Was ist die Subnetzdelegierung?
Mithilfe der Subnetzdelegierung können Sie ein bestimmtes Subnetz für einen Azure-PaaS-Dienst festlegen, der in Ihr virtuelles Netzwerk eingefügt werden muss. Die Subnetzdelegierung bietet dem Kunden volle Kontrolle über die Verwaltung der Integration von Azure-Diensten in ihre virtuellen Netzwerke.
Wenn Sie ein Subnetz an einen Azure-Dienst delegieren, können Sie mit diesem Dienst einige grundlegende Netzwerkkonfigurationsregeln für dieses Subnetz einrichten. So kann der Azure-Dienst die Instanzen stabil betreiben. Dadurch kann der Azure-Dienst einige der folgenden Bedingungen festlegen, die für den Zeitraum vor oder nach der Bereitstellung gelten:
Bereitstellen des Diensts in einem freigegebenen oder dedizierten Subnetz
Hinzufügen einiger Netzwerkzielrichtlinien zum Dienst (nach der Bereitstellung), die für die ordnungsgemäße Funktionsweise des Diensts erforderlich sind
Vorteile der Subnetzdelegierung
Das Delegieren eines Subnetzes an bestimmte Dienste bietet die folgenden Vorteile:
Sie können ein Subnetz für einen oder mehrere Azure-Dienste designieren und die Instanzen im Subnetz gemäß den Anforderungen verwalten. Der Besitzer bzw. die Besitzerin des virtuellen Netzwerks kann beispielsweise die folgenden Richtlinien und Optionen für ein delegiertes Subnetz definieren, um Ressourcen besser verwalten zu können:
Richtlinien für Netzwerkfilterdatenverkehr mit Netzwerksicherheitsgruppen
Routingrichtlinien mit benutzerdefinierten Routen
Dienstintegration mit Dienstendpunktkonfigurationen
Eingefügte Dienste lassen sich besser in das virtuelle Netzwerk integrieren, indem Sie die Voraussetzungen für Bereitstellung in Form von Netzwerkzielrichtlinien festlegen. Mit dieser Richtlinie stellen Sie sicher, dass sämtliche Aktionen, die sich auf die Funktionsweise des eingefügten Diensts auswirken, beim Starttest blockiert werden können.
Wer kann delegieren?
Die Subnetzdelegierung ist eine Übung, die die Besitzer des virtuellen Netzwerks ausführen müssen, um eines der Subnetze für einen bestimmten Azure-Dienst zu designieren. Der Azure-Dienst stellt wiederum die Instanzen in diesem Subnetz für die Nutzung durch die Kundenworkloads bereit.
Auswirkung der Subnetzdelegierung auf Ihr Subnetz
Jeder Azure-Dienst definiert ein eigenes Bereitstellungsmodell, in dem diese definieren können, welche Eigenschaften in einem delegierten Subnetz für das Einfügen unterstützt werden:
freigegebenes Subnetz mit anderen Azure-Diensten oder VMs bzw. VM-Skalierungsgruppen im selben Subnetz (oder ausschließliche Unterstützung eines dedizierten Subnetzes, das nur Instanzen dieses Diensts umfasst)
NSG-Zuordnung zum delegierten Subnetz
Zuordnung von NSGs, die dem delegierten Subnetz zugeordnet sind, zu anderen Subnetzen
Zuordnung von Routingtabellen zum delegierten Subnetz
Zuordnung von NSGs, die dem delegierten Subnetz zugeordnet sind, zu anderen Subnetzen durch die Routingtabelle
Vorgabe der Mindestanzahl von IP-Adressen im delegierten Subnetz
Vorgabe des IP-Adressbereichs im delegierten Subnetz aus dem privaten IP-Adressbereich (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12)
Vorgabe, dass die benutzerdefinierte DNS-Konfiguration einen Azure DNS-Eintrag enthält
Vorgabe, dass die Delegierung entfernt wird, bevor das Subnetz oder virtuelle Netzwerk gelöscht werden kann.
Verwendung mit einem privaten Endpunkt ist nicht möglich, wenn das Subnetz delegiert ist.
Eingefügte Dienste können folgendermaßen auch eigene Richtlinien hinzufügen:
Sicherheitsrichtlinien: Sammlung von Sicherheitsregeln, die für einen bestimmten Dienst erforderlich sind
Routenrichtlinien: Sammlung von Routen, die für einen bestimmten Dienst erforderlich sind
Wofür die Subnetzdelegierung nicht vorgesehen ist
Azure-Dienste, die in ein delegiertes Subnetz eingefügt werden, verfügen weiterhin über die grundlegenden Eigenschaften, die für nicht delegierte Subnetze verfügbar sind, wie z. B.:
Azure-Dienste können Instanzen in Kundensubnetze einfügen, können sich jedoch nicht auf vorhandene Workloads auswirken.
Die von diesen Diensten angewendeten Richtlinien oder Routen sind flexibel und können vom Kunden überschrieben werden.