Was ist Azure Container Instances?
Container entwickeln sich mehr und mehr zum bevorzugten Instrument für das Packen, Bereitstellen und Verwalten von Cloudanwendungen. Mit Azure Container Instances lassen sich Container in Azure besonders schnell und einfach ausführen, ohne dass Sie dazu virtuelle Computer verwalten oder einen übergeordneten Dienst einführen müssen.
Azure Container Instances ist eine großartige Lösung für jedes Szenario, das für die Verwendung isolierter Container geeignet ist. Hierzu zählen unter anderem einfache Anwendungen, Aufgabenautomatisierung und Erstellungsaufträge. Für Szenarien, die eine umfassende Containerorchestrierung erfordern (etwa für die containerübergreifende Dienstermittlung, automatische Skalierung und koordinierte Anwendungsupgrades), empfehlen wir Azure Kubernetes Service (AKS). Es empfiehlt sich, sich unter Überlegungen sowie anhand der häufig gestellten Fragen mit den bewährten Methoden beim Bereitstellen von Containerinstanzen vertraut zu machen.
Schneller Start
Container bieten im Vergleich zu virtuellen Computern (VMs) erhebliche Vorteile beim Start. Azure Container Instances kann in Sekundenschnelle Container in Azure starten, ohne virtuelle Computer bereitstellen und verwalten zu müssen.
Verwenden Sie Linux- oder Windows-Containerimages aus Docker Hub, aus einer privaten Azure-Containerregistrierung oder aus einer anderen cloudbasierten Docker-Registrierung. In den häufig gestellten Fragen (Frequently Asked Questions, FAQ) erfahren Sie, welche Registrierungen von ACI unterstützt werden. Von Azure Container Instances werden verschiedene gängige Basis-Betriebssystemimages zwischengespeichert, um die Entwicklung Ihrer benutzerdefinierten Anwendungsimages zu beschleunigen.
Containerzugriff
Mit Azure Container Instances können Sie Ihre Containergruppen direkt über eine öffentliche IP-Adresse und einen vollqualifizierten Domainnamen (FQDN) im Internet verfügbar machen. Beim Erstellen einer Containerinstanz können Sie eine benutzerdefinierte DNS-Namensbezeichnung angeben, sodass Ihre Anwendung unter „customlabel.azureregion.azurecontainer.io“ erreichbar ist.
Azure Container Instances unterstützt auch das Ausführen eines Befehls in einem ausgeführten Container durch Bereitstellen einer interaktiven Shell zur Unterstützung durch Anwendungsentwicklung und Problembehandlung. Der Zugriff erfolgt über HTTPS und verwendet TLS zum Sichern von Clientverbindungen.
Wichtig
Ab dem 13. Januar 2020 erfordert Azure Container Instances, dass alle sicheren Verbindungen von Servern und Anwendungen TLS 1.2 verwenden. Die Unterstützung für TLS 1.0 und 1.1 wurde eingestellt.
Konforme Bereitstellungen
Sicherheit auf Hypervisor-Ebene
In der Vergangenheit waren in Containern zwar eine Isolierung von Anwendungsabhängigkeiten und Ressourcengovernance verfügbar, diese waren jedoch nicht ausreichend gehärtet für die feindliche Umgebung bei der Verwendung mit mehreren Mandanten. Azure Container Instances gewährleistet, dass Ihre Anwendung in einem Container isoliert ist – genau wie bei einem virtuellen Computer.
Kundendaten
Der Azure Container Instances-Dienst speichert keine Kundendaten. Er speichert jedoch die Abonnement-IDs des Azure-Abonnements, das zum Erstellen von Ressourcen verwendet wird. Das Speichern von Abonnement-IDs ist erforderlich, um sicherzustellen, dass Ihre Containergruppen wie erwartet ausgeführt werden.
Benutzerdefinierte Größen
Container sind in der Regel für die Ausführung einer einzelnen Anwendung optimiert. Die genauen Anforderungen dieser Anwendungen können sich jedoch erheblich voneinander unterscheiden. Azure Container Instances ermöglicht exakte Angaben für CPU-Kerne und Arbeitsspeicher und bietet dadurch eine optimale Auslastung. Dank sekundengenauer Abrechnung können Sie Ihre Ausgaben auf der Grundlage Ihres tatsächlichen Bedarfs präzise optimieren.
Bei rechenintensiven Aufträgen wie maschinelles Lernen kann Azure Container Instances Linux-Container für die Nutzung von NVIDIA Tesla GPU-Ressourcen (Vorschau) planen.
Permanenter Speicher
Dank der Möglichkeit zur durch Azure Storage gesicherten direkten Einbindung von Azure Files-Freigaben können Sie mit Azure Container Instances den Zustand abrufen und speichern.
Linux- und Windows-Container
Azure Container Instances kann sowohl Windows- als auch Linux-Container mit der gleichen API planen. Sie können Ihre Betriebssystemtyppräferenz angeben, wenn Sie Ihre Containergruppen erstellen.
Einige Features sind momentan auf Linux-Container beschränkt:
- Mehrere Container pro Containergruppe
- Einbindung von Volumes (Azure Files, emptyDir, GitRepo, geheimes Volume)
- Ressourcennutzungsmetriken von Azure Monitor
- GPU-Ressourcen (Vorschauversion)
Verwenden Sie für Windows-Containerbereitstellungen Images, die auf allgemeinen Windows-Basisimages beruhen.
