Что такое делегирование подсети?
Делегирование подсети позволяет назначить определенную подсеть выбранной службе PaaS Azure, которую необходимо внедрить в виртуальную сеть. Оно также позволяет пользователю получить полный контроль над управлением интеграцией служб Azure в виртуальных сетях.
Делегируя подсеть в службу Azure, вы разрешаете ей настроить некоторые основные правила сетевой конфигурации для этой подсети. Такой подход помогает службе Azure обеспечить стабильную работу с экземплярами. В результате служба Azure может установить некоторые из следующих условий до или после развертывания:
Разверните службу в общей или выделенной подсети.
Добавьте в службу набор политик сетевых намерений после развертывания, необходимых для правильной работы службы.
Преимущества делегирования подсети
Делегирование подсети для конкретных служб дает следующие преимущества:
Помогает назначить подсеть для одной или нескольких служб Azure и управлять экземплярами в подсети в соответствии с требованиями. Например, владелец виртуальной сети может определить следующие политики и параметры для делегированной подсети для более эффективного управления ресурсами:
Политики сетевой фильтрации трафика с помощью групп безопасности сети.
Политики маршрутизации с определяемыми пользователем маршрутами.
Интеграция служб с конфигурациями конечных точек служб.
Помогает внедрить службы для лучшей интеграции с виртуальной сетью, определяя их предварительные условия развертывания в виде политик намерения сети. Эта политика гарантирует, что любые действия, которые могут повлиять на работу внедренной службы, могут быть заблокированы в PUT.
Кто может выполнять делегирование?
Делегирование подсети — это упражнение, которое владельцы виртуальных сетей должны выполнить, чтобы назначить одну из подсетей определенной службе Azure. Служба Azure, в свою очередь, развертывает экземпляры в этой подсети, предоставляя ее для использования рабочими нагрузками клиентов.
Влияние делегирования подсети на подсеть
Каждая служба Azure определяет собственную модель развертывания, в которой можно определить, какие свойства они выполняют или не поддерживают в делегированной подсети для внедрения, как показано ниже.
Общая подсеть с другими службами Azure, виртуальными машинами или масштабируемым набором виртуальных машин в той же подсети или поддерживает только выделенную подсеть, в которой есть только экземпляры этой службы.
Поддерживает связь NSG с делегированной подсетью.
Поддержка группы безопасности сети, связанной с делегированной подсетью, также может быть связана с любой другой подсетью.
Разрешает сопоставление таблицы маршрутов с делегированной подсетью.
Позволяет связать таблицу маршрутов, связанную с делегированной подсетью, с любой другой подсетью.
Определяет минимальное количество IP-адресов в делегированной подсети.
Определяет пространство IP-адресов в делегированной подсети из пространства частных IP-адресов (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12).
Определяет, что настраиваемая конфигурация DNS содержит запись Azure DNS.
Требует удаления делегирования перед удалением подсети или виртуальной сети.
Нельзя использовать с частной конечной точкой, если подсеть делегирована.
Внедренные службы также могут добавлять собственные политики, а именно:
Политики безопасности. Набор правил безопасности, необходимых для работы этой службы.
Политики маршрутов. Набор маршрутов, необходимых для работы этой службы.
Что не выполняет делегирование подсети
Службы Azure, внедряемые в делегированную подсеть, по-прежнему имеют базовый набор свойств, доступных для неделегированных подсетей, например:
Службы Azure могут внедрять экземпляры в клиентские подсети, но не могут влиять на существующие рабочие нагрузки.
Политики или маршруты, применяемые этими службами, являются гибкими и переопределяются клиентом.