Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure专用终结点使专用网络中的客户端能够通过Azure 专用链接安全地连接到Azure 容器应用环境。 专用链接连接消除了对公共 Internet 的暴露。 专用终结点使用Azure虚拟网络地址空间中的专用 IP 地址,通常使用专用 DNS 区域进行配置。
工作负载配置文件环境中的消耗计划和专用计划都支持专用终结点。
账单管理
专用终结点会产生额外的费用。 在容器应用中启用专用终结点时,需要为两者付费:
- 专用链接 资源。
- 容器应用的专用终结点基础结构。 它显示为单独的 专用计划管理 费用,适用于消耗计划和专用计划。
操作指南文章
- 若要详细了解如何在容器应用中配置专用终结点,请参阅使用具有Azure 容器应用环境的专用终结点。
- 容器应用支持专用链接与Azure Front Door的连接。 有关详细信息,请参阅
使用 Azure Front Door 。
注意事项
- 若要使用专用终结点,必须禁用 公用网络访问。 公用网络访问默认已启用,这意味着专用终结点处于禁用状态。
- 若要将专用终结点与自定义域和 顶点域 用作 主机名记录类型,必须配置与公共 DNS 同名的专用 DNS 区域。 在记录集中,配置专用终结点的专用 IP 地址,而不是容器应用环境的 IP 地址。 使用 CNAME 配置自定义域时,设置保持不变。 有关详细信息,请参阅 使用现有证书设置自定义域。
- 专用终结点的虚拟网络可以独立于与容器应用集成的虚拟网络。
- 可以将专用终结点添加到新的和现有的工作负载配置文件环境。
若要通过专用终结点连接到容器应用,必须配置专用 DNS 区域。
| 服务 | Subresource | 私有 DNS 区域名称 |
|---|---|---|
Azure 容器应用 (Microsoft.App/ManagedEnvironments) |
managedEnvironment |
privatelink.{regionName}.azurecontainerapps.cn |
还可以使用专用终结点与 Azure Front Door 建立专用连接来代替Azure 应用程序网关。
DNS
在容器应用环境的虚拟网络中配置 DNS 非常重要,原因如下:
DNS 允许容器应用将域名解析为 IP 地址,以便它们能够发现和与虚拟网络内外的服务通信。 这些服务包括应用程序网关、网络安全组和专用终结点。
自定义 DNS 设置通过让你控制和监视容器应用进行的 DNS 查询来提高安全性。 此功能通过确保容器应用仅与受信任的域通信来帮助识别和缓解潜在的安全威胁。
自定义 DNS
如果虚拟网络使用自定义 DNS 服务器而不是默认提供的 Azure DNS 服务器,请将 DNS 服务器配置为将未解析的 DNS 查询转发到 168.63.129.16。
Azure递归解析程序使用此 IP 地址解析请求。
配置网络安全组或防火墙时,DNS 要求在工作负荷配置文件类型之间有所不同:
消耗计划:必须允许流量流向
AzurePlatformDNS服务标记(包括168.63.129.16)。 阻止此服务标记可防止容器应用环境正常运行,即使已配置自定义 DNS 服务器也是如此。专用工作负荷配置文件:如果需要,可以阻止
AzurePlatformDNS服务标记,因为专用工作负荷配置文件不需要访问Azure DNS以获取基本功能。对于具有严格的 DNS 安全要求(如银行和医疗保健)的组织,专用工作负荷配置文件提供了完全控制通过自定义 DNS 服务器的 DNS 流量流的选项,而无需Azure DNS访问。
重要
对于 DNS 安全要求严格的组织(例如银行和医疗保健),专用工作负荷配置文件提供了完全控制 DNS 流量流经自定义 DNS 服务器的选项,而无需Azure平台 DNS 访问。
虚拟网络范围的入口
如果您计划在虚拟网络范围内的内部环境中使用 ingress,请通过以下任一方式配置您的域名:
非自定义域:如果不打算使用自定义域,请创建专用 DNS 区域,以将容器应用环境的默认域解析为容器应用环境的静态 IP 地址。 可以使用 Azure 专用 DNS 或自己的 DNS 服务器。
如果使用 Azure 专用 DNS,请创建一个名称为容器应用环境默认域(
<UNIQUE_IDENTIFIER>.<REGION_NAME>.azurecontainerapps.cn)的专用 DNS 区域,并创建一条A记录。A记录包含容器应用环境的名称*<DNS Suffix>和静态 IP 地址。 有关详细信息,请参阅 创建并配置Azure 专用 DNS区域。自定义域:如果计划使用自定义域并使用外部容器应用环境,请使用可公开解析的域将自定义域和证书添加到容器应用。 如果使用内部容器应用环境,则 DNS 绑定没有验证,因为群集仅在虚拟网络中可用。
此外,创建将顶点域解析为容器应用环境静态 IP 地址的专用 DNS 区域。 可以使用 Azure 专用 DNS 或自己的 DNS 服务器。 如果使用 Azure 专用 DNS,请创建一个名为该顶级域的专用 DNS 区域,并创建一条指向容器应用环境静态 IP 地址的
A记录。
若要获取容器应用环境的静态 IP 地址,可以使用以下任一方法:
- 在Azure门户中,转到容器应用的页面,并记下 Custom DNS 后缀值。
- 在Azure CLI中,使用
az containerapp env list命令。