什麼是子網路委派?
子網路委派可讓您針對所選的 Azure PaaS 服務,指定需要插入虛擬網路中的特定子網路。 子網路委派讓客戶可完全掌控 Azure 服務與虛擬網路整合的管理工作。
將子網路委派給 Azure 服務時,可以讓該服務為子網路建立一些基本網路設定規則,協助 Azure 服務以穩定的方式運作其執行個體。 因此,Azure 服務可能會建立下列一些部署前或部署後條件:
在共用與專用子網路中部署服務。
將一組網路意圖原則新增至服務,這是服務正常運作所需的部署。
子網路委派的優點
將子網路委派給特定服務可提供下列優點:
有助於為一或多個 Azure 服務指定子網路,並依據需求管理子網路中的執行個體。 例如,虛擬網路擁有者可以定義委派子網的下列原則和選項,以更妥善地管理資源:
網路篩選流量原則搭配網路安全性群組。
路由原則搭配使用者定義路由。
服務整合搭配服務端點設定。
以網路意圖原則形式定義部署的先決條件,有助於更妥善整合插入的服務與虛擬網路。 此原則可確保可能影響插入服務運作的任何動作都能在執行 PUT 時遭到封鎖。
誰可以進行委派?
子網路委派是虛擬網路擁有者需執行的操作,目的是指定特定 Azure 服務的其中一個子網路。 接著 Azure 服務會將執行個體部署到此子網路,供客戶工作負載使用。
子網路委派對子網路的影響
每個 Azure 服務都會定義專屬的部署模型,可用來定義在委派的子網路中支援或不支援哪些屬性用於插入,如下所示:
與其他 Azure 服務或 VM/虛擬機器擴展集位於相同子網路中的共用子網路,或僅支援只包含此服務之執行個體的專用子網路。
支援 NSG 與委派子網路相關聯。
支援與委派子網路相關聯的 NSG 也可與任何其他子網路相關聯。
允許路由表與委派子網路相關聯。
允許與委派子網路相關聯的路由表與其他任何子網路相關聯。
規定委派子網路中的 IP 位址數目下限。
規定委派子網路中的 IP 位址空間來自私人 IP 位址空間 (10.0.0.0/8、192.168.0.0/16、172.16.0.0/12)。
規定自訂 DNS 設定具有 Azure DNS 項目。
需要先移除委派,才能刪除子網路或虛擬網路。
如果委派了子網路,就無法與私人端點搭配使用。
插入的服務也可以新增自己的原則,如下所示:
安全性原則:指定服務運作所需的安全性規則集合。
路由原則:指定服務運作所需的路由集合。
子網路委派無法執行的動作
要插入委派子網路的 Azure 服務仍有一組基本屬性可供非委派的子網路使用,例如:
Azure 服務可以將執行個體插入客戶子網路,但不會影響現有的工作負載。
這些服務所套用的原則或路由具有彈性,且由客戶覆寫。