O que é a delegação de sub-rede?
A delegação de sub-rede permite designar uma sub-rede específica para um serviço PaaS do Azure de sua escolha que precisa ser injetado na rede virtual. A delegação de sub-rede fornece controle total ao cliente no gerenciamento da integração dos serviços do Azure nas redes virtuais.
Ao delegar uma sub-rede a um serviço do Azure, você permite que esse serviço estabeleça algumas regras básicas de configuração de rede para essa sub-rede, o que ajuda o serviço do Azure a operar suas instâncias de maneira estável. Como resultado, o serviço do Azure pode estabelecer algumas das seguintes condições de pré e pós-implantação:
Implantar o serviço em uma sub-rede compartilhada versus dedicada.
Adicionar ao serviço um conjunto de Políticas de Intenção de Rede após a implantação, necessário para que o serviço funcione corretamente.
Vantagens da delegação de sub-rede
A delegação de uma sub-rede a serviços específicos oferece as seguintes vantagens:
Ajuda a designar uma sub-rede para um ou mais serviços do Azure e a gerenciar as instâncias na sub-rede de acordo com os requisitos. Por exemplo, o proprietário da rede virtual pode definir as seguintes políticas e opções para uma sub-rede delegada para gerenciar melhor os recursos:
Políticas para filtrar o tráfego de rede com grupos de segurança de rede.
Políticas de roteamento com rotas definidas pelo usuário.
Integração de serviços com as configurações de pontos de extremidade de serviço.
Ajuda os serviços injetados a se integrarem melhor à rede virtual definindo suas pré-condições de implantações na forma de Políticas de Intenção de Rede. Essa política garante que qualquer ação que possa afetar o funcionamento do serviço injetado possa ser bloqueada em PUT.
Quem pode delegar?
A delegação de sub-rede é um exercício que os proprietários da rede virtual precisam executar para designar uma das sub-redes para um serviço específico do Azure. O Serviço do Azure, por sua vez, implanta as instâncias nessa sub-rede para consumo pelas cargas de trabalho do cliente.
Efeito da delegação de sub-rede em sua sub-rede
Cada serviço do Azure define seu próprio modelo de implantação, no qual eles podem definir a quais propriedades oferecem suporte ou não em uma sub-rede delegada para fins de injeção, como a seguir:
Sub-rede compartilhada com outros Serviços do Azure, conjunto de dimensionamento de máquinas virtuais/VM na mesma sub-rede ou oferecendo suporte apenas a uma sub-rede dedicada com instâncias apenas desse serviço.
Oferece suporte à associação NSG com a sub-rede delegada.
Oferece suporte a NSG associado à sub-rede delegada, mas também pode ser associado a qualquer outra sub-rede.
Permite associação de tabelas de rotas com a sub-rede delegada.
Permite que a tabela de rotas associadas à sub-rede delegada seja associada a qualquer outra sub-rede.
Determina o número mínimo de endereços IP na sub-rede delegada.
Determina que o espaço de endereços IP na sub-rede delegada seja do espaço de endereços IP privado (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12).
Determinar que a configuração de DNS personalizada tenha uma entrada DNS do Azure.
Requer que a delegação seja removida antes que a sub-rede ou rede virtual possa ser excluída.
Não pode ser usado com um ponto de extremidade privado se a sub-rede for delegada.
Os serviços injetados também podem adicionar suas próprias políticas da seguinte maneira:
Políticas de segurança: coleção de regras de segurança necessária para que um determinado serviço funcione.
Políticas de segurança: coleção de regras de segurança necessárias para que um determinado serviço funcione.
O que a delegação de sub-rede não faz
Os serviços do Azure que estão sendo injetados em uma sub-rede delegada ainda tem o conjunto básico de propriedades que estão disponíveis para sub-redes não delegadas, como:
Os serviços do Azure podem injetar instâncias em sub-redes de clientes, mas não podem afetar as cargas de trabalho existentes.
As políticas ou rotas que esses serviços aplicam são flexíveis e substituídas pelo cliente.