将静态公共地址分配给Azure容器实例部署

Question

语境

正在处理一个项目，以将一个宁静的API应用程序和单独的TCP服务部署到Azure容器实例。由于遗留原因，TCP服务需要一个静态Ipv4地址。

题

我试图隔离我的选项，以将静态公共IP地址分配给Azure容器实例上托管的TCP服务。有什么选择 ？

经过测试

1. 具有静态公共IP地址的已部署Azure应用程序网关。App Gateway允许将后端池定向到IP或FQDN端点。这似乎是可操作的（请参见图）。后端池中的所有选项似乎都只允许HTTP和HTTPS，而不允许自定义端口。如果TCP服务可以在80上侦听，而Web API在443上侦听，则可以对此进行操作。应用程序网关是仅用于HTTP和HTTPS流量的第7层资源。

2. Azure负载平衡器。只能针对VM，可用性集或VM缩放集。

3. 为资源分配静态地址。不允许用于容器实例。

4. 交通经理。似乎不是此部署的正确资源类型。

参见图。当我通过BASH会话查询时，API和TCP SERVICE的容器实例具有相同的专用IP地址。建议将它们托管在附图中的同一主机上（标记为容器组）。不知道这是不是正确的标签，抱歉，我是Container tech的新手。

感谢您的任何建议。史考特

Answer 1

可能的解决方案

可能有解决方案：

• 创建一个新的VNET
• 地址范围10.60.0.0/23
• 创建的子网容器10.60.0.0/24
• 创建的VNET防火墙资源
• 创建了子网防火墙10.60.1.0/24
• 为防火墙资源分配了静态公共地址

现在，防火墙“规则”允许以下操作：

• NAT规则-典型的端口转换
• 网络规则-路由地址
• 应用规则-路由FQDN

致力于将容器部署到此dev子网，表面上所有选项都存在，重定向端口，ip或FQDN。游戏的变化是能够为VNET中的资源分配静态公共地址，并允许NAT，网络或应用程序规则重定向流量。

明天将更新结果线程。

更新2019年2月

好的，所以不要使用Azure防火墙资源。它非常昂贵，以我为例，无论如何效果都不佳，每月约需500英镑。我没有时间使用防火墙来测试该理论，但是由于成本的原因，没有必要进一步研究它。

Azure容器实例使您可以使用IP地址和完全限定的域名（FQDN）将容器直接暴露于Internet。创建容器实例时，可以指定自定义DNS名称标签，以便可以在customlabel.azureregion.azurecontainer.io上访问应用程序。不幸的是，目前ACI不支持静态公共IP地址。

将容器组部署到虚拟网络时，存在某些限制。

• 要将容器组部署到子网，该子网不能包含任何其他资源类型。在将容器组部署到现有子网之前，请从其删除所有现有资源，或创建一个新子网。

• 部署到虚拟网络的容器组当前不支持公共IP地址或DNS名称标签。

• 由于涉及到额外的网络资源，因此将容器组部署到虚拟网络通常比部署标准容器实例要慢一些。

https://feedback.azure.com/forums/602224-azure-container-instances

解决方案已部署

• 使用Azure Image创建的Ubuntu VM
• 分配给虚拟机的静态公共地址
• 在Docker映像中将Api和Service部署到VM
• 用于部署的Arm模板，与DevOps构建和发布集成
• 每月费用£23.52（核心：2，3GB内存，16GB HD）

这最初是解决方案，但卸载和管理SSL证书增加了复杂性。

2019年3月更新-已部署新解决方案

如果有人感兴趣（基于查看该线程的次数而并不多），则最终部署的解决方案是：

• 设置应用服务计划
• 使用容器实例在端口443上托管API的已部署“ API”应用服务。
• 动态地址和标准SSL证书已部署到“ API”应用服务。
• 使用容器实例托管服务端口80部署的“服务”应用程序服务。
• 静态地址和基于IP的SSL证书已部署到“服务”应用程序服务。这具有将IP地址固定在服务上并满足我的“我需要静态IP地址”条件的效果。
• 每月大约需要花费65英镑来托管。

值得注意的是，部署证书的唯一原因是要修复“服务”应用程序服务上的IP地址。解决当前缺少对Azure的支持以允许用户将静态IP地址应用于容器实例的方法。

感谢我们的开发团队在这一方面的突破性思考。

希望能对某人有所帮助。史考特