Добавление, изменение или удаление подсети виртуальной сети

Статья
11/15/2023

Все ресурсы Azure в виртуальной сети развертываются в подсетях в виртуальной сети. В этой статье объясняется, как добавлять, изменять или удалять подсети виртуальной сети с помощью портал Azure, Azure CLI или Azure PowerShell.

Необходимые компоненты

Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Существующая виртуальная сеть Azure. Чтобы создать ее, см. краткое руководство. Создание виртуальной сети с помощью портал Azure.
Чтобы выполнить процедуры, войдите в портал Azure с помощью учетной записи Azure.

Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Существующая виртуальная сеть Azure. Чтобы создать ее, см . краткое руководство. Создание виртуальной сети с помощью Azure CLI.

Вы можете выполнять команды в Azure Cloud Shell или из Azure CLI на компьютере.

Azure Cloud Shell — это бесплатная интерактивная оболочка, которая имеет стандартные средства Azure, предварительно установленные и настроенные для использования с вашей учетной записью. Чтобы выполнить команды в Cloud Shell, выберите Open Cloudshell в правом верхнем углу блока кода. Выберите "Копировать ", чтобы скопировать код и вставить его в Cloud Shell, чтобы запустить его. Вы также можете запустить Cloud Shell из портал Azure.
Если вы устанавливаете Azure CLI локально для выполнения команд, вам потребуется Azure CLI версии 2.31.0 или более поздней. Запустите az version , чтобы найти установленную версию и запустите az upgrade для обновления.

Выполните команду az login , чтобы подключиться к Azure.

Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Существующая виртуальная сеть Azure. Чтобы создать ее, см . краткое руководство. Создание виртуальной сети с помощью Azure PowerShell.

Вы можете выполнять команды в Azure Cloud Shell или PowerShell на компьютере.

Azure Cloud Shell — это бесплатная интерактивная оболочка, которая имеет стандартные средства Azure, предварительно установленные и настроенные для использования с вашей учетной записью. Чтобы выполнить команды в Cloud Shell, выберите Open Cloudshell в правом верхнем углу блока кода. Выберите "Копировать ", чтобы скопировать код и вставить его в Cloud Shell, чтобы запустить его. Вы также можете запустить Cloud Shell из портал Azure.
Если вы устанавливаете Azure PowerShell локально для выполнения команд, вам потребуется модуль Azure PowerShell версии 5.4.1 или более поздней. Выполните Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если вам нужно обновить модуль Azure PowerShell, см . статью об обновлении модуля Azure PowerShell.

Кроме того, убедитесь, что модуль Az.Network равен 4.3.0 или более поздней версии. Чтобы проверить установленный модуль, используйте Get-InstalledModule -Name Az.Network. Чтобы обновить, используйте команду Update-Module -Name Az.Network.

Выполните команду Connect-AzAccount , чтобы подключиться к Azure.

Разрешения

Чтобы выполнять задачи в подсетях, учетная запись должна быть назначена роли сетевой участник или настраиваемой роли , назначенной соответствующими действиями в следующем списке:

Действие	Имя.
Microsoft.Network/virtualNetworks/subnets/read	Чтение подсети виртуальной сети.
Microsoft.Network/virtualNetworks/subnets/write	Создайте или обновите подсеть виртуальной сети.
Microsoft.Network/virtualNetworks/subnets/delete	Удаление подсети виртуальной сети.
Microsoft.Network/virtualNetworks/subnets/join/action	Присоединение к виртуальной сети.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action	Включите конечную точку службы для подсети.
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read	Получение виртуальных машин в подсети.

Добавление подсети

В портал Azure найдите и выберите виртуальные сети.
На странице "Виртуальные сети" выберите виртуальную сеть, в которую нужно добавить подсеть.
На странице виртуальной сети выберите подсети в области навигации слева.
На странице подсетей выберите +Подсеть.
На экране "Добавление подсети" введите или выберите значения параметров подсети.
Выберите Сохранить.

Запустите команду az network vnet subnet create с параметрами, которые необходимо настроить.

az network vnet subnet create --name <subnetName> --resource-group <resourceGroupName> --vnet-name <virtualNetworkName>

Используйте команду Add-AzVirtualNetworkSubnetConfig для настройки подсети.

