Поделиться через

Что такое делегирование подсети?

  • Статья

Делегирование подсети позволяет назначить определенную подсеть выбранной службе PaaS Azure, которую необходимо внедрить в виртуальную сеть. Оно также позволяет пользователю получить полный контроль над управлением интеграцией служб Azure в виртуальных сетях.

Делегируя подсеть в службу Azure, вы разрешаете ей настроить некоторые основные правила сетевой конфигурации для этой подсети. Такой подход помогает службе Azure обеспечить стабильную работу с экземплярами. В результате служба Azure может установить некоторые из следующих условий до или после развертывания:

  • Разверните службу в общей и выделенной подсети.

  • Добавьте в службу набор политик намерений сети после развертывания, необходимый для правильной работы службы.

Преимущества делегирования подсети

Делегирование подсети для конкретных служб дает следующие преимущества:

  • Помогает назначить подсеть для одной или нескольких служб Azure и управлять экземплярами в подсети в соответствии с требованиями. Например, владелец виртуальной сети может определить следующие политики и параметры делегированной подсети для более эффективного управления ресурсами:

    • Политики сетевого фильтрации трафика с группами безопасности сети.

    • Политики маршрутизации с определяемыми пользователем маршрутами.

    • Интеграция служб с конфигурациями конечных точек службы.

  • Помогает внедрить службы для лучшей интеграции с виртуальной сетью, определив их предварительные условия развертывания в виде политик намерения сети. Эта политика гарантирует, что любые действия, которые могут повлиять на функционирование внедренной службы, можно заблокировать в PUT.

Кто может выполнять делегирование?

Делегирование подсети — это упражнение, которое владельцы виртуальных сетей должны выполнить, чтобы назначить одну из подсетей определенной службе Azure. Служба Azure, в свою очередь, развертывает экземпляры в этой подсети, предоставляя ее для использования рабочими нагрузками клиентов.

Влияние делегирования подсети на подсеть

Каждая служба Azure определяет собственную модель развертывания, где они могут определить, какие свойства они делают или не поддерживаются в делегированной подсети для целей внедрения следующим образом:

  • Общая подсеть с другими службами Azure или масштабируемым набором виртуальных машин или виртуальной машины в той же подсети или поддерживает только выделенную подсеть с только экземплярами этой службы.

  • Поддерживает связь группы безопасности сети с делегированной подсетью.

  • Поддерживает группу безопасности сети, связанную с делегированной подсетью, также можно связать с любой другой подсетью.

  • Разрешает сопоставление таблиц маршрутов с делегированной подсетью.

  • Позволяет таблице маршрутов, связанной с делегированной подсетью, быть связана с любой другой подсетью.

  • Определяет минимальное количество IP-адресов в делегированной подсети.

  • Определяет пространство IP-адресов в делегированной подсети из частного IP-адреса (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12).

  • Определяет, что настраиваемая конфигурация DNS имеет запись Azure DNS.

  • Требуется удалить делегирование перед удалением подсети или виртуальной сети.

  • Не удается использовать частную конечную точку, если подсеть делегирована.

Внедренные службы также могут добавлять собственные политики, а именно:

  • Политики безопасности. Набор правил безопасности, необходимых для работы этой службы.

  • Политики маршрутов. Набор маршрутов, необходимых для работы этой службы.

Что не делает делегирование подсети

Службы Azure, внедряемые в делегированную подсеть, по-прежнему имеют базовый набор свойств, доступных для неделегированных подсетей, таких как:

  • Службы Azure могут внедрять экземпляры в подсети клиентов, но не могут повлиять на существующие рабочие нагрузки.

  • Политики или маршруты, применяемые этими службами, являются гибкими и переопределены клиентом.

Следующие шаги