Přidání, změna nebo odstranění podsítě virtuální sítě
Naučte se přidávat, měnit nebo odstraňovat podsítě virtuální sítě. Všechny prostředky Azure nasazené do virtuální sítě se nasazují do podsítě ve virtuální síti. Pokud s virtuálními sítěmi začínáte, můžete o nich získat další informace v přehledu virtuální sítě nebo v tématu rychlý Start. Další informace o správě virtuální sítě najdete v tématu Vytvoření, změna nebo odstranění virtuální sítě.
Než začnete
Pokud ho nemáte, nastavte účet Azure s aktivním předplatným. Vytvořte si účet zdarma. Pak před zahájením kroků v jakékoli části tohoto článku dokončete jednu z těchto úloh:
Uživatelé portálu: Přihlaste se k Azure Portal pomocí svého účtu Azure.
Uživatelé PowerShellu: buď spusťte příkazy v Azure Cloud Shell, nebo z počítače spusťte PowerShell. Azure Cloud Shell je bezplatné interaktivní prostředí, které můžete použít k provedení kroků v tomto článku. Má předinstalované obecné nástroje Azure, které jsou nakonfigurované pro použití s vaším účtem. Na kartě Azure Cloud Shell prohlížeč Najděte rozevírací seznam Vybrat prostředí a zvolte PowerShell , pokud ještě není vybraný.
Pokud používáte PowerShell místně, použijte Azure PowerShell modul verze 1.0.0 nebo novější. Nainstalovanou verzi zjistíte spuštěním příkazu
Get-Module -ListAvailable Az.Network. Pokud potřebujete upgrade, přečtěte si téma Instalace modulu Azure PowerShell. Také spusťteConnect-AzAccountpro vytvoření připojení k Azure.Uživatelé rozhraní příkazového řádku Azure (CLI): buď spusťte příkazy v Azure Cloud Shell, nebo spusťte CLI z počítače. Pokud používáte Azure CLI místně, použijte Azure CLI verze 2.0.31 nebo novější. Nainstalovanou verzi zjistíte spuštěním příkazu
az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI. Také spusťteaz loginpro vytvoření připojení k Azure.
Účet, ke kterému se přihlašujete, nebo ke kterému se chcete připojit k Azure pomocí, musí být přiřazený k roli Role Přispěvatel sítě nebo k vlastní roli , která je přiřazená k příslušným akcím uvedeným v oprávněních.
Přidání podsítě
Pokud si chcete zobrazit virtuální sítě, otevřete Azure Portal . Vyhledejte a vyberte možnost virtuální sítě.
Vyberte název virtuální sítě, do které chcete přidat podsíť.
V Nastavení vyberte podsíť podsítě > .
V dialogovém okně Přidat podsíť zadejte hodnoty pro následující nastavení:
Nastavení Popis Název Název musí být v rámci virtuální sítě jedinečný. Pro maximální kompatibilitu s jinými službami Azure doporučujeme použít jako první znak názvu písmeno. Například Azure Application Gateway nebudete nasazovat do podsítě s názvem, který začíná číslem. Rozsah adres Rozsah musí být jedinečný v rámci adresního prostoru virtuální sítě. Rozsah se nemůže překrývat s ostatními rozsahy adres podsítí v rámci virtuální sítě. Adresní prostor musí být zadaný pomocí zápisu CIDR (Inter-Domain Routing) pro třídy.
Například ve virtuální síti s adresním prostorem 10.0.0.0/16 můžete definovat adresní prostor podsítě 10.0.0.0/22. Nejmenší rozsah, který můžete zadat, je /29, který poskytuje osm IP adres pro podsíť. Azure rezervuje v každé podsíti první a poslední adresu pro shodu protokolu. Tři další adresy jsou rezervované pro využití služeb Azure. V důsledku toho definování podsítě s rozsahem adres /29 má za následek tři použitelné IP adresy v podsíti.
Pokud plánujete připojit virtuální síť k bráně sítě VPN, musíte vytvořit podsíť brány. Přečtěte si další informace o konkrétních požadavcích na rozsah adres pro podsítě brány. Rozsah adres můžete po přidání podsítě změnit za určitých podmínek. Informace o tom, jak změnit rozsah adres podsítě, najdete v tématu Změna nastavení podsítě.
