Hinzufügen oder Entfernen einer Subnetzdelegierung

Bei der Subnetzdelegierung erhält der Dienst explizite Berechtigungen, um dienstspezifische Ressourcen im Subnetz zu erstellen, indem beim Bereitstellen des Diensts ein eindeutiger Bezeichner verwendet wird. Dieser Artikel beschreibt das Hinzufügen oder Entfernen eines delegierten Subnetzes für einen Azure-Dienst.

Voraussetzungen

Portal

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

• Wenn Sie das Subnetz, das Sie an den Azure-Dienst delegieren möchten, nicht persönlich erstellt haben, benötigen Sie die folgende Berechtigung: Microsoft.Network/virtualNetworks/subnets/write. Die integrierte Rolle Netzwerkmitwirkender enthält ebenfalls die erforderlichen Berechtigungen.

PowerShell

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

• Wenn Sie das Subnetz, das Sie an den Azure-Dienst delegieren möchten, nicht persönlich erstellt haben, benötigen Sie die folgende Berechtigung: Microsoft.Network/virtualNetworks/subnets/write. Die integrierte Rolle Netzwerkmitwirkender enthält ebenfalls die erforderlichen Berechtigungen.

• Azure PowerShell (lokale Installation) oder Azure Cloud Shell.

• Melden Sie sich bei Azure PowerShell an, und stellen Sie sicher, dass Sie das Abonnement ausgewählt haben, mit dem Sie dieses Feature verwenden möchten. Weitere Informationen finden Sie unter Anmelden mit Azure PowerShell.

• Verwenden Sie mindestens Version 4.3.0 des Az.Network-Moduls. Um das installierte Modul zu überprüfen, verwenden Sie den Befehl Get-InstalledModule -Name "Az.Network". Falls das Modul ein Update erfordert, verwenden Sie bei Bedarf den Befehl Update-Module -Name Az.Network.

Wenn Sie PowerShell lokal installieren und verwenden möchten, müssen Sie für diesen Artikel mindestens Version 5.4.1 des Azure PowerShell-Moduls verwenden. Führen Sie Get-Module -ListAvailable Az aus, um die installierte Version zu ermitteln. Wenn Sie ein Upgrade ausführen müssen, finden Sie unter Installieren des Azure PowerShell-Moduls Informationen dazu. Wenn Sie PowerShell lokal ausführen, müssen Sie auch Connect-AzAccount ausführen, um eine Verbindung mit Azure herzustellen.

Azure-Befehlszeilenschnittstelle

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

• Wenn Sie das Subnetz, das Sie an den Azure-Dienst delegieren möchten, nicht persönlich erstellt haben, benötigen Sie die folgende Berechtigung: Microsoft.Network/virtualNetworks/subnets/write. Die integrierte Rolle Netzwerkmitwirkender enthält ebenfalls die erforderlichen Berechtigungen.

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

  • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

• Für diesen Anleitungsartikel ist mindestens Version 2.31.0 der Azure CLI erforderlich. Bei Verwendung von Azure Cloud Shell ist die aktuelle Version bereits installiert.

Erstellen des virtuellen Netzwerks

In diesem Abschnitt erstellen Sie ein virtuelles Netzwerk und das Subnetz, das Sie an einen Azure-Dienst delegieren.

Portal

Mit dem folgenden Verfahren wird ein virtuelles Netzwerk mit einem Ressourcensubnetz erstellt.

1. Suchen Sie im Portal nach der Option Virtuelle Netzwerke und wählen Sie sie aus.

2. Wählen Sie auf der Seite Virtuelle Netzwerke die Option + Erstellen aus.

3. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Projektdetails
   Subscription	Wählen Sie Ihr Abonnement aus.
   Resource group	Wählen Sie Neu erstellen. Geben Sie test-rg für Name ein. Wählen Sie OK aus.
   Instanzendetails
   Name	Geben Sie vnet-1 ein.
   Region	Wählen Sie USA, Osten 2 aus.

   

4. Wählen Sie Weiter aus, um zur Registerkarte Sicherheit zu gelangen.

5. Wählen Sie Weiter aus, um zur Registerkarte IP-Adressen zu gelangen.

6. Wählen Sie im Feld für den Adressraum unter Subnetze das Standardsubnetz aus.

7. Geben Sie unter Subnetz bearbeiten die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Subnetzdetails
   Subnetzvorlage	Übernehmen Sie den Standardwert Default.
   Name	Geben Sie subnet-1 ein.
   Startadresse	Übernehmen Sie den Standardwert 10.0.0.0.
   Subnetzgröße	Übernehmen Sie den Standardwert /24 (256 Adressen).

