Co to jest delegowanie podsieci?
Delegowanie podsieci umożliwia wyznaczenie określonej podsieci dla wybranej usługi PaaS platformy Azure, która musi zostać wstrzyknięta do sieci wirtualnej. Delegowanie podsieci zapewnia pełną kontrolę nad klientem w zakresie zarządzania integracją usług platformy Azure z sieciami wirtualnymi.
Gdy delegujesz podsieć do usługi platformy Azure, możesz zezwolić tej usłudze na ustanowienie pewnych podstawowych reguł konfiguracji sieci dla tej podsieci, które ułatwiają usłudze platformy Azure działanie ich wystąpień w stabilny sposób. W związku z tym usługa platformy Azure może ustanowić niektóre z następujących warunków przed wdrożeniem lub po wdrożeniu:
Wdróż usługę w udostępnionej i dedykowanej podsieci.
Dodaj do usługi zestaw zasad intencji sieci po wdrożeniu, który jest wymagany do prawidłowego działania usługi.
Zalety delegowania podsieci
Delegowanie podsieci do określonych usług zapewnia następujące korzyści:
Pomaga wyznaczyć podsieć dla co najmniej jednej usługi platformy Azure i zarządzać wystąpieniami w podsieci zgodnie z wymaganiami. Na przykład właściciel sieci wirtualnej może zdefiniować następujące zasady i opcje dla delegowanej podsieci, aby lepiej zarządzać zasobami:
Filtrowanie ruchu sieciowego przy użyciu sieciowych grup zabezpieczeń.
Zasady routingu z trasami zdefiniowanymi przez użytkownika.
Integracja usług z konfiguracjami punktów końcowych usługi.
Pomaga wprowadzać usługi w celu lepszej integracji z siecią wirtualną, definiując ich warunki wstępne wdrożeń w postaci zasad intencji sieci. Te zasady zapewniają zablokowanie wszelkich akcji, które mogą mieć wpływ na funkcjonowanie wprowadzonej usługi.
Kto może delegować?
Delegowanie podsieci to ćwiczenie, które właściciele sieci wirtualnej muszą wykonać, aby wyznaczyć jedną z podsieci dla określonej usługi platformy Azure. Usługa platformy Azure z kolei wdraża wystąpienia w tej podsieci do użycia przez obciążenia klienta.
Wpływ delegowania podsieci w podsieci
Każda usługa platformy Azure definiuje własny model wdrażania, w którym może zdefiniować, jakie właściwości robią lub nie obsługują w delegowanej podsieci na potrzeby iniekcji w następujący sposób:
Udostępniona podsieć innym usługom platformy Azure lub maszynom wirtualnym/zestawowi skalowania maszyn wirtualnych w tej samej podsieci lub obsługuje tylko dedykowaną podsieć tylko z wystąpieniami tej usługi.
Obsługuje skojarzenie sieciowej grupy zabezpieczeń z delegowanej podsieci.
Obsługuje sieciową grupę zabezpieczeń skojarzona z podsiecią delegowana może być również skojarzona z dowolną inną podsiecią.
Umożliwia skojarzenie tabeli tras z delegowana podsiecią.
Umożliwia skojarzenie tabeli tras skojarzonej z delegowana podsiecią z dowolną inną podsiecią.
Określa minimalną liczbę adresów IP w delegowanej podsieci.
Określa przestrzeń adresów IP w delegowanej podsieci, aby pochodziła z prywatnej przestrzeni adresów IP (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12).
Określa, że niestandardowa konfiguracja DNS ma wpis Azure DNS.
Wymaga usunięcia delegowania przed usunięciem podsieci lub sieci wirtualnej.
Nie można używać z prywatnym punktem końcowym, jeśli podsieć jest delegowana.
Wprowadzone usługi mogą również dodawać własne zasady w następujący sposób:
Zasady zabezpieczeń: kolekcja reguł zabezpieczeń wymaganych do działania danej usługi.
Zasady tras: kolekcja tras wymaganych do działania danej usługi.
Co delegowanie podsieci nie robi
Usługi platformy Azure wprowadzane do delegowanej podsieci nadal mają podstawowy zestaw właściwości, które są dostępne dla niedelegowanych podsieci, takich jak:
Usługi platformy Azure mogą wprowadzać wystąpienia do podsieci klientów, ale nie mogą mieć wpływu na istniejące obciążenia.
Zasady lub trasy stosowane przez te usługi są elastyczne i zastępowane przez klienta.