Wat is subnetdelegering?
Met subnetdelegering kunt u een specifiek subnet aanwijzen voor een Azure PaaS-service van uw keuze die moet worden opgenomen in uw virtuele netwerk. Subnetdelegering biedt de klant volledige controle over het beheren van de integratie van Azure-services in hun virtuele netwerken.
Wanneer u een subnet delegeert aan een Azure-service, stelt u die service in staat om enkele basisregels voor netwerkconfiguratie voor dat subnet vast te stellen, zodat de Azure-service hun exemplaren op een stabiele manier kan uitvoeren. Als gevolg hiervan kan de Azure-service enkele van de volgende voorwaarden vóór of na de implementatie vaststellen:
Implementeer de service in een gedeeld versus toegewezen subnet.
Voeg een set netwerkintentiebeleid toe aan de service na de implementatie die nodig is om de service goed te laten werken.
Voordelen van subnetdelegering
Het delegeren van een subnet aan specifieke services biedt de volgende voordelen:
Helpt bij het aanwijzen van een subnet voor een of meer Azure-services en het beheren van de exemplaren in het subnet volgens de vereisten. De eigenaar van het virtuele netwerk kan bijvoorbeeld het volgende beleid en de opties voor een gedelegeerd subnet definiëren om resources beter te beheren:
Netwerkfiltering van verkeersbeleid met netwerkbeveiligingsgroepen.
Routeringsbeleid met door de gebruiker gedefinieerde routes.
Services-integratie met configuraties van service-eindpunten.
Helpt geïnjecteerde services om beter te integreren met het virtuele netwerk door hun voorwaarden voor implementaties te definiëren in de vorm van beleid voor netwerkintentie. Dit beleid zorgt ervoor dat acties die van invloed kunnen zijn op de werking van de geïnjecteerde service, kunnen worden geblokkeerd bij PUT.
Wie kan delegeren?
Subnetdelegering is een oefening die de eigenaren van virtuele netwerken moeten uitvoeren om een van de subnetten voor een specifieke Azure-service aan te wijzen. Azure Service implementeert op zijn beurt de exemplaren in dit subnet voor verbruik door de workloads van de klant.
Effect van subnetdelegering op uw subnet
Elke Azure-service definieert hun eigen implementatiemodel, waar ze kunnen definiëren welke eigenschappen ze doen of niet ondersteunen in een gedelegeerd subnet voor injectiedoeleinden:
Gedeeld subnet met andere Azure Services of VM/virtuele-machineschaalset in hetzelfde subnet, of het ondersteunt alleen een toegewezen subnet met alleen exemplaren van deze service.
Ondersteunt NSG-koppeling met het gedelegeerde subnet.
Ondersteunt NSG die is gekoppeld aan het gedelegeerde subnet, kan ook worden gekoppeld aan elk ander subnet.
Hiermee staat u de koppeling van de routetabel met het gedelegeerde subnet toe.
Hiermee kan de routetabel die aan het gedelegeerde subnet is gekoppeld, worden gekoppeld aan elk ander subnet.
Hiermee bepaalt u het minimumaantal IP-adressen in het gedelegeerde subnet.
Hiermee bepaalt u dat de IP-adresruimte in het gedelegeerde subnet afkomstig is van de privé-IP-adresruimte (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12).
Dicteert dat de aangepaste DNS-configuratie een Azure DNS-vermelding heeft.
Vereist dat delegatie wordt verwijderd voordat het subnet of het virtuele netwerk kan worden verwijderd.
Kan niet worden gebruikt met een privé-eindpunt als het subnet is gedelegeerd.
Geïnjecteerde services kunnen ook hun eigen beleid als volgt toevoegen:
Beveiligingsbeleid: verzameling van beveiligingsregels die vereist zijn om een bepaalde service te laten werken.
Routebeleid: verzameling van routes die vereist zijn voor een bepaalde service om te kunnen werken.
Wat subnetdelegering niet doet
De Azure-services die worden geïnjecteerd in een gedelegeerd subnet, hebben nog steeds de basisset eigenschappen die beschikbaar zijn voor niet-gedelegeerde subnetten, zoals:
Azure-services kunnen exemplaren injecteren in klantsubnetten, maar kunnen geen invloed hebben op de bestaande workloads.
De beleidsregels of routes waarop deze services van toepassing zijn, zijn flexibel en overschreven door de klant.