   

8. Wählen Sie Speichern aus.

9. Wählen Sie am unteren Bildschirmrand Überprüfen + erstellen aus, und wenn die Validierung erfolgreich ist, wählen Sie Erstellen aus.

PowerShell

Erstellen einer Ressourcengruppe

Erstellen Sie eine Ressourcengruppe mit New-AzResourceGroup. Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

Im folgenden Beispiel wird eine Ressourcengruppe mit dem Namen test-rg am Standort eastus2 erstellt:

$rg = @{
    Name = 'test-rg'
    Location = 'eastus2'
}  
New-AzResourceGroup @rg

Virtuelles Netzwerk erstellen

Erstellen Sie mit New-AzVirtualNetwork ein virtuelles Netzwerk namens vnet-1 mit einem Subnetz namens subnet-1 mit New-AzVirtualNetworkSubnetConfig in der Ressourcengruppe test-rg.

Der IP-Adressraum für das virtuelle Netzwerk ist 10.0.0.0/16. Das Subnetz im virtuellen Netzwerk ist 10.0.0.0/24.

$sub = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
}
$subnet = New-AzVirtualNetworkSubnetConfig @sub

$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnet
}
New-AzVirtualNetwork @net

Azure-Befehlszeilenschnittstelle

Erstellen einer Ressourcengruppe

Erstellen Sie eine Ressourcengruppe mit az group create. Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

Im folgenden Beispiel wird eine Ressourcengruppe mit dem Namen test-rg am Standort eastu2 erstellt:

az group create \
    --name test-rg \
    --location eastus2

Erstellen eines virtuellen Netzwerks

Erstellen Sie mit az network vnet create ein virtuelles Netzwerk namens vnet-1 mit einem Subnetz namens subnet-1 in der Ressourcengruppe test-rg.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

Delegieren eines Subnetzes an einen Azure-Dienst

In diesem Abschnitt delegieren Sie das Subnetz, das Sie im vorhergehenden Abschnitt erstellt haben, an einen Azure-Dienst.

Portal

1. Melden Sie sich beim Azure-Portalan.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie vnet-1 aus.

4. Wählen Sie unter Einstellungen die Option Subnetze aus.

5. Wählen Sie subnet-1 aus.

6. Geben Sie die folgenden Informationen an:

   Einstellung	Wert
   SUBNETZDELEGIERUNG
   Delegieren eines Subnetzes an einen Dienst	Wählen Sie den Dienst aus, an den Sie das Subnetz delegieren möchten. Beispiel: Microsoft.Sql/managedInstances.

7. Wählen Sie Speichern.

PowerShell

Verwenden Sie Add-AzDelegation, um das Subnetz namens subnet-1 mit einer Delegierung namens myDelegation an einen Azure-Dienst zu aktualisieren. In diesem Beispiel wird Microsoft.Sql/managedInstances für die Beispieldelegierung verwendet:

$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'subnet-1'
    VirtualNetwork = $vnet
}
$subnet = Get-AzVirtualNetworkSubnetConfig @sub

$del = @{
    Name = 'myDelegation'
    ServiceName = 'Microsoft.Sql/managedInstances'
    Subnet = $subnet
}
$subnet = Add-AzDelegation @del

Set-AzVirtualNetwork -VirtualNetwork $vnet

Überprüfen Sie die Delegierung mithilfe von Get-AzDelegation:

$sub = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}  
$subnet = Get-AzVirtualNetwork @sub | Get-AzVirtualNetworkSubnetConfig -Name 'subnet-1'

$dg = @{
    Name ='myDelegation'
    Subnet = $subnet
}
Get-AzDelegation @dg

  ProvisioningState : Succeeded
  ServiceName       : Microsoft.Sql/managedInstances
  Actions           : {Microsoft.Network/virtualNetworks/subnets/join/action}
  Name              : myDelegation
  Etag              : W/"9cba4b0e-2ceb-444b-b553-454f8da07d8a"
  Id                : /subscriptions/3bf09329-ca61-4fee-88cb-7e30b9ee305b/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1/subnets/subnet-1/delegations/myDelegation

