Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Делегирование подсети позволяет назначить определенную подсеть выбранной службе PaaS Azure, которую необходимо внедрить в виртуальную сеть. Делегирование подсети предоставляет клиенту полный контроль управления интеграцией служб Azure в их виртуальные сети.
Делегируя подсеть в службу Azure, вы разрешаете ей настроить некоторые основные правила сетевой конфигурации для этой подсети. Такой подход помогает службе Azure обеспечить стабильную работу с экземплярами. В результате служба Azure может установить некоторые из следующих условий до или после развертывания:
Разверните службу в общей и выделенной подсети.
Добавьте в службу набор политик намерений сети после развертывания, необходимый для правильной работы службы.
Преимущества делегирования подсети
Делегирование подсети для конкретных служб дает следующие преимущества:
Помогает назначить подсеть для одной или нескольких служб Azure и управлять экземплярами в подсети в соответствии с требованиями. Например, владелец виртуальной сети может определить следующие политики и параметры делегированной подсети для более эффективного управления ресурсами:
Политики сетевого фильтрования трафика с помощью групп безопасности сети.
Политики маршрутизации с определяемыми пользователем маршрутами.
Интеграция служб с конфигурациями конечных точек службы.
Помогает встраиваемым службам лучше интегрироваться с виртуальной сетью, определяя их предварительные условия развертывания в виде политик сетевого намерения. Эта политика гарантирует, что любые действия, которые могут повлиять на функционирование внедренного сервиса, можно заблокировать в процессе PUT-запроса.
Кто может выполнять делегирование?
Делегирование подсети — это упражнение, которое владельцы виртуальных сетей должны выполнить, чтобы назначить одну из подсетей определенной службе Azure. Служба Azure, в свою очередь, развертывает экземпляры в этой подсети, предоставляя ее для использования рабочими нагрузками клиентов.
Влияние делегирования подсети на подсеть
Каждая служба Azure определяет собственную модель развертывания, в которой может быть указано, какие свойства поддерживаются или не поддерживаются в делегированной подсети для целей внедрения, следующим образом:
Общая подсеть с другими службами Azure или масштабируемым набором виртуальных машин или виртуальной машины в той же подсети или поддерживает только выделенную подсеть с только экземплярами этой службы.
Поддерживает связь группы безопасности сети с делегированной подсетью.
Группа безопасности сети (NSG), связанная с делегированной подсетью, может быть также связана с любой другой подсетью.
Разрешает сопоставление таблиц маршрутов с делегированной подсетью.
Позволяет таблице маршрутов, связанной с делегированной подсетью, быть связана с любой другой подсетью.
Определяет минимальное количество IP-адресов в делегированной подсети.
Диктует, что пространство IP-адресов в делегированной подсети должно быть из пространства частных IP-адресов (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12).
Определяет, что настраиваемая конфигурация DNS имеет запись Azure DNS.
Требуется удалить делегирование перед удалением подсети или виртуальной сети.
Нельзя использовать приватную конечную точку, если подсеть делегирована. Таким образом, сетевые политики частной конечной точки не должны быть настроены в этих подсетях.
Внедренные службы также могут добавлять собственные политики, а именно:
Политики безопасности. Набор правил безопасности, необходимых для работы этой службы.
Политики маршрутов. Набор маршрутов, необходимых для работы этой службы.
Чем не занимается делегирование подсети
Службы Azure, внедряемые в делегированную подсеть, по-прежнему имеют базовый набор свойств, доступных для неделегированных подсетей, таких как:
Службы Azure могут внедрять экземпляры в подсети клиентов, но не могут повлиять на существующие рабочие нагрузки.
Политики или маршруты, применяемые этими службами, гибкие и могут изменяться клиентом.