Qu’est-ce que la délégation de sous-réseau ?
La délégation de sous-réseau vous permet de désigner un sous-réseau spécifique pour un service PaaS Azure de votre choix qui doit être injecté dans votre réseau virtuel. La délégation de sous-réseau offre un contrôle total au client sur la gestion de l’intégration des services Azure à ses réseaux virtuels.
Lorsque vous déléguez un sous-réseau à un service Azure, vous permettez à ce service d’établir des règles de configuration de réseau de base pour ce sous-réseau, ce qui permet au service Azure de faire fonctionner ses instances de manière stable. Par conséquent, le service Azure peut établir certaines des conditions pré- ou post-déploiement suivantes :
Déployer le service dans un sous-réseau partagé versus dédié.
Ajouter au service, après le déploiement, un ensemble de stratégies d’intention de réseau requis pour que le service fonctionne correctement.
Avantages de la délégation de sous-réseau
La délégation d’un sous-réseau à des services spécifiques offre les avantages suivants :
Cela permet de désigner un sous-réseau pour un ou plusieurs services Azure et de gérer les instances dans le sous-réseau conformément aux exigences. Par exemple, le propriétaire du réseau virtuel peut définir les stratégies et options suivantes pour un sous-réseau délégué afin d’améliorer la gestion des ressources :
Stratégies de filtrage du trafic réseau avec les groupes de sécurité réseau.
Stratégies de routage avec des itinéraires définis par l’utilisateur.
Intégration de services aux configurations des points de terminaison de service.
Cela permet aux services injectés de mieux intégrer le réseau virtuel en définissant les conditions préalables aux déploiements sous la forme de stratégies d’intention de réseau. Cette stratégie garantit que toutes les actions susceptibles d’affecter le fonctionnement du service injecté peuvent être bloquées au moment de l’opération PUT.
Qui peut déléguer ?
La délégation de sous-réseau est un exercice que les propriétaires de réseau virtuel doivent effectuer pour désigner un des sous-réseaux pour un service Azure spécifique. Le service Azure déploie ensuite les instances dans ce sous-réseau à des fins de consommation par les charges de travail des clients.
Effet de la délégation de sous-réseau sur votre sous-réseau
Chaque service Azure définit son propre modèle de déploiement, dans lequel il peut définir les propriétés qu’il prend ou ne prend pas en charge dans un sous-réseau délégué à des fins d’injection, comme suit :
Il prend en charge un sous-réseau partagé avec d’autres services ou machines virtuelles/groupes de machines virtuelles identiques Azure dans le même sous-réseau, ou uniquement un sous-réseau dédié avec uniquement des instances de ce service.
Il prend en charge l’association NSG avec le sous-réseau délégué.
Il prend en charge le fait que le NSG associé au sous-réseau délégué peut également être associé à n’importe quel autre sous-réseau.
Il assure l’association de tables de routage avec le sous-réseau délégué.
Il permet à la table de routage associée au sous-réseau délégué d’être associée à n’importe quel autre sous-réseau.
Il détermine le nombre minimal d’adresses IP dans le sous-réseau délégué.
Il indique que l’espace d’adressage IP dans le sous-réseau délégué doit provenir de l’espace d’adressage IP privé (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12).
Il exige que la configuration DNS personnalisée dispose d’une entrée Azure DNS.
Il exige que la délégation soit supprimée avant que le sous-réseau ou le réseau virtuel puisse être supprimé.
Il ne peut pas être utilisé avec un point de terminaison privé si le sous-réseau est délégué.
Les services injectés peuvent également ajouter leurs propres stratégies comme suit :
Stratégies de sécurité : Collection de règles de sécurité requises pour le fonctionnement d’un service donné.
Stratégies de routage : Collection d’itinéraires requis pour le fonctionnement d’un service donné.
Actions que la délégation de sous-réseau ne réalise pas
Les services Azure qui sont injectés dans un sous-réseau délégué disposent toujours de l’ensemble de propriétés de base qui sont disponibles pour les sous-réseaux non délégués, par exemple :
Les services Azure peuvent injecter des instances dans les sous-réseaux des clients, mais ils ne peuvent pas affecter les charges de travail existantes.
Les stratégies ou itinéraires que ces services appliquent sont flexibles et peuvent être remplacés par le client.