Об экземплярах контейнеров Azure

Контейнеры — это популярное средство упаковки и развертывания облачных приложений, а также управления ими. Экземпляры контейнеров Azure предлагает самый быстрый и простой способ запуска контейнеров Linux или Windows в Azure без необходимости управлять виртуальными машинами и не применять более высокий уровень службы.

ACI поддерживает обычные, конфиденциальные и точечные контейнеры. ACI можно использовать в качестве одного экземпляра или нескольких экземпляров с помощью NGroups или получить возможности оркестрации, развернув модули pod в кластере Служба Azure Kubernetes (AKS) через виртуальные узлы в ACI. Для более быстрого запуска ACI поддерживает резервные пулы.

Быстрый запуск

В вопросе скорости запуска контейнеры обеспечивают значительные преимущества по сравнению с виртуальными машинами. Служба "Экземпляры контейнеров Azure" может в считаные секунды запустить контейнер в Azure без подготовки виртуальных машин и управления ими.

Перенос образов контейнеров Linux или Windows из Docker Hub, частного реестра контейнеров Azure или другого облачного реестра Docker. Ознакомьтесь с часто задаваемыми вопросами , чтобы узнать, какие реестры поддерживают ACI. Служба "Экземпляры контейнеров Azure" кэширует несколько распространенных базовых образов ОС, помогая ускорить развертывание пользовательских образов приложений.

Для более быстрого запуска ACI поддерживает резервные пулы.

Получение доступа к контейнеру

Служба "Экземпляры контейнеров Azure" позволяет предоставлять группы контейнеров прямо в Интернете с помощью общедоступного IP-адреса и полного доменного имени. Когда вы создаете экземпляр контейнера, вы можете указать собственную метку DNS-имени, благодаря чему приложения будет доступно по адресу собственная_метка.регион_azure.azurecontainer.io.

Экземпляры контейнеров Azure также поддерживают выполнение команды в работающем контейнере, предоставляя интерактивную оболочку для разработки приложений и устранения неполадок. Получение доступа осуществляется по протоколу HTTPS с использованием протокола TLS для защиты клиентских подключений.

Развертывания с соблюдением требований

Безопасность на уровне низкоуровневой оболочки

Исторически контейнеры предложили изоляцию зависимостей приложений и управление ресурсами, но недостаточно ужесточили для враждебного мультитенантного использования. Служба "Экземпляры контейнеров Azure" обеспечивает изоляцию приложения в контейнере, как на виртуальной машине.

Данные клиентов

Служба Экземпляры контейнеров Azure не хранит данные клиента. Однако он сохраняет идентификаторы подписок подписки, используемой для создания ресурсов. Хранение идентификаторов подписок необходимо, чтобы группы контейнеров продолжали работать должным образом.

Настраиваемые размеры

Обычно контейнеры оптимизированы для выполнения одного приложения. Однако требования таких приложений могут быть самыми разнообразными. Служба "Экземпляры контейнеров Azure" обеспечивает оптимальное использование ресурсов в соответствии с требованиями к ядрам ЦП и объему памяти. Оплата зависит от требуемых ресурсов и начисляется посекундно, позволяя вам оптимизировать расходы в соответствии с фактическими потребностями.

Для заданий с большим объемом вычислений, таких как машинное обучение, в службе "Экземпляры контейнеров Azure" можно запланировать использование ресурсов GPU NVIDIA Tesla (доступны в предварительной версии) в контейнерах Linux.

Постоянное хранилище

Чтобы получать и сохранять данные состояния с помощью службы "Экземпляры контейнеров Azure", рекомендуем установить прямое подключение к общим файловым ресурсам Azure, поддерживаемым службой хранилища Azure.

Контейнеры Linux и Windows

Служба "Экземпляры контейнеров Azure" позволяет создавать расписание для контейнеров Windows и Linux в одном и том же API. При создании групп контейнеров можно указать предпочтения типа ОС.

Некоторые функции сейчас ограничены контейнерами Linux.

• Несколько контейнеров в группе контейнеров
• Подключение тома (Файлы Azure, emptyDir, GitRepo, секрет)
• Метрики потребления ресурсов в Azure Monitor
• Ресурсы GPU (предварительная версия)

Для развертываний контейнеров Windows используйте образы на основе стандартных базовых образов Windows.

Запуск нескольких контейнеров в одной группе контейнеров

Экземпляры контейнеров Azure поддерживает планирование нескольких контейнеров в одной группе контейнеров, которая предоставляет общий доступ к одному узлу контейнеров, локальной сети, хранилищу и жизненному циклу. Это позволяет объединить основной контейнер приложений с другими дополнительными контейнерами, такими как расширения для ведения журналов.

Развертывание виртуальной сети

Экземпляры контейнеров Azure позволяют развертывать экземпляры контейнеров в виртуальной сети Azure. Экземпляры контейнеров, развернутые в подсети виртуальной сети, могут безопасно взаимодействовать с другими ресурсами виртуальной сети, включая локальные ресурсы. Взаимодействие происходит через шлюз VPN или ExpressRoute.

Поддержка зон доступности

Экземпляры контейнеров Azure поддерживает развертывания зональных групп контейнеров, т. е. экземпляр закрепляется в определенной локально выбранной зоне доступности. Зону доступности можно указать для каждой группы контейнеров.

