Aggiungere o rimuovere una delega di subnet

Articolo
08/24/2023

La delega di subnet offre esplicite autorizzazioni per creare le risorse specifiche del servizio nella subnet, tramite un identificatore univoco durante la distribuzione del servizio. Questo articolo descrive come aggiungere o rimuovere una subnet delegata per un servizio di Azure.

Prerequisiti

Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Se non è stata creata la subnet da delegare a un servizio di Azure, è necessaria l'autorizzazione seguente: Microsoft.Network/virtualNetworks/subnets/write. Il ruolo Collaboratore rete predefinito contiene anche le autorizzazioni necessarie.

Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Se non è stata creata la subnet da delegare a un servizio di Azure, è necessaria l'autorizzazione seguente: Microsoft.Network/virtualNetworks/subnets/write. Il ruolo Collaboratore rete predefinito contiene anche le autorizzazioni necessarie.
Azure PowerShell installato in locale o Cloud Shell di Azure.
Accedere a Azure PowerShell e assicurarsi di aver selezionato la sottoscrizione con cui si vuole usare questa funzionalità. Per altre informazioni, vedere Accedere con Azure PowerShell.
Verificare che il Az.Network modulo sia 4.3.0 o versione successiva. Per verificare il modulo installato, usare il comando Get-InstalledModule -Name "Az.Network". Se il modulo richiede un aggiornamento, usare il comando Update-Module -Name Az.Network , se necessario.

Se si sceglie di installare e usare PowerShell in locale, per questo articolo è necessario il modulo Azure PowerShell 5.4.1 o versione successiva. Eseguire Get-Module -ListAvailable Az per trovare la versione installata. Se è necessario eseguire l'aggiornamento, vedere Installare e configurare Azure PowerShell. Se si esegue PowerShell in locale, è anche necessario eseguire Connect-AzAccount per creare una connessione con Azure.

Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Se non è stata creata la subnet da delegare a un servizio di Azure, è necessaria l'autorizzazione seguente: Microsoft.Network/virtualNetworks/subnets/write. Il ruolo Collaboratore rete predefinito contiene anche le autorizzazioni necessarie.

Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido per Bash in Azure Cloud Shell.
Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.
- Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere con l'interfaccia della riga di comando di Azure.
- Quando richiesto, installare l'estensione dell'interfaccia della riga di comando di Azure al primo uso. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.
- Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

Questo articolo sulle procedure richiede la versione 2.31.0 o successiva dell'interfaccia della riga di comando di Azure. Se si usa Azure Cloud Shell, la versione più recente è già installata.

Creare la rete virtuale

In questa sezione viene creata una rete virtuale e la subnet delegata a un servizio di Azure.

La procedura seguente crea una rete virtuale con una subnet di risorse.

Nel portale cercare e selezionare Reti virtuali.
Nella pagina Reti virtuali selezionare + Crea.

Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:

Impostazione	valore
Dettagli del progetto
Subscription	Selezionare la propria sottoscrizione.
Resource group	Selezionare Crea nuovo. Immettere test-rg in Nome. Selezionare OK.
Dettagli istanza
Nome	Immettere vnet-1.
Region	Selezionare Stati Uniti orientali 2.

Selezionare Avanti per passare alla scheda Sicurezza .
Selezionare Avanti per passare alla scheda Indirizzi IP .
Nella casella Spazio indirizzi in Subnet selezionare la subnet predefinita .

In Modifica subnet immettere o selezionare le informazioni seguenti:

Impostazione	Valore
Dettagli subnet
Modello di subnet	Lasciare il valore predefinito Predefinito.
Nome	Immettere subnet-1.
Indirizzo iniziale	Lasciare il valore predefinito 10.0.0.0.
Dimensioni della subnet	Lasciare il valore predefinito /24(256 indirizzi).

Screenshot della ridenominazione e della configurazione della subnet predefinita.

Selezionare Salva.
Selezionare Rivedi e crea nella parte inferiore della schermata e, al termine della convalida, selezionare Crea.

Creare un gruppo di risorse

Creare un gruppo di risorse con New-AzResourceGroup. Un gruppo di risorse di Azure è un contenitore logico in cui le risorse di Azure vengono distribuite e gestite.

L'esempio seguente crea un gruppo di risorse denominato test-rg nella località eastus2 :

$rg = @{
    Name = 'test-rg'
    Location = 'eastus2'
}  
New-AzResourceGroup @rg

Creare una rete virtuale

Creare una rete virtuale denominata vnet-1 con una subnet denominata subnet-1 usando New-AzVirtualNetworkSubnetConfig in test-rg usando New-AzVirtualNetwork.

Lo spazio indirizzi IP per la rete virtuale è 10.0.0.0/16. La subnet all'interno della rete virtuale è 10.0.0.0/24.

$sub = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
}
$subnet = New-AzVirtualNetworkSubnetConfig @sub

$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnet
}
New-AzVirtualNetwork @net

Creare un gruppo di risorse

Creare un gruppo di risorse con az group create. Un gruppo di risorse di Azure è un contenitore logico in cui le risorse di Azure vengono distribuite e gestite.

L'esempio seguente crea un gruppo di risorse denominato test-rg nella località eastu2 :

az group create \
    --name test-rg \
    --location eastus2

Creare una rete virtuale

Creare una rete virtuale denominata vnet-1 con una subnet denominata subnet-1 nel test-rg usando az network vnet create.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

Delegare una subnet a un servizio di Azure

In questa sezione si delega la subnet creata nella sezione precedente a un servizio di Azure.

