Wat is subnetdelegering?
Met subnetdelegatie kunt u een specifiek subnet aanwijzen voor een Azure PaaS-service van uw keuze die in uw virtuele netwerk moet worden geïnjecteerd. Subnetdelegering biedt de klant volledige controle over het beheren van de integratie van Azure-services in hun virtuele netwerken.
Wanneer u een subnet delegeert aan een Azure-service, staat u die service toe om enkele basisregels voor netwerkconfiguratie op te stellen voor dat subnet, waarmee de Azure-service hun exemplaren op een stabiele manier kan uitvoeren. Als gevolg hiervan kan de Azure-service enkele van de volgende pre- of post-implementatievoorwaarden vaststellen:
Implementeer de service in een gedeeld versus toegewezen subnet.
Voeg na de implementatie een set netwerkintentiebeleidsregels toe aan de service die vereist is om de service goed te laten werken.
Voordelen van subnetdelegering
Het delegeren van een subnet naar specifieke services biedt de volgende voordelen:
Helpt bij het toewijzen van een subnet voor een of meer Azure-services en het beheren van de exemplaren in het subnet volgens de vereisten. De eigenaar van het virtuele netwerk kan bijvoorbeeld de volgende beleidsregels en opties definiëren voor een gedelegeerd subnet om resources beter te beheren:
Netwerkfiltering van verkeersbeleid met netwerkbeveiligingsgroepen.
Routeringsbeleid met door de gebruiker gedefinieerde routes.
Servicesintegratie met configuraties van service-eindpunten.
Helpt geïnjecteerde services beter te integreren met het virtuele netwerk door de voorwaarden voor implementaties te definiëren in de vorm van netwerkintentiebeleid. Dit beleid zorgt ervoor dat alle acties die van invloed kunnen zijn op de werking van de geïnjecteerde service, kunnen worden geblokkeerd bij PUT.
Wie kan delegeren?
Subnetdelegering is een oefening die de eigenaren van het virtuele netwerk moeten uitvoeren om een van de subnetten voor een specifieke Azure-service aan te wijzen. Azure Service implementeert op zijn beurt de exemplaren in dit subnet voor gebruik door de workloads van de klant.
Effect van subnetdelegering op uw subnet
Elke Azure-service definieert een eigen implementatiemodel, waarbij ze als volgt kunnen definiëren welke eigenschappen ze wel of niet ondersteunen in een gedelegeerd subnet voor injectiedoeleinden:
Gedeeld subnet met andere Azure-services of VM/virtuele-machineschaalset in hetzelfde subnet, of het ondersteunt alleen een toegewezen subnet met alleen exemplaren van deze service.
Ondersteunt NSG-koppeling met het gedelegeerde subnet.
Ondersteunt NSG die is gekoppeld aan het gedelegeerde subnet kan ook worden gekoppeld aan een ander subnet.
Hiermee staat u routeringstabelkoppeling met het gedelegeerde subnet toe.
Hiermee staat u toe dat de routetabel die is gekoppeld aan het gedelegeerde subnet, wordt gekoppeld aan een ander subnet.
Hiermee bepaalt u het minimum aantal IP-adressen in het gedelegeerde subnet.
Hiermee bepaalt u dat de IP-adresruimte in het gedelegeerde subnet afkomstig moet zijn van privé-IP-adresruimte (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12).
Hiermee bepaalt u dat de aangepaste DNS-configuratie een Azure DNS-vermelding heeft.
Vereist dat delegering wordt verwijderd voordat het subnet of het virtuele netwerk kan worden verwijderd.
Kan niet worden gebruikt met een privé-eindpunt als het subnet is gedelegeerd.
Geïnjecteerde services kunnen ook hun eigen beleid als volgt toevoegen:
Beveiligingsbeleid: verzameling beveiligingsregels die vereist zijn om een bepaalde service te laten werken.
Routebeleid: verzameling routes die vereist zijn om een bepaalde service te laten werken.
Wat subnetdelegering niet doet
De Azure-services die worden geïnjecteerd in een gedelegeerd subnet, hebben nog steeds de basisset eigenschappen die beschikbaar zijn voor niet-gedelegeerde subnetten, zoals:
Azure-services kunnen exemplaren in subnetten van klanten injecteren, maar kunnen geen invloed hebben op de bestaande workloads.
Het beleid of de routes die door deze services worden toegepast, zijn flexibel en worden overschreven door de klant.