$vnet = Get-AzVirtualNetwork -Name <virtualNetworkName> -ResourceGroupName <resourceGroupName>
Add-AzVirtualNetworkSubnetConfig -Name <subnetName> -VirtualNetwork $vnet -AddressPrefix <String[]>

Затем свяжите конфигурацию подсети с виртуальной сетью с Set-AzVirtualNetwork.
```
Set-AzVirtualNetwork -VirtualNetwork $vnet
```

Для подсети можно настроить следующие параметры:

Параметр	Description
Имя	Имя должно быть уникальным в пределах виртуальной сети. Для обеспечения максимальной совместимости с другими службами Azure используйте букву в качестве первого символа имени. Например, Шлюз приложений Azure не удается развернуть в подсети, имя которого начинается с числа.
Диапазон адресов подсети	Диапазон должен быть уникальным в адресном пространстве и не может перекрываться с другими диапазонами адресов подсети в виртуальной сети. Необходимо указать адресное пространство с помощью нотации маршрутизации без классов между доменами (CIDR). Например, в виртуальной сети с адресным пространством можно определить адресное пространство `10.0.0.0/16`подсети `10.0.0.0/22`. Наименьший диапазон, который можно указать, — `/29`это восемь IP-адресов для подсети. Azure резервирует первый и последний адрес в каждой подсети для соответствия протоколам и еще три адреса для использования службы Azure. Таким образом, определение подсети с диапазоном адресов /29 предоставляет три доступных IP-адреса в подсети. Если вы планируете подключить виртуальную сеть к vpn-шлюзу виртуальной частной сети, необходимо создать подсеть шлюза. Дополнительные сведения см. в подсети шлюза.
Добавление диапазона IPv6-адресов	Вы можете создать виртуальную сеть с двумя стеками, которая поддерживает IPv4 и IPv6, добавив существующее адресное пространство IPv6. В настоящее время IPv6 не полностью поддерживается для всех служб в Azure. Дополнительные сведения см. в статье "Обзор IPv6 для Azure виртуальная сеть
Частная подсеть	Установка подсети в качестве частной не позволяет использовать исходящий доступ по умолчанию для любых виртуальных машин, созданных в подсети. Эта функция предоставляется в предварительной версии.
Шлюз NAT	Чтобы обеспечить преобразование сетевых адресов (NAT) к ресурсам в подсети, можно связать существующий шлюз NAT с подсетью. Шлюз NAT должен находиться в той же подписке и расположении, что и виртуальная сеть. Дополнительные сведения см. в статье NAT виртуальной сети и краткое руководство. Создание шлюза NAT с помощью портал Azure.
группу безопасности сети;	Чтобы отфильтровать входящий и исходящий сетевой трафик для подсети, можно связать существующую группу безопасности сети (NSG) с подсетью. Группа безопасности сети должна существовать в той же подписке и расположении, что и виртуальная сеть. Дополнительные сведения см. в статьях "Группы безопасности сети" и руководство. Фильтрация сетевого трафика с помощью группы безопасности сети с помощью портал Azure.
Таблица маршрутов	Чтобы управлять маршрутизацией сетевого трафика в другие сети, можно при необходимости связать существующую таблицу маршрутов с подсетью. Таблица маршрутов должна существовать в той же подписке и расположении, что и виртуальная сеть. Дополнительные сведения см. в статье "Маршрутизация трафика виртуальной сети" и руководство. Маршрутизация сетевого трафика с помощью таблицы маршрутов с помощью портал Azure.
Конечные точки службы	При необходимости можно включить одну или несколько конечных точек службы для подсети. Чтобы включить конечную точку службы для службы во время настройки подсети портала, выберите нужную конечную точку службы из всплывающего списка служб в разделе "Службы". Расположение конечной точки настраивается в Azure автоматически. Чтобы удалить конечную точку службы, отключите службу, для которой требуется удалить конечную точку службы. Дополнительные сведения см. в статье Конечные точки служб для виртуальной сети. По умолчанию конечные точки служб в Azure располагаются в регионе виртуальной сети. Для поддержки региональной отработки отказа конечные точки службы хранилища Azure автоматически располагаются в парных регионах Azure. После включения конечной точки службы необходимо также включить доступ подсети для ресурсов, которые создает служба. Например, если включить конечную точку службы для Microsoft.Storage, необходимо также включить сетевой доступ для всех учетных записей хранения Azure, которым нужно предоставить доступ к сети. Чтобы включить сетевой доступ к подсетям, для которым включена конечная точка службы, см. документацию для отдельной службы. Чтобы проверить, включена ли конечная точка службы для подсети, просмотрите фактические маршруты для любого сетевого интерфейса в подсети. При настройке конечной точки отображается маршрут по умолчанию с префиксами адресов службы и типом следующего прыжка VirtualNetworkServiceEndpoint. Дополнительные сведения см. в статье Маршрутизация трафика виртуальной сети.
Делегирование подсети	При необходимости можно включить одну или несколько делегирований для подсети. Делегирование подсети предоставляет явные разрешения службе на создание ресурсов для конкретной службы в подсети с помощью уникального идентификатора во время развертывания службы. Чтобы делегировать службу во время настройки подсети портала, выберите службу, которую вы хотите делегировать из всплывающего списка.
Сетевая политика для частных конечных точек	Чтобы управлять трафиком, проходящим в частную конечную точку, можно использовать группы безопасности сети или таблицы маршрутизации. Во время настройки подсети портала выберите любой из этих вариантов в политике сети частной конечной точки, чтобы использовать эти элементы управления в подсети. После включения сетевая политика применяется ко всем частным конечным точкам в подсети. Дополнительные сведения см. в разделе "Управление политиками сети для частных конечных точек".

