O que é delegação de sub-rede?
A delegação de sub-rede permite que você designe uma sub-rede específica para um serviço PaaS do Azure de sua escolha que precisa ser injetado em sua rede virtual. A delegação de sub-rede fornece controle total ao cliente sobre o gerenciamento da integração dos serviços do Azure em suas redes virtuais.
Ao delegar uma sub-rede a um serviço do Azure, você permite que esse serviço estabeleça algumas regras básicas de configuração de rede para essa sub-rede, que ajudam o serviço do Azure a operar suas instâncias de maneira estável. Como resultado, o serviço do Azure pode estabelecer algumas das seguintes condições pré ou pós-implantação:
Implante o serviço em uma sub-rede compartilhada versus dedicada.
Adicione ao serviço um conjunto de Políticas de Intenção de Rede após a implantação que é necessário para que o serviço funcione corretamente.
Vantagens da delegação de sub-redes
Delegar uma sub-rede a serviços específicos oferece as seguintes vantagens:
Ajuda a designar uma sub-rede para um ou mais serviços do Azure e a gerir as instâncias na sub-rede de acordo com os requisitos. Por exemplo, o proprietário da rede virtual pode definir as seguintes políticas e opções para uma sub-rede delegada para gerenciar melhor os recursos:
Políticas de tráfego de filtragem de rede com grupos de segurança de rede.
Políticas de roteamento com rotas definidas pelo usuário.
Integração de serviços com configurações de pontos de extremidade de serviço.
Ajuda os serviços injetados a se integrarem melhor à rede virtual, definindo suas pré-condições de implantações na forma de Políticas de Intenção de Rede. Esta política garante que quaisquer ações que possam afetar o funcionamento do serviço injetado possam ser bloqueadas no PUT.
Quem pode delegar?
A delegação de sub-rede é um exercício que os proprietários da rede virtual precisam executar para designar uma das sub-redes para um Serviço do Azure específico. O Serviço do Azure, por sua vez, implanta as instâncias nessa sub-rede para consumo pelas cargas de trabalho do cliente.
Efeito da delegação de sub-rede na sua sub-rede
Cada serviço do Azure define seu próprio modelo de implantação, onde eles podem definir quais propriedades oferecem ou não suporte em uma sub-rede delegada para fins de injeção da seguinte maneira:
Sub-rede partilhada com outros Serviços do Azure ou escala de VM/máquina virtual definida na mesma sub-rede, ou apenas suporta uma sub-rede dedicada com apenas instâncias deste serviço na mesma.
Suporta associação NSG com a sub-rede delegada.
Suporta NSG associado à sub-rede delegada também pode ser associado a qualquer outra sub-rede.
Permite a associação da tabela de rotas com a sub-rede delegada.
Permite que a tabela de rotas associada à sub-rede delegada seja associada a qualquer outra sub-rede.
Dita o número mínimo de endereços IP na sub-rede delegada.
Determina que o espaço de Endereço IP na sub-rede delegada seja do espaço de Endereço IP Privado (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12).
Determina que a configuração de DNS personalizada tem uma entrada DNS do Azure.
Requer que a delegação seja removida antes que a sub-rede ou a rede virtual possa ser excluída.
Não pode ser usado com um ponto de extremidade privado se a sub-rede for delegada.
Os serviços injetados também podem adicionar suas próprias políticas da seguinte maneira:
Políticas de segurança: Conjunto de regras de segurança necessárias para que um determinado serviço funcione.
Políticas de rota: Conjunto de rotas necessárias para que um determinado serviço funcione.
O que a delegação de sub-rede não faz
Os serviços do Azure que estão sendo injetados em uma sub-rede delegada ainda têm o conjunto básico de propriedades que estão disponíveis para sub-redes não delegadas, como:
Os serviços do Azure podem injetar instâncias em sub-redes de clientes, mas não podem afetar as cargas de trabalho existentes.
As políticas ou rotas que esses serviços aplicam são flexíveis e substituídas pelo cliente.