虚拟网络配置

2025-10-24

虚拟网络围绕 Azure 容器应用环境创建安全边界。默认情况下，环境是使用自动生成的 VNet 创建的。但是，使用现有 VNet 提供了更多 Azure 网络功能，例如与应用程序网关集成、网络安全组以及与专用终结点后面的资源通信。对于需要从公共 Internet 隔离内部任务关键型应用程序的企业客户来说，此配置非常重要。

创建虚拟网络时，请记住以下情况：

如果希望容器应用限制所有外部访问，请创建内部容器应用环境。
如果使用自己的 VNet，则需要提供专用于容器应用的子网。此子网不适用于其他服务。
创建环境时，网络地址是从您定义的子网范围分配的。
- 可以定义容器应用环境使用的子网范围。
- 可以通过将环境部署为内部，专门将入站请求限制到 VNet。

注释

提供自己的虚拟网络时，会创建其他托管资源。这些资源按关联的费率产生成本。

开始围绕容器应用设计网络时，请参阅 “规划虚拟网络”。

Azure 容器应用环境如何使用现有 V NET，也可以提供自己的关系图。

注释

如果容器应用环境正在使用 VNet，则不允许在不同资源组或订阅之间移动 VNet。

子网

虚拟网络集成取决于专用子网。子网中的 IP 地址分配和支持的子网大小取决于你在 Azure 容器应用中使用的计划。

请仔细选择子网大小。创建容器应用环境后，无法修改子网大小。

不同的环境类型具有不同的子网要求：

负载配置环境
仅供消费环境

/27 是虚拟网络集成所需的最小子网大小。
必须将子网委托给 Microsoft.App/environments。
将外部环境与外部入口配合使用时，入站流量通过基础结构的公共 IP 而不是通过子网路由。
容器应用自动保留 12 个 IP 地址，以便与子网集成。基础结构集成所需的 IP 地址数不会因环境的规模需求而异。根据以下规则分配其他 IP 地址，具体取决于您使用的工作负荷配置文件类型；根据环境的工作负荷配置文件，可能会分配更多的 IP 地址。
- 专用工作负荷配置文件：随着容器应用横向扩展，每个节点分配有一个 IP 地址。
- 消耗工作负荷配置文件：每个 IP 地址都可以在多个副本之间共享。规划应用所需的 IP 地址数时，请为每个 10 个副本规划 1 个 IP 地址。

在单个修订模式下对修订进行更改时，所需地址空间在短时间内翻倍，以支持零停机时间的部署。这会影响给定子网大小的实际可用受支持副本或节点。下表显示了每个 CIDR 块的最大可用地址，以及水平缩放的影响。

子网大小	可用 IP 地址¹	最大节点数（专用工作负荷配置文件）²	最大副本数（消耗工作负荷方案）²
/23	498	249	2,490
/24	242	121	1,210
/25	114	57	570
/26	50	二十五	250
/27	18	9	90

¹ 可用 IP 地址是子网的大小减去 Azure 容器应用基础结构所需的 14 个 IP 地址，其中包括子网保留的 5 个 IP 地址。 ² 这是在单一修订模式下计算应用程序的情况。

/23 是虚拟网络集成所需的最小子网大小。
子网不得指派给任何服务。
容器应用运行时至少为 VNet 中的基础结构保留 60 个 IP。随着您环境中的应用程序扩展，保留数量可能增加到最多 256 个地址。
随着应用缩放，为每个新副本分配新的 IP 地址。
在单个修订模式下更改修订时，所需的地址空间在短时间内翻倍，用于支持零停机部署。这会影响给定子网大小的实际可用支持的副本数量。

子网地址范围不能与 Azure Kubernetes 服务保留的以下范围重叠：

169.254.0.0/16
172.30.0.0/16
172.31.0.0/16
192.0.2.0/24

此外，工作负荷配置文件环境保留以下地址：

100.100.0.0/17
100.100.128.0/19
100.100.160.0/19
100.100.192.0/19

使用 CLI 的子网配置

创建容器应用环境时，可为单个子网提供资源 ID。

如果使用 CLI，则定义子网资源 ID 的参数为 infrastructure-subnet-resource-id。子网托管基础结构组件和用户应用容器。

如果您使用的是仅限消费环境的 Azure CLI，并且定义了 platformReservedCidr 范围，则这两个子网不得与 platformReservedCidr 中定义的 IP 范围重叠。

NAT 网关集成

使用 NAT 网关简化您虚拟网络中的出站互联网流量的连接，以便在工作负载配置文件环境中更轻松地进行出站连接。

在子网上配置 NAT 网关时，NAT 网关为环境提供静态公共 IP 地址。来自容器应用的所有出站流量都通过 NAT 网关的静态公共 IP 地址进行路由。

托管的资源

将内部或外部环境部署到自己的网络中时，会在托管环境的 Azure 订阅中创建一个新的资源组。此资源组包含由 Azure 容器应用平台管理的基础结构组件。请勿修改此组中的服务或资源组本身。

注释

分配给容器应用环境的用户定义标记将复制到资源组中的所有资源，包括资源组本身。

工作负载概况环境
仅用于消耗的环境

在托管环境的 Azure 订阅中创建的资源组的名称默认带有 ME_ 前缀， 可以在 创建容器应用环境时自定义资源组名称。

对于外部环境，资源组包含一个公共 IP 地址，专用于与外部环境和负载均衡器的入站连接。对于内部环境，资源组仅包含负载均衡器。

除了标准 Azure 容器应用计费之外，您还将为以下内容计费：

如果使用内部或外部环境，则为出口使用一个标准静态公共 IP ，如果使用外部环境，则为入口提供一个标准静态公共 IP 。如果由于 SNAT 问题，需要更多公共 IP 进行出口，请开具支持票证以请求替代。
一个标准负载均衡器。
处理的数据（以 GB 为单位）的成本包括管理操作时的数据流入和流出。

默认情况下，在托管环境的 Azure 订阅中创建的资源组的名称带有前缀 MC_ ，创建容器应用时无法自定义资源组名称。资源组包含专用于从您的环境进行出站连接的公共 IP 地址，以及一个负载均衡器。

除了标准 Azure 容器应用计费之外，还会按以下方式计费：

用于出口的标准静态公共 IP。如果由于源网络地址转换（SNAT）问题需要更多出口 IP，请提交支持请求以请求更改限制。
如果使用内部环境，则使用两个标准负载均衡器 ;如果使用外部环境，则使用一个标准负载均衡器。每个负载均衡器的规则少于 6 个。处理的数据成本（以 GB 计）包括管理操作中的流入和流出。

后续步骤

使用 Azure 防火墙管理出站连接

Compartilhar via