什麼是子網路委派?
子網路委派可讓您針對所選的 Azure PaaS 服務,指定需要插入虛擬網路中的特定子網路。 子網路委派讓客戶可完全掌控 Azure 服務與虛擬網路整合的管理工作。
將子網路委派給 Azure 服務時,可以讓該服務為子網路建立一些基本網路設定規則,協助 Azure 服務以穩定的方式運作其執行個體。 因此,Azure 服務可能會建立下列一些部署前或後置條件:
在共用與專用子網中部署服務。
將 新增至服務一組部署後的網路意圖原則,服務才能正常運作。
子網路委派的優點
將子網路委派給特定服務可提供下列優點:
協助指定一或多個 Azure 服務的子網,並視需求管理子網中的實例。 例如,虛擬網路擁有者可以定義委派子網的下列原則和選項,以更妥善地管理資源:
使用網路安全性群組的網路篩選流量原則。
具有使用者定義路由的路由原則。
服務與服務端點組態整合。
藉由以網路意圖原則的形式定義部署的先決條件,協助插入的服務更能與虛擬網路整合。 此原則可確保任何可能會影響插入服務運作的動作,都可以在 PUT 封鎖。
誰可以進行委派?
子網路委派是虛擬網路擁有者需執行的操作,目的是指定特定 Azure 服務的其中一個子網路。 接著 Azure 服務會將執行個體部署到此子網路,供客戶工作負載使用。
子網委派對子網的影響
每個 Azure 服務都會定義自己的部署模型,其可在委派的子網中定義其執行或不支援的屬性,如下所示:
共用子網與其他 Azure 服務或 VM/虛擬機器擴展集位於相同子網中,或只支援只有此服務實例的專用子網。
支援與委派子網的 NSG 關聯。
支援與委派子網相關聯的 NSG 也可以與任何其他子網相關聯。
允許路由表與委派的子閘道聯。
允許與委派子網相關聯的路由表與任何其他子網相關聯。
指定委派子網中的 IP 位址數目下限。
指定委派子網中的 IP 位址空間,從私人 IP 位址空間 (10.0.0.0/8、192.168.0.0/16、172.16.0.0/12) 。
指定自訂 DNS 設定具有 Azure DNS 專案。
必須先移除委派,才能刪除子網或虛擬網路。
如果子網已委派,則無法與私人端點搭配使用。
插入的服務也可以新增自己的原則,如下所示:
安全性原則:指定服務運作所需的安全性規則集合。
路由原則:指定服務運作所需的路由集合。
子網委派不會執行哪些動作
插入委派子網的 Azure 服務仍具有可供非傳遞子網使用的基本屬性集,例如:
Azure 服務可以將實例插入客戶子網,但不會影響現有的工作負載。
這些服務套用的原則或路由具有彈性,並由客戶覆寫。