Co je delegování podsítě?
Delegování podsítě vám umožňuje určit libovolnou konkrétní podsíť pro službu Azure PaaS, kterou chcete vložit do vaší virtuální sítě. Delegování podsítě poskytuje zákazníkovi úplnou kontrolu nad správou integrace služeb Azure do jeho virtuálních sítí.
Když delegujete podsíť na službu Azure, umožníte této službě vytvořit některá základní pravidla konfigurace sítě pro danou podsíť, která pomáhají službě Azure provozovat jejich instance stabilním způsobem. V důsledku toho může služba Azure stanovit některé z následujících podmínek před nebo po nasazení:
Nasaďte službu ve sdílené a vyhrazené podsíti.
Po nasazení přidejte do služby sadu zásad záměru sítě, které jsou potřeba k tomu, aby služba správně fungovala.
Výhody delegování podsítě
Delegování podsítě na konkrétní služby přináší následující výhody:
Pomáhá určit podsíť pro jednu nebo více služeb Azure a spravovat instance v podsíti podle požadavků. Vlastník virtuální sítě může například definovat následující zásady a možnosti pro delegovanou podsíť, aby bylo možné lépe spravovat prostředky:
Zásady provozu filtrování sítě se skupinami zabezpečení sítě.
Zásady směrování s trasami definovanými uživatelem.
Integrace služeb s konfiguracemi koncových bodů služby
Pomáhá vloženým službám lépe integrovat s virtuální sítí tím, že definuje jejich předběžné podmínky nasazení ve formě zásad záměru sítě. Tato zásada zajišťuje, že všechny akce, které můžou ovlivnit fungování vložené služby, můžou být na PUT blokované.
Kdo může delegovat?
Delegování podsítě je cvičení, které musí vlastníci virtuální sítě provést, aby určili jednu z podsítí pro konkrétní službu Azure. Služba Azure zase nasadí instance do této podsítě, aby je spotřebovály úlohy zákazníka.
Vliv delegování podsítě na vaši podsíť
Každá služba Azure definuje svůj vlastní model nasazení, kde může definovat, jaké vlastnosti provádí nebo nepodporuje v delegované podsíti pro účely injektáže, a to následujícím způsobem:
Sdílená podsíť s jinými službami Azure nebo škálovací sadou virtuálních počítačů nebo virtuálních počítačů ve stejné podsíti nebo podporuje pouze vyhrazenou podsíť, ve které jsou pouze instance této služby.
Podporuje přidružení skupiny zabezpečení sítě k delegovanou podsíti.
Podpora skupiny zabezpečení sítě přidružená k delegované podsíti může být přidružená také k jakékoli jiné podsíti.
Umožňuje přidružení směrovací tabulky k delegovanou podsíti.
Umožňuje přidružení směrovací tabulky přidružené k delegované podsíti k jakékoli jiné podsíti.
Určuje minimální počet IP adres v delegovaném podsíti.
Určuje adresní prostor IP adres v delegovaném podsíti z adresního prostoru privátních IP adres (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12).
Určuje, že vlastní konfigurace DNS obsahuje položku Azure DNS.
Před odstraněním podsítě nebo virtuální sítě vyžaduje odebrání delegování.
Pokud je podsíť delegovaná, nedá se použít s privátním koncovým bodem.
Vložené služby můžou také následujícím způsobem přidávat vlastní zásady:
Zásady zabezpečení: Kolekce pravidel zabezpečení vyžadovaných k tomu, aby daná služba fungovala.
Zásady směrování: Kolekce tras potřebných k tomu, aby daná služba fungovala.
Co delegování podsítě nedělá
Služby Azure vložené do delegované podsítě stále mají základní sadu vlastností, které jsou k dispozici pro nedelegované podsítě, například:
Služby Azure můžou vkládat instance do podsítí zákazníka, ale nemůžou ovlivnit stávající úlohy.
Zásady nebo trasy, které tyto služby používají, jsou flexibilní a zákazník je přepisuje.