Azure CLI

Verwenden Sie az network virtual network subnet update, um das Subnetz namens subnet-1 mit einer Delegierung an einen Azure-Dienst zu aktualisieren. In diesem Beispiel wird Microsoft.Sql/managedInstances für die Beispieldelegierung verwendet:

az network vnet subnet update \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --delegations Microsoft.Sql/managedInstances

Verwenden Sie az network vnet subnet show, um zu überprüfen, ob die Delegierung angewendet wurde. Überprüfen Sie in der Eigenschaft serviceName, ob der Dienst an das Subnetz delegiert wurde:

az network vnet subnet show \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --query delegations

[
  {
    "actions": [
      "Microsoft.Network/virtualNetworks/subnets/join/action",
      "Microsoft.Network/virtualNetworks/subnets/prepareNetworkPolicies/action",
      "Microsoft.Network/virtualNetworks/subnets/unprepareNetworkPolicies/action"
    ],
    "etag": "W/\"30184721-8945-4e4f-9cc3-aa16b26589ac\"",
    "id": "/subscriptions/23250d6d-28f0-41dd-9776-61fc80805b6e/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1/subnets/subnet-1/delegations/0",
    "name": "0",
    "provisioningState": "Succeeded",
    "resourceGroup": "test-rg",
    "serviceName": "Microsoft.Sql/managedInstances",
    "type": "Microsoft.Network/virtualNetworks/subnets/delegations"
  }
]

Entfernen einer Subnetzdelegierung aus einem Azure-Dienst

In diesem Abschnitt entfernen Sie eine Subnetzdelegierung für einen Azure-Dienst.

Portal

1. Melden Sie sich beim Azure-Portalan.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie vnet-1 aus.

4. Wählen Sie unter Einstellungen die Option Subnetze aus.

5. Wählen Sie subnet-1 aus.

6. Geben Sie die folgenden Informationen an:

   Einstellung	Wert
   SUBNETZDELEGIERUNG
   Delegieren eines Subnetzes an einen Dienst	Wählen Sie Keine.

7. Wählen Sie Speichern.

PowerShell

Verwenden Sie Remove-AzDelegation, um die Delegierung aus dem Subnetz subnet-1 zu entfernen:

$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'subnet-1'
    VirtualNetwork = $vnet
}
$subnet = Get-AzVirtualNetworkSubnetConfig @sub

$del = @{
    Name = 'myDelegation'
    Subnet = $subnet
}
$subnet = Remove-AzDelegation @del

Set-AzVirtualNetwork -VirtualNetwork $vnet

Überprüfen Sie mithilfe von Get-AzDelegation, ob die Delegierung entfernt wurde:

$sub = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}  
$subnet = Get-AzVirtualNetwork @sub | Get-AzVirtualNetworkSubnetConfig -Name 'subnet-1'

$dg = @{
    Name ='myDelegation'
    Subnet = $subnet
}
Get-AzDelegation @dg  

Get-AzDelegation: Sequence contains no matching element

Azure-Befehlszeilenschnittstelle

Verwenden Sie az network vnet subnet update, um die Delegierung aus dem Subnetz subnet-1 zu entfernen:

az network vnet subnet update \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --remove delegations

Überprüfen Sie mithilfe von az network vnet subnet show, ob die Delegierung entfernt wurde. Überprüfen Sie in der Eigenschaft serviceName, ob der Dienst aus dem Subnetz entfernt wurde:

az network vnet subnet show \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --query delegations

Die Ausgabe des Befehls ist ein leeres eckiges Klammerpaar:

[]

Bereinigen von Ressourcen

Wenn Sie mit der Verwendung der von Ihnen erstellten Ressourcen fertig sind, können Sie die Ressourcengruppe und alle zugehörigen Ressourcen löschen:

1. Suchen Sie im Azure-Portal nach Ressourcengruppen, und wählen Sie die entsprechende Option aus.

2. Wählen Sie auf der Seite Ressourcengruppen die Ressourcengruppe test-rg aus.

3. Wählen Sie auf der Seite test-rg die Option Ressourcengruppe löschen aus.

4. Geben Sie unter Ressourcengruppennamen eingeben, um die Löschung zu bestätigen den Wert test-rg ein, und wählen Sie dann Löschen aus.

Nächste Schritte

• Informationen zum Verwalten von Subnetzen in Azure.