Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure punto de conexión privado permite a los clientes ubicados en la red privada conectarse de forma segura al entorno de Azure Container Apps a través de Azure Private Link. Una conexión de vínculo privado elimina la exposición a la red pública de Internet. Los puntos de conexión privados usan una dirección IP privada en el espacio de direcciones de red virtual Azure y normalmente se configuran con una zona DNS privada.
Los puntos de conexión privados son compatibles con los planes de consumo y dedicados en entornos de perfil de carga de trabajo.
Facturación
Los puntos de conexión privados incurren en cargos adicionales. Al habilitar un punto de conexión privado en Azure Container Apps, se le factura lo siguiente:
- Azure Private Link: facturación del recurso Azure Private Link propio.
- Azure Container Apps: facturación de la infraestructura de punto de conexión privado dedicado para Azure Container Apps, que aparece como un cargo independiente de "Administración de Planes Dedicados" y se aplica a los planes de Consumo y Dedicados.
Tutoriales
- Para más información sobre cómo configurar puntos de conexión privados en Azure Container Apps, consulte el tutorial Use un punto de conexión privado con un entorno de Azure Container Apps.
- Se admite la conectividad de enlace privado con Azure Front Door para Azure Container Apps. Consulte crear un vínculo privado con Azure Front Door para obtener más información.
Consideraciones
- Para usar un punto de conexión privado, debe deshabilitar el acceso a la red pública. De forma predeterminada, el acceso a la red pública está habilitado, lo que significa que los puntos de conexión privados están deshabilitados.
- Para usar un punto de conexión privado con un dominio personalizado y un dominio de Apex como tipo de registro nombre de host, debe configurar una zona DNS privada con el mismo nombre que el DNS público. En el conjunto de registros, configure la dirección IP privada del punto de conexión privado en lugar de la dirección IP del entorno de la aplicación contenedora. Al configurar el dominio personalizado con CNAME, el programa de instalación no cambia. Para más información, consulte Configuración de un dominio personalizado con un certificado existente.
- La red virtual del punto de conexión privado puede ser independiente de la red virtual integrada con la aplicación de contenedor.
- Puede agregar un punto de conexión privado a entornos de perfil de carga de trabajo nuevos y existentes.
Para conectarse a las aplicaciones de contenedor a través de un punto de conexión privado, debe configurar una zona DNS privada.
| Servicio | subresource | nombre de zona DNS privada |
|---|---|---|
| Azure Container Apps (Microsoft.App/ManagedEnvironments) | entorno gestionado | privatelink.{regionName}.azurecontainerapps.io |
También puede usar puntos de conexión privados con una conexión privada a Azure Front Door en lugar de Application Gateway.
DNS (Sistema de Nombres de Dominio)
La configuración de DNS en la red virtual del entorno de Azure Container Apps es importante por los siguientes motivos:
DNS permite a las aplicaciones de contenedor resolver nombres de dominio en direcciones IP. Esto les permite detectar y comunicarse con servicios dentro y fuera de la red virtual. Esto incluye servicios como Azure Application Gateway, grupos de seguridad de red y puntos de conexión privados.
La configuración de DNS personalizada mejora la seguridad al permitirle controlar y supervisar las consultas DNS realizadas por las aplicaciones de contenedor. Esto ayuda a identificar y mitigar posibles amenazas de seguridad, ya que garantiza que las aplicaciones de contenedor solo se comuniquen con dominios de confianza.
DNS personalizado
Si la red virtual usa un servidor DNS personalizado en lugar del servidor DNS proporcionado por Azure predeterminado, configure el servidor DNS para reenviar consultas DNS sin resolver a 168.63.129.16.
Azure solucionadores recursivos usa esta dirección IP para resolver solicitudes.
Al configurar el grupo de seguridad de red (NSG) o el firewall, los requisitos dns difieren entre los tipos de perfil de carga de trabajo:
Plan de consumo: debe permitir el tráfico a la etiqueta de servicio (que incluye ). Bloquear esta etiqueta de servicio impedirá que el entorno de Container Apps funcione correctamente, incluso si tiene configurado un servidor DNS personalizado.
Perfiles de carga de trabajo dedicados: puede bloquear la etiqueta de servicio
AzurePlatformDNSsi lo desea, ya que los perfiles de carga de trabajo dedicados no requieren acceso al DNS de la Plataforma de Azure para la funcionalidad básica.
Importante
Para las organizaciones con estrictos requisitos de seguridad de DNS (como la banca y la atención sanitaria), los perfiles de carga de trabajo dedicados proporcionan la opción de controlar completamente el flujo de tráfico DNS a través de los servidores DNS personalizados sin necesidad de acceder a DNS de la plataforma Azure.
Importante
Los usuarios de zonas DNS privadas NO DEBEN bloquear ni invalidar la resolución de *.hcp.<LOCATION>.azmk8s.io, mcr.microsoft.com y otros requisitos DNS que se comparten con AKS y se enumeran en las reglas de aplicación/FQDN global obligatorias de Azure. La falta de resolución de las entradas necesarias perturba el funcionamiento y la conectividad de su entorno de aplicaciones de contenedores.
Entrada de ámbito de red virtual
Si tiene previsto usar la entrada de ámbito de red virtual en un entorno interno, configure sus dominios de una de las siguientes maneras:
Dominios no personalizados: si no tiene previsto usar un dominio personalizado, cree una zona DNS privada que resuelva el dominio predeterminado del entorno de Container Apps en la dirección IP estática del entorno de Container Apps. Puede usar Azure DNS privado o su propio servidor DNS. Si usa Azure DNS privado, cree una zona de private DNS denominada como dominio predeterminado del entorno de aplicación de contenedor (
<UNIQUE_IDENTIFIER>.<REGION_NAME>.azurecontainerapps.io), con un registroA. El registro contiene el nombre y la dirección IP estática del entorno de Container Apps. Para obtener más información, consulte Create and configure an Azure DNS privado zone.Dominios personalizados: si tiene previsto usar dominios personalizados y usa un entorno externo de Container Apps, use un dominio que se pueda resolver públicamente para agregar un dominio personalizado y un certificado a la aplicación contenedora. Si usa un entorno interno de Container Apps, no hay ninguna validación para el enlace DNS, ya que el clúster solo está disponible desde dentro de la red virtual. Además, cree una zona DNS privada que resuelva el dominio apex en la dirección IP estática del entorno de Container Apps. Puede usar Azure DNS privado o su propio servidor DNS. Si usa Azure DNS privado, cree una zona DNS privado denominada como dominio de vértice, con un registro />
La dirección IP estática del entorno de Container Apps está disponible en el portal de Azure en Sufijo DNS personalizado de la página de la aplicación contenedora o mediante el comando CLI de Azure az containerapp env list.
Pasos siguientes
Uso de una red virtual