Управляемое удостоверение

Экземпляры контейнеров Azure поддерживает использование управляемого удостоверения с группой контейнеров, что позволяет группе контейнеров проходить проверку подлинности в любой службе, которая поддерживает проверку подлинности Microsoft Entra без управления учетными данными в коде контейнера.

Извлечение образа с проверкой подлинности управляемого удостоверения

Экземпляры контейнеров Azure может пройти проверку подлинности с помощью экземпляра Реестр контейнеров Azure (ACR), используя управляемое удостоверение, что позволяет извлекать изображение без необходимости включать имя пользователя и пароль непосредственно в определение группы контейнеров.

Развертывание конфиденциального контейнера

Конфиденциальные контейнеры в ACI позволяют запускать контейнеры в доверенной среде выполнения (TEE), которая обеспечивает защиту конфиденциальности и целостности оборудования для рабочих нагрузок контейнеров. Конфиденциальные контейнеры в ACI могут защищать используемые данные и шифровать данные, обрабатываемые в памяти. Конфиденциальные контейнеры в ACI поддерживаются как номер SKU, который можно выбрать при развертывании рабочей нагрузки. Дополнительные сведения см. в разделе "Конфиденциальные группы контейнеров".

Развертывание точечных контейнеров

Контейнеры ACI Spot позволяют клиентам запускать прерывания, контейнерные рабочие нагрузки на неиспользуемую емкость Azure со скидкой до 70 % по сравнению с контейнерами ACI с регулярным приоритетом. Локальные контейнеры ACI могут быть упрещены, когда Azure сталкивается с нехваткой избыточной емкости, и они подходят для рабочих нагрузок без строгих требований к доступности. Клиентам выставляются счета за использование памяти и ядра в секунду. Чтобы использовать контейнеры ACI Spot, можно развернуть рабочую нагрузку с определенным флагом свойств, указывающим, что вы хотите использовать группы контейнеров Spot и воспользоваться моделью скидок. Дополнительные сведения см. в разделе "Точечные группы контейнеров".

NGroups

NGroups предоставляет расширенные возможности для управления несколькими связанными группами контейнеров. NGroups поддерживает обслуживание указанного количества групп контейнеров, выполнение последовательного обновления, развертывание в нескольких зонах доступности, использование подсистем балансировки нагрузки для входящего трафика и развертывание конфиденциальных контейнеров. Дополнительные сведения см. в разделе "О NGroups".

Виртуальные узлы на Экземпляры контейнеров Azure

Виртуальные узлы на Экземпляры контейнеров Azure позволяют развертывать модули pod в кластере Служба Azure Kubernetes (AKS), которые выполняются в качестве групп контейнеров в ACI. Это позволяет управлять группами контейнеров с помощью знакомых конструкций Kubernetes. Так как виртуальные узлы поддерживаются бессерверной инфраструктурой ACI, вы можете быстро масштабировать рабочую нагрузку без необходимости ожидать автомасштабирования кластера Kubernetes для развертывания вычислительных узлов виртуальной машины.

Рекомендации

Учетные данные пользователя, передаваемые через интерфейс командной строки (CLI), хранятся в виде обычного текста в серверной части. Хранение учетных данных в виде обычного текста является угрозой безопасности; Корпорация Майкрософт рекомендует клиентам хранить учетные данные пользователей в переменных среды CLI, чтобы убедиться, что они шифруются и преобразуются при хранении в серверной части.

Если группа контейнеров перестает работать, рекомендуется перезапустить контейнер, проверить код приложения или конфигурацию локальной сети перед открытием запроса на поддержку.

Образы контейнеров не могут превышать 15 ГБ, любые изображения, превышающие этот размер, могут привести к непредвиденному поведению: насколько большим может быть образ контейнера?

Некоторые базовые образы Windows Server больше не совместимы с Экземпляры контейнеров Azure:
Какие базовые образы ОС Windows поддерживаются?

Если группа контейнеров перезапускается, IP-адрес группы контейнеров может измениться. Мы советуем использовать жестко закодированный IP-адрес в вашем сценарии. Если вам нужен статический общедоступный IP-адрес, используйте Шлюз приложений: статический IP-адрес для группы контейнеров — Экземпляры контейнеров Azure | Microsoft Learn

Существуют порты, зарезервированные для функциональных возможностей службы. Мы советуем не использовать эти порты, так как их использование приводит к неожиданному поведению: резервирует ли служба ACI порты для функциональных возможностей службы?

Если у вас возникли проблемы с развертыванием или запуском контейнера, сначала проверьте руководство по устранению неполадок для распространенных ошибок и проблем.

Группы контейнеров могут перезапуститься из-за событий обслуживания платформы. Эти события обслуживания выполняются для обеспечения непрерывного улучшения базовой инфраструктуры: контейнер имел изолированную перезагрузку без явного ввода пользователем.

ACI не разрешает привилегированные операции контейнера. Мы советуем не зависеть от использования корневого каталога для вашего сценария.

Следующие шаги

Разверните контейнер Azure с помощью одной команды, воспользовавшись нашим кратким руководством.