Gemeinsam geplante Gruppen
Azure Container Instances unterstützt die Planung von Gruppen mit mehreren Containern mit gemeinsamem Hostcomputer, lokalem Netzwerk, Speicher und Lebenszyklus. Dadurch können Sie Ihren Hauptanwendungscontainer mit anderen unterstützenden Rollencontainern (beispielsweise Protokollierungs-Sidecars) kombinieren.
VNET-Bereitstellung
Azure Container Instances ermöglicht die Bereitstellung von Containerinstanzen in einem virtuellen Azure-Netzwerk. Bei Bereitstellung in einem Subnetz Ihres virtuellen Netzwerks können Containerinstanzen sicher mit anderen Ressourcen im virtuellen Netzwerk kommunizieren. Dies gilt auch für lokale Ressourcen (per VPN-Gateway oder ExpressRoute).
Bereitstellung vertraulicher Container
Mit vertraulichen Containern in ACI können Sie Container in einer vertrauenswürdigen Ausführungsumgebung (Trusted Execution Environment, TEE) ausführen, die hardwarebasierten Schutz für die Vertraulichkeit und Integrität Ihrer Containerworkloads bietet. Vertrauliche Container in ACI können verwendete Daten während der Verarbeitung schützen und Daten verschlüsseln, die im Arbeitsspeicher verarbeitet werden. Vertrauliche Container in ACI werden als SKU unterstützt, die Sie auswählen können, wenn Sie Ihren Workload bereitstellen. Weitere Informationen finden Sie unter Vertrauliche Containergruppen.
Spot-Containerbereitstellung
Mit ACI Spot-Containern können Kunden unterbrechbare, containerisierte Workloads mit ungenutzter Azure-Kapazität zu deutlich reduzierten Preisen (bis zu 70 %) im Vergleich zu ACI Containern mit regulärer Priorität ausführen. ACI-Spotcontainer können vorzeitig ausgelastet werden, wenn Azure auf einen Mangel an überschüssiger Kapazität stößt, und sie eignen sich für Workloads ohne strenge Verfügbarkeitsanforderungen. Die Abrechnung erfolgt pro Sekunde für die Speicher- und Kernnutzung. Um ACI Spot-Container zu verwenden, können Sie Ihre Workload mit einem bestimmten Eigenschaftenflag bereitstellen, das angibt, dass Sie Spot-Containergruppen verwenden möchten, und das rabattierte Preismodell nutzen. Weitere Informationen finden Sie unter Spotcontainergruppen.
Überlegungen
Die über die Befehlszeilenschnittstelle (CLI) übergebenen Anmeldeinformationen des Benutzers werden als Nur-Text im Back-End gespeichert. Das Speichern von Anmeldeinformationen in Nur-Text ist ein Sicherheitsrisiko. Microsoft empfiehlt Kunden, Benutzeranmeldeinformationen in CLI-Umgebungsvariablen (Command Line Interface, Befehlszeilenschnittstelle) zu speichern, um sicherzustellen, dass sie beim Speichern im Back-End verschlüsselt/transformiert werden.
Sollte Ihre Containergruppe nicht mehr funktionieren, empfiehlt es sich, den Container neu zu starten sowie den Anwendungscode und die lokale Netzwerkkonfiguration zu überprüfen, bevor Sie eine Supportanfrage erstellen.
Containerimages dürfen maximal 15 GB groß sein. Größere Images führen unter Umständen zu unerwartetem Verhalten: Wie groß darf mein Containerimage sein?
Einige Windows Server-Basisimages sind nicht mehr mit Azure Container Instances kompatibel:
Welche Windows-Basisbetriebssystem-Images werden unterstützt?
Wenn eine Containergruppe neu gestartet wird, ändert sich möglicherweise ihre IP-Adresse. Wir raten davon ab, eine hartcodierte IP-Adresse in Ihrem Szenario zu verwenden. Wenn Sie eine statische öffentliche IP-Adresse benötigen, verwenden Sie Application Gateway: Verfügbarmachen einer statischen IP-Adresse für eine Containergruppe
Bestimmte Ports sind für Dienstfunktionen reserviert. Diese Ports sollten nicht verwendet werden, da dies zu unerwartetem Verhalten führt: Reserviert der ACI-Dienst Ports für die Dienstfunktionalität?
Sollten Sie Probleme beim Bereitstellen oder Ausführen Ihres Containers haben, überprüfen Sie zunächst den Leitfaden zur Problembehandlung auf allgemeine Fehler und Probleme.
Ihre Containergruppen können aufgrund von Plattformwartungsereignissen neu gestartet werden. Diese Wartungsmaßnahmen werden durchgeführt, um die zugrunde liegende Infrastruktur kontinuierlich zu verbessern: Häufig gestellte Fragen zu Azure Container Instances (Isolierter Neustart ohne explizite Benutzereingabe für Container ausgeführt)
ACI erlaubt keine privilegierten Containervorgänge. Ihr Szenario sollte nicht von der Verwendung des Stammverzeichnisses abhängig sein.
Nächste Schritte
Stellen Sie mit einem einzelnen Befehl einen Container in Azure bereit. Eine entsprechende Anleitung finden Sie in unserem Schnellstarthandbuch: