Aggiungere o rimuovere una delega di subnet

La delega di subnet offre esplicite autorizzazioni per creare le risorse specifiche del servizio nella subnet, tramite un identificatore univoco durante la distribuzione del servizio. Questo articolo descrive come aggiungere o rimuovere una subnet delegata per un servizio di Azure.

Prerequisiti

Portale

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

• Se la subnet da delegare a un servizio di Azure è stata creata da un altro utente, è necessaria l'autorizzazione seguente: Microsoft.Network/virtualNetworks/subnets/write. Anche il ruolo predefinito Collaboratore Rete include le autorizzazioni necessarie.

PowerShell

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

• Se la subnet da delegare a un servizio di Azure è stata creata da un altro utente, è necessaria l'autorizzazione seguente: Microsoft.Network/virtualNetworks/subnets/write. Anche il ruolo predefinito Collaboratore Rete include le autorizzazioni necessarie.

• Azure PowerShell installato in locale o Azure Cloud Shell.

• Accedere ad Azure PowerShell e assicurarsi di aver selezionato la sottoscrizione con cui si intende usare questa funzionalità. Per altre informazioni, vedere Accedere con Azure PowerShell.

• Verificare che il modulo Az.Network sia 4.3.0 o versione successiva. Per verificare il modulo installato, usare il comando Get-InstalledModule -Name "Az.Network". Se il modulo richiede un aggiornamento, usare il comando Update-Module -Name Az.Network, se necessario.

Se si sceglie di installare e usare PowerShell in locale, per questo articolo è necessario il modulo Azure PowerShell 5.4.1 o versione successiva. Eseguire Get-Module -ListAvailable Az per trovare la versione installata. Se è necessario eseguire l'aggiornamento, vedere Installare e configurare Azure PowerShell. Se si esegue PowerShell in locale, è anche necessario eseguire Connect-AzAccount per creare una connessione con Azure.

Interfaccia della riga di comando di Azure

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

• Se la subnet da delegare a un servizio di Azure è stata creata da un altro utente, è necessaria l'autorizzazione seguente: Microsoft.Network/virtualNetworks/subnets/write. Anche il ruolo predefinito Collaboratore Rete include le autorizzazioni necessarie.

• Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.

  

• Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.

  • Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.

  • Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.

  • Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

• Queste procedure dettagliate richiedono la versione 2.31.0 o successiva dell'interfaccia della riga di comando di Azure. Se si usa Azure Cloud Shell, la versione più recente è già installata.

Creare la rete virtuale

In questa sezione viene creata una rete virtuale e la subnet delegata a un servizio di Azure.

Portale

La procedura seguente crea una rete virtuale con una subnet della risorsa.

1. Nel portale cercare e selezionare Reti virtuali.

2. Nella pagina Reti virtuali selezionare + Crea.

3. Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Dettagli di progetto
   Subscription	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare Crea nuovo. Immettere test-rg in Nome. Selezionare OK.
   Dettagli istanza
   Nome	Immettere vnet-1.
   Paese	Selezionare Stati Uniti orientali 2.

   

4. Selezionare Avanti per passare alla scheda Sicurezza.

5. Selezionare Avanti per passare alla scheda Indirizzi IP.

6. Nella casella spazio indirizzi in Subnetselezionare la subnet predefinita.

7. In Modifica subnet immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Scopo della subnet	Lasciare l'impostazione predefinita Predefinito.
   Nome	Immettere subnet-1.

8. Lasciare invariate le impostazioni rimanenti mantenendo le impostazioni predefinite. Seleziona Salva.

   

9. Seleziona Salva.

10. Selezionare Rivedi e crea in fondo allo schermo e, quando la convalida ha esito positivo, selezionare Crea.

PowerShell

Creare un gruppo di risorse

Creare un gruppo di risorse con New-AzResourceGroup. Un gruppo di risorse di Azure è un contenitore logico in cui le risorse di Azure vengono distribuite e gestite.

L'esempio seguente crea un gruppo di risorse denominato test-rg nella località eastus2:

$rg = @{
    Name = 'test-rg'
    Location = 'eastus2'
}  
New-AzResourceGroup @rg

Creare una rete virtuale

Creare una rete virtuale denominata vnet-1 con una subnet denominata subnet-1 usando New-AzVirtualNetworkSubnetConfig in test-rg con New-AzVirtualNetwork.

Lo spazio indirizzi IP per la rete virtuale è 10.0.0.0/16. La subnet all'interno della rete virtuale è 10.0.0.0/24.

$sub = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
}
$subnet = New-AzVirtualNetworkSubnetConfig @sub

$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnet
}
New-AzVirtualNetwork @net

Interfaccia della riga di comando di Azure

Creare un gruppo di risorse

Creare un gruppo di risorse con az group create. Un gruppo di risorse di Azure è un contenitore logico in cui le risorse di Azure vengono distribuite e gestite.

L'esempio seguente crea un gruppo di risorse denominato test-rg nella località eastus2:

az group create \
    --name test-rg \
    --location eastus2

Creare una rete virtuale

Creare una rete virtuale denominata vnet-1 con una subnet denominata subnet-1 in test-rg usando az network vnet create.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

Delegare una subnet a un servizio di Azure

In questa sezione si delegherà la subnet creata nell'esempio precedente a un servizio di Azure.