Accedere al portale di Azure.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Selezionare vnet-1.
Selezionare Subnet in Impostazioni.
Selezionare subnet-1.
Immettere o selezionare le informazioni seguenti:

Impostazione Valore

DELEGA SUBNET

Delegare la subnet a un servizio Selezionare il servizio a cui si vuole delegare la subnet. Ad esempio, Microsoft.Sql/managedInstances.
Selezionare Salva.

Impostazione	Valore
DELEGA SUBNET
Delegare la subnet a un servizio	Selezionare il servizio a cui si vuole delegare la subnet. Ad esempio, Microsoft.Sql/managedInstances.

Usare Add-AzDelegation per aggiornare la subnet denominata subnet-1 con una delega denominata myDelegation a un servizio di Azure. In questo esempio Viene usata Microsoft.Sql/managedInstances per la delega di esempio:

$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'subnet-1'
    VirtualNetwork = $vnet
}
$subnet = Get-AzVirtualNetworkSubnetConfig @sub

$del = @{
    Name = 'myDelegation'
    ServiceName = 'Microsoft.Sql/managedInstances'
    Subnet = $subnet
}
$subnet = Add-AzDelegation @del

Set-AzVirtualNetwork -VirtualNetwork $vnet

Usare Get-AzDelegation per verificare la delega:

$sub = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}  
$subnet = Get-AzVirtualNetwork @sub | Get-AzVirtualNetworkSubnetConfig -Name 'subnet-1'

$dg = @{
    Name ='myDelegation'
    Subnet = $subnet
}
Get-AzDelegation @dg

  ProvisioningState : Succeeded
  ServiceName       : Microsoft.Sql/managedInstances
  Actions           : {Microsoft.Network/virtualNetworks/subnets/join/action}
  Name              : myDelegation
  Etag              : W/"9cba4b0e-2ceb-444b-b553-454f8da07d8a"
  Id                : /subscriptions/3bf09329-ca61-4fee-88cb-7e30b9ee305b/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1/subnets/subnet-1/delegations/myDelegation

Usare az network virtual network subnet update per aggiornare la subnet denominata subnet-1 con una delega a un servizio di Azure. In questo esempio Viene usata Microsoft.Sql/managedInstances per la delega di esempio:

az network vnet subnet update \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --delegations Microsoft.Sql/managedInstances

Per verificare che la delega sia stata applicata, usare az network vnet subnet show. Verificare che il servizio sia delegato alla subnet nella proprietà serviceName:

az network vnet subnet show \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --query delegations

[
  {
    "actions": [
      "Microsoft.Network/virtualNetworks/subnets/join/action",
      "Microsoft.Network/virtualNetworks/subnets/prepareNetworkPolicies/action",
      "Microsoft.Network/virtualNetworks/subnets/unprepareNetworkPolicies/action"
    ],
    "etag": "W/\"30184721-8945-4e4f-9cc3-aa16b26589ac\"",
    "id": "/subscriptions/23250d6d-28f0-41dd-9776-61fc80805b6e/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1/subnets/subnet-1/delegations/0",
    "name": "0",
    "provisioningState": "Succeeded",
    "resourceGroup": "test-rg",
    "serviceName": "Microsoft.Sql/managedInstances",
    "type": "Microsoft.Network/virtualNetworks/subnets/delegations"
  }
]

Rimuovere la delega della subnet da un servizio di Azure

In questa sezione viene rimossa una delega di subnet per un servizio di Azure.

Accedere al portale di Azure.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Selezionare vnet-1.
Selezionare Subnet in Impostazioni.
Selezionare subnet-1.
Immettere o selezionare le informazioni seguenti:

Impostazione Valore

DELEGA SUBNET

Delegare la subnet a un servizio Selezionare Nessuno.
Selezionare Salva.

Impostazione	Valore
DELEGA SUBNET
Delegare la subnet a un servizio	Selezionare Nessuno.

Usare Remove-AzDelegation per rimuovere la delega dalla subnet denominata subnet-1:

$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'subnet-1'
    VirtualNetwork = $vnet
}
$subnet = Get-AzVirtualNetworkSubnetConfig @sub

$del = @{
    Name = 'myDelegation'
    Subnet = $subnet
}
$subnet = Remove-AzDelegation @del

Set-AzVirtualNetwork -VirtualNetwork $vnet

Usare Get-AzDelegation per verificare che la delega sia stata rimossa:

$sub = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}  
$subnet = Get-AzVirtualNetwork @sub | Get-AzVirtualNetworkSubnetConfig -Name 'subnet-1'

$dg = @{
    Name ='myDelegation'
    Subnet = $subnet
}
Get-AzDelegation @dg

Get-AzDelegation: Sequence contains no matching element

Usare az network vnet subnet update per rimuovere la delega dalla subnet denominata subnet-1:

az network vnet subnet update \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --remove delegations

Per verificare che la delega sia stata rimossa, usare az network vnet subnet show. Verificare che il servizio sia stato rimosso dalla subnet nella proprietà serviceName:

az network vnet subnet show \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --query delegations

L'output del comando è una parentesi null:

[]

Pulire le risorse

Al termine dell'uso delle risorse create, è possibile eliminare il gruppo di risorse e tutte le relative risorse.

Accedere al portale di Azure e selezionare Gruppi di risorse.
Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg .
Nella pagina test-rg selezionare Elimina gruppo di risorse.
Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione e selezionare Elimina.

Passaggi successivi

Informazioni su come gestire le subnet in Azure.