Изменение параметров подсети

В портал Azure найдите и выберите виртуальные сети.
На странице "Виртуальные сети" выберите виртуальную сеть, для которой нужно изменить параметры подсети.
На странице виртуальной сети выберите подсети в области навигации слева.
На странице "Подсети" выберите подсеть, для которой нужно изменить параметры.
На экране подсети измените параметры подсети и нажмите кнопку "Сохранить".

Выполните команду az network vnet subnet update с параметрами, которые необходимо изменить.

az network vnet subnet update

После создания подсети можно изменить следующие параметры подсети:

Параметр	Description
Диапазон адресов подсети	Если в подсети не развернуты ресурсы, вы можете изменить диапазон адресов. Если какие-либо ресурсы существуют в подсети, сначала необходимо переместить ресурсы в другую подсеть или удалить их из подсети. Процедура удаления или перемещения ресурса зависит от его типа. Чтобы узнать, как перемещать или удалять ресурсы, которые находятся в подсетях, ознакомьтесь с документацией по каждому типу ресурсов.
Добавление адресного пространства IPv6, шлюза NAT, группы безопасности сети и таблицы маршрутов	После создания подсети можно добавить поддержку IPv6, шлюза NAT, NSG или таблицы маршрутов.
Конечные точки службы	Чтобы включить конечную точку службы для существующей подсети, убедитесь, что критически важные задачи не выполняются на любом ресурсе в подсети. Конечные точки службы переключают маршруты на каждый сетевой интерфейс в подсети. Конечные точки службы изменяются с использования маршрута по умолчанию с `0.0.0.0/0` префиксом адреса и типом следующего прыжка `Internet` , чтобы использовать новый маршрут с префиксом адреса службы и типом следующего прыжка `VirtualNetworkServiceEndpoint`. Во время переключения все открытые TCP-соединения могут быть завершены. Конечная точка службы не включена, пока трафик в службу для всех сетевых интерфейсов обновляется с новым маршрутом. Дополнительные сведения см. в статье Маршрутизация трафика виртуальной сети.
Делегирование подсети	Вы можете изменить делегирование подсети, чтобы включить ноль или несколько делегирований. Если ресурс для службы уже развернут в подсети, вы не сможете добавлять или удалять делегирования подсети, пока не удалите все ресурсы службы. Чтобы делегировать другую службу на портале, выберите службу, которую вы хотите делегировать из всплывающего списка.
Сетевая политика для частных конечных точек	После создания подсети можно изменить политику сети частной конечной точки.

Удаление подсети

Подсеть можно удалить только если, к ней не подключены какие-либо ресурсы. Если в подсети есть ресурсы, необходимо их удалить, прежде чем можно будет удалить саму подсеть. Конкретная процедура удаления ресурса зависит от его типа. Сведения об удалении ресурсов см. в документации по каждому типу ресурсов.

В портал Azure найдите и выберите виртуальные сети.
На странице "Виртуальные сети" выберите виртуальную сеть, из которой нужно удалить подсеть.
На странице виртуальной сети выберите подсети в области навигации слева.
На странице подсетей выберите подсеть, которую вы хотите удалить.
Выберите Удалить, затем выберите Да в диалоговом окне подтверждения.

Выполните команду az network vnet subnet delete.

az network vnet subnet delete --name <subnetName> --resource-group <resourceGroupName> --vnet-name <virtualNetworkName>

Выполните команду Remove-AzVirtualNetworkSubnetConfig, а затем задайте конфигурацию.

Remove-AzVirtualNetworkSubnetConfig -Name <subnetName> -VirtualNetwork $vnet | Set-AzVirtualNetwork