Portale

1. Accedere al portale di Azure.

2. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.

3. Selezionare vnet-1.

4. In Impostazioni selezionare Subnet.

5. Selezionare subnet-1.

6. Immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   DELEGA SUBNET
   Delega subnet a un servizio	Selezionare il servizio a cui si vuole delegare la subnet. Ad esempio, Microsoft.Sql/managedInstances.

7. Seleziona Salva.

PowerShell

Usare Add-AzDelegation per aggiornare la subnet denominata subnet-1 con una delega denominata myDelegation a un servizio di Azure. Questo esempio usa Microsoft.Sql/managedInstances per la delega di esempio:

$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'subnet-1'
    VirtualNetwork = $vnet
}
$subnet = Get-AzVirtualNetworkSubnetConfig @sub

$del = @{
    Name = 'myDelegation'
    ServiceName = 'Microsoft.Sql/managedInstances'
    Subnet = $subnet
}
$subnet = Add-AzDelegation @del

Set-AzVirtualNetwork -VirtualNetwork $vnet

Usare Get-AzDelegation per verificare la delega:

$sub = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}  
$subnet = Get-AzVirtualNetwork @sub | Get-AzVirtualNetworkSubnetConfig -Name 'subnet-1'

$dg = @{
    Name ='myDelegation'
    Subnet = $subnet
}
Get-AzDelegation @dg

  ProvisioningState : Succeeded
  ServiceName       : Microsoft.Sql/managedInstances
  Actions           : {Microsoft.Network/virtualNetworks/subnets/join/action}
  Name              : myDelegation
  Etag              : W/"9cba4b0e-2ceb-444b-b553-454f8da07d8a"
  Id                : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1/subnets/subnet-1/delegations/myDelegation

Interfaccia della riga di comando di Azure

Usare az network virtual network subnet update per aggiornare la subnet denominata subnet-1 con una delega a un servizio di Azure. Questo esempio usa Microsoft.Sql/managedInstances per la delega di esempio:

az network vnet subnet update \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --delegations Microsoft.Sql/managedInstances

Per verificare che la delega sia stata applicata, usare az network vnet subnet show. Verificare che il servizio sia delegato alla subnet nella proprietà serviceName:

az network vnet subnet show \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --query delegations

[
  {
    "actions": [
      "Microsoft.Network/virtualNetworks/subnets/join/action",
      "Microsoft.Network/virtualNetworks/subnets/prepareNetworkPolicies/action",
      "Microsoft.Network/virtualNetworks/subnets/unprepareNetworkPolicies/action"
    ],
    "etag": "W/\"30184721-8945-4e4f-9cc3-aa16b26589ac\"",
    "id": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1/subnets/subnet-1/delegations/0",
    "name": "0",
    "provisioningState": "Succeeded",
    "resourceGroup": "test-rg",
    "serviceName": "Microsoft.Sql/managedInstances",
    "type": "Microsoft.Network/virtualNetworks/subnets/delegations"
  }
]

Rimuovere la delega della subnet da un servizio di Azure

In questa sezione viene rimossa una delega della subnet per un servizio di Azure.

Portale

1. Accedere al portale di Azure.

2. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.

3. Selezionare vnet-1.

4. In Impostazioni selezionare Subnet.

5. Selezionare subnet-1.

6. Immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   DELEGA SUBNET
   Delega subnet a un servizio	Selezionare Nessuno.

7. Seleziona Salva.

PowerShell

Usare Remove-AzDelegation per rimuovere la delega dalla subnet denominata subnet-1:

$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'subnet-1'
    VirtualNetwork = $vnet
}
$subnet = Get-AzVirtualNetworkSubnetConfig @sub

$del = @{
    Name = 'myDelegation'
    Subnet = $subnet
}
$subnet = Remove-AzDelegation @del

Set-AzVirtualNetwork -VirtualNetwork $vnet

Usare Get-AzDelegation per verificare che la delega sia stata rimossa:

$sub = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}  
$subnet = Get-AzVirtualNetwork @sub | Get-AzVirtualNetworkSubnetConfig -Name 'subnet-1'

$dg = @{
    Name ='myDelegation'
    Subnet = $subnet
}
Get-AzDelegation @dg  

Get-AzDelegation: Sequence contains no matching element

Interfaccia della riga di comando di Azure

Usare az network vnet subnet update per rimuovere la delega dalla subnet denominata subnet-1:

az network vnet subnet update \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --remove delegations

Per verificare che la delega sia stata rimossa, usare az network vnet subnet show. Verificare che il servizio sia stato rimosso dalla subnet nella proprietà serviceName:

az network vnet subnet show \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --query delegations

L'output del comando sono due parentesi quadre Null:

[]

Quando le risorse create non sono più necessarie, è possibile eliminare il gruppo di risorse e tutte le risorse al suo interno.

1. Accedere al portale di Azure e selezionare Gruppi di risorse.

2. Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.

3. Nella pagina test-rg selezionare Elimina gruppo di risorse.

4. Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione, quindi selezionare Elimina.

Passaggi successivi

• Informazioni su come gestire le subnet in Azure.