Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Делегирование подсети в виртуальных сетях Azure позволяет назначить определенную подсеть для выбранной службы Azure PaaS, которая должна быть внедрена в виртуальную сеть. Эта функция обеспечивает полный контроль над интеграцией служб Azure с виртуальными сетями, обеспечивая более высокую производительность и безопасность.
Делегируя подсеть в службу Azure, вы разрешаете ей настроить некоторые основные правила сетевой конфигурации для этой подсети. Такой подход помогает службе Azure обеспечить стабильную работу с экземплярами. В результате служба Azure может установить некоторые из следующих предварительных или после развертывания условий:
- Разверните службу в общей и выделенной подсети.
- Добавьте в службу набор политик намерений сети после развертывания, необходимый для правильной работы службы.
Преимущества делегирования подсети
Делегирование подсети для конкретных служб дает следующие преимущества:
Помогает назначить подсеть для одной или нескольких служб Azure и управлять экземплярами в подсети в соответствии с требованиями. Например, владелец виртуальной сети может определить следующие политики и параметры делегированной подсети для более эффективного управления ресурсами:
Политики сетевого фильтрования трафика с помощью групп безопасности сети.
Политики маршрутизации с определяемыми пользователем маршрутами.
Интеграция служб с конфигурациями конечных точек службы.
Помогает встраиваемым службам лучше интегрироваться с виртуальной сетью, определяя их предварительные условия развертывания в виде политик сетевого намерения. Эта политика гарантирует, что любые действия, которые могут повлиять на функционирование внедренного сервиса, можно заблокировать в процессе PUT-запроса.
Кто может выполнять делегирование?
Делегирование подсети — это упражнение, которое владельцы виртуальных сетей должны выполнить, чтобы назначить одну из подсетей определенной службе Azure. Служба Azure, в свою очередь, развертывает экземпляры в этой подсети, предоставляя ее для использования рабочими нагрузками клиентов.
Влияние делегирования подсети на подсеть
Каждая служба Azure определяет собственную модель развертывания, в которой может быть указано, какие свойства поддерживаются или не поддерживаются в делегированной подсети для целей внедрения, следующим образом:
- Общая подсеть с другими службами Azure, виртуальными машинами или масштабируемым набором виртуальных машин в той же подсети, или поддерживает только выделенную подсеть, содержащую лишь экземпляры этой службы.
- Поддерживает связь группы безопасности сети (NSG) с делегированной подсетью.
- Группа безопасности сети (NSG), связанная с делегированной подсетью, может быть также связана с любой другой подсетью.
- Разрешает сопоставление таблиц маршрутов с делегированной подсетью.
- Позволяет таблице маршрутов, связанной с делегированной подсетью, быть связана с любой другой подсетью.
- Определяет минимальное количество IP-адресов в делегированной подсети.
- Диктует, что пространство IP-адресов в делегированной подсети должно быть из пространства частных IP-адресов (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12).
- Определяет, что настраиваемая конфигурация DNS имеет запись Azure DNS.
- Требуется удалить делегирование перед удалением подсети или виртуальной сети.
- Нельзя использовать приватную конечную точку, если подсеть делегирована. В результате сетевые политики для частных конечных точек не должны быть настроены в этих подсетях.
Внедренные службы также могут добавлять собственные политики, а именно:
- Политики безопасности. Набор правил безопасности, необходимых для работы этой службы.
- Политики маршрутов. Набор маршрутов, необходимых для работы этой службы.
Чем не занимается делегирование подсети
Службы Azure, внедряемые в делегированную подсеть, по-прежнему имеют базовый набор свойств, доступных для неделегированных подсетей, таких как:
- Службы Azure могут внедрять экземпляры в подсети клиентов, но не могут повлиять на существующие рабочие нагрузки.
- Политики или маршруты, применяемые этими службами, гибкие и могут изменяться клиентом.