Co to jest delegowanie podsieci?
Delegowanie podsieci umożliwia wyznaczenie konkretnej podsieci dla wybranej usługi PaaS platformy Azure, która musi zostać wstrzyknięta do sieci wirtualnej. Delegowanie podsieci zapewnia pełną kontrolę nad klientem w zakresie zarządzania integracją usług platformy Azure z sieciami wirtualnymi.
Gdy delegujesz podsieć do usługi platformy Azure, możesz zezwolić tej usłudze na ustanowienie pewnych podstawowych reguł konfiguracji sieci dla tej podsieci, które ułatwiają usłudze platformy Azure działanie wystąpień w stabilny sposób. W związku z tym usługa platformy Azure może ustanowić niektóre z następujących warunków wstępnych lub po wdrożeniu:
Wdróż usługę w udostępnionej i dedykowanej podsieci.
Dodaj do usługi zestaw zasad intencji sieci po wdrożeniu, który jest wymagany do prawidłowego działania usługi.
Zalety delegowania podsieci
Delegowanie podsieci do określonych usług zapewnia następujące korzyści:
Pomaga wyznaczyć podsieć dla co najmniej jednej usługi platformy Azure i zarządzać wystąpieniami w podsieci zgodnie z wymaganiami. Na przykład właściciel sieci wirtualnej może zdefiniować następujące zasady i opcje dla delegowanej podsieci, aby lepiej zarządzać zasobami:
Filtrowanie ruchu sieciowego za pomocą sieciowych grup zabezpieczeń.
Zasady routingu z trasami zdefiniowanymi przez użytkownika.
Integracja usług z konfiguracjami punktów końcowych usługi.
Pomaga w wstrzyknięciu usług w celu lepszej integracji z siecią wirtualną przez zdefiniowanie warunków wstępnych wdrożeń w postaci zasad intencji sieci. Te zasady zapewniają, że wszystkie akcje, które mogą mieć wpływ na funkcjonowanie wstrzykniętej usługi, mogą być blokowane przy użyciu funkcji PUT.
Kto może delegować?
Delegowanie podsieci to ćwiczenie, które właściciele sieci wirtualnej muszą wykonać, aby wyznaczyć jedną z podsieci dla określonej usługi platformy Azure. Usługa platformy Azure z kolei wdraża wystąpienia w tej podsieci na potrzeby użycia przez obciążenia klienta.
Wpływ delegowania podsieci w podsieci
Każda usługa platformy Azure definiuje własny model wdrażania, w którym może zdefiniować właściwości, które robią, lub nie obsługują w delegowanej podsieci do celów wstrzykiwania w następujący sposób:
Udostępniona podsieć z innymi usługami platformy Azure lub zestawem skalowania maszyn wirtualnych / maszyn wirtualnych w tej samej podsieci lub obsługuje tylko dedykowaną podsieć z tylko wystąpieniami tej usługi.
Obsługuje skojarzenie sieciowej grupy zabezpieczeń z delegowana podsiecią.
Obsługuje sieciową grupę zabezpieczeń skojarzona z podsiecią delegowana może być również skojarzona z dowolną inną podsiecią.
Zezwala na skojarzenie tabeli tras z delegowana podsiecią.
Umożliwia skojarzenie tabeli tras skojarzonej z delegowana podsiecią z dowolną inną podsiecią.
Określa minimalną liczbę adresów IP w delegowanej podsieci.
Określa przestrzeń adresów IP w delegowanej podsieci, aby pochodziła z prywatnej przestrzeni adresów IP (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12).
Określa, że niestandardowa konfiguracja DNS ma wpis Usługi Azure DNS.
Wymaga usunięcia delegowania przed usunięciem podsieci lub sieci wirtualnej.
Nie można używać z prywatnym punktem końcowym, jeśli podsieć jest delegowana.
Wprowadzone usługi mogą również dodawać własne zasady w następujący sposób:
Zasady zabezpieczeń: kolekcja reguł zabezpieczeń wymaganych do działania danej usługi.
Zasady tras: kolekcja tras wymaganych do działania danej usługi.
Co delegowanie podsieci nie robi
Usługi platformy Azure wprowadzane do delegowanej podsieci nadal mają podstawowy zestaw właściwości, które są dostępne dla niedelegowanych podsieci, takich jak:
Usługi platformy Azure mogą wprowadzać wystąpienia do podsieci klientów, ale nie mogą mieć wpływu na istniejące obciążenia.
Zasady lub trasy stosowane przez te usługi są elastyczne i zastępowane przez klienta.