟网络中的基础结构保留至少 60 个 IP。随着环境中的应用不断扩展，预留数量最多可增至 256 个地址。
随着应用缩放，为每个新副本分配新的 IP 地址。
在单修订模式下对修订进行更改时，为支持零停机部署，所需地址空间会在短时间内加倍。这种翻倍会影响对于特定子网规模实际可用且受支持的副本数。

子网地址范围不能与Azure Kubernetes 服务保留的以下范围重叠：

169.254.0.0/16
172.30.0.0/16
172.31.0.0/16
192.0.2.0/24

此外，工作负荷配置环境会保留以下地址：

100.100.0.0/17
100.100.128.0/19
100.100.160.0/19
100.100.192.0/19

使用 CLI 的子网配置

创建容器应用环境时，可为单个子网提供资源 ID。

如果使用 Azure CLI，则用于定义子网资源 ID 的参数为 infrastructure-subnet-resource-id。子网托管基础结构组件和用户应用容器。

如果将 Azure CLI与仅消耗环境一起使用，并且定义了 platformReservedCidr 范围，则两个子网不得与 platformReservedCidr 中定义的 IP 范围重叠。

Azure NAT 网关集成

在工作负载配置文件环境中，您可以使用 Azure NAT 网关简化虚拟网络中出站互联网流量的连接。

在子网上配置网络地址转换（NAT）网关时，NAT 网关为环境提供静态公共 IP 地址。来自容器应用的所有出站流量都通过 NAT 网关的静态公共 IP 地址进行路由。

注释

目前暂不支持集成 Azure NAT 网关的 StandardV2 SKU。

托管的资源

将内部或外部环境部署到自己的网络中时，会在托管环境的 Azure 订阅中创建一个新的资源组。此资源组包含Azure 容器应用平台管理的基础结构组件。请勿修改此组中的服务或资源组本身。

注释

分配给容器应用环境的用户定义标记将复制到资源组中的所有资源，包括资源组本身。

工作负载配置文件环境
仅供消费环境

默认情况下，在托管环境的Azure订阅中创建的资源组的名称前缀为 ME_。 可以在创建容器应用环境时自定义资源组名称。

对于外部环境，资源组包含一个公共 IP 地址，专用于与外部环境和负载均衡器的入站连接。对于内部环境，资源组仅包含负载均衡器。

除标准容器应用计费外，还会就以下项目向你收费：

如果使用内部或外部环境，则需要一个用于出站的标准静态公共 IP；如果使用外部环境，则还需要一个用于入站的标准静态公共 IP。如果因源 NAT (SNAT) 问题需要更多出站公共 IP，请提交支持工单以请求覆盖。
一个标准负载均衡器。

处理的数据（以千兆字节为单位）的成本包括管理操作的入口和出口。

默认情况下，在托管环境的Azure订阅中创建的资源组的名称前缀为 MC_。创建容器应用时 ，无法 自定义资源组名称。资源组包含专用于从您的环境进行出站连接的公共 IP 地址，以及一个负载均衡器。

除标准容器应用计费外，还会就以下项目向你收费：

用于出口的标准静态公共 IP。如果由于源 NAT（SNAT）问题需要更多出口 IP 地址，请提交支持工单以申请例外。
如果使用的是内部环境，则使用两个标准负载均衡器 ;如果使用外部环境，则使用一个标准负载均衡器。每个负载均衡器的规则少于 6 个。

后续步骤

将 Azure 容器应用环境与 Azure 防火墙集成

Last updated on 2026-06-12