Skupina zabezpečení sítě K filtrování příchozího a odchozího síťového provozu pro podsíť můžete k podsíti přidružit existující skupinu zabezpečení sítě. Skupina zabezpečení sítě musí existovat ve stejném předplatném a umístění jako virtuální síť. Přečtěte si další informace o skupinách zabezpečení sítě a o tom, jak vytvořit skupinu zabezpečení sítě. Směrovací tabulka Chcete-li řídit směrování provozu sítě do jiných sítí, můžete volitelně přidružit existující směrovací tabulku k podsíti. Směrovací tabulka musí existovat ve stejném předplatném a umístění jako virtuální síť. Přečtěte si další informace o Směrování Azure a o tom, jak vytvořit směrovací tabulku. Koncové body služby Podsíť může volitelně mít jeden nebo více koncových bodů služby, které jsou pro něj povoleny. Chcete-li povolit koncový bod služby pro službu, vyberte služby nebo služby, pro které chcete povolit koncové body služby ze seznamu služeb . Azure nakonfiguruje umístění automaticky pro koncový bod. Ve výchozím nastavení Azure nakonfiguruje koncové body služby pro oblast virtuální sítě. Pro podporu regionálních scénářů převzetí služeb při selhání Azure automaticky nakonfiguruje koncové body na spárované oblasti Azure pro Azure Storage.
Chcete-li odebrat koncový bod služby, zrušte výběr služby, pro kterou chcete odebrat koncový bod služby. Další informace o koncových bodech služby a službách, pro které je možné je povolit, najdete v tématu koncové body služby virtuální sítě. Po povolení koncového bodu služby pro službu musíte taky povolit přístup k síti pro podsíť pro prostředek vytvořený pomocí služby. Pokud například povolíte koncový bod služby pro Microsoft. Storage, musíte taky povolit přístup k síti pro všechny účty Azure Storage, ke kterým chcete udělit přístup k síti. Postup povolení síťového přístupu k podsítím, pro které je povolen koncový bod služby, najdete v dokumentaci k jednotlivé službě, pro kterou jste povolili koncový bod služby.
Pokud chcete ověřit, jestli je koncový bod služby pro podsíť povolený, podívejte se na efektivní trasy pro jakékoli síťové rozhraní v podsíti. Při konfiguraci koncového bodu se zobrazí výchozí trasa s předponami adres služby a typem dalšího segmentu směrování VirtualNetworkServiceEndpoint. Další informace o směrování najdete v tématu směrování provozu virtuální sítě.
Delegování podsítě Podsíť může volitelně mít povolený jeden nebo více delegování. Delegování podsítě dává službě explicitní oprávnění k vytváření prostředků specifických pro službu v podsíti pomocí jedinečného identifikátoru během nasazování služby. Chcete-li delegovat službu, v seznamu služeb vyberte službu, ze které chcete delegovat oprávnění. Pokud chcete přidat podsíť do virtuální sítě, kterou jste vybrali, vyberte OK.
Příkazy
| Nástroj | Příkaz |
|---|---|
| Azure CLI | az network vnet subnet create |
| PowerShell | Add-AzVirtualNetworkSubnetConfig |
Změnit nastavení podsítě
Pokud si chcete zobrazit virtuální sítě, otevřete Azure Portal . Vyhledejte a vyberte možnost virtuální sítě.
Vyberte název virtuální sítě obsahující podsíť, kterou chcete změnit.
V Nastavení vyberte podsítě.
V seznamu podsítí vyberte podsíť, pro kterou chcete změnit nastavení.
Na stránce podsíť změňte kterékoli z následujících nastavení:
Nastavení Popis Rozsah adres Pokud v rámci podsítě nejsou nasazené žádné prostředky, můžete změnit rozsah adres. Pokud v podsíti existují nějaké prostředky, musíte buď přesunout prostředky do jiné podsítě, nebo je nejdřív odstranit z podsítě. Postup přesunutí nebo odstranění prostředku se liší v závislosti na prostředku. Pokud chcete zjistit, jak přesunout nebo odstranit prostředky, které jsou v podsítích, přečtěte si dokumentaci pro každý z těchto typů prostředků. Prohlédněte si omezení pro Rozsah adres v kroku 4 Přidání podsítě. Uživatelé Přístup k podsíti můžete řídit pomocí integrovaných rolí nebo vlastních rolí. Další informace o přiřazování rolí a uživatelů pro přístup k podsíti najdete v tématu přiřazení rolí Azure. Skupina zabezpečení sítě a Tabulka směrování Viz krok 4 Přidání podsítě. Koncové body služby Viz koncové body služby v kroku 4 Přidání podsítě. Při povolování koncového bodu služby pro existující podsíť zajistěte, aby na žádném prostředku v podsíti neběžely žádné kritické úlohy. Koncové body služby přepínají trasy v každém síťovém rozhraní v podsíti. Koncové body služby se nacházejí v používání výchozí trasy s předponou adresy 0.0.0.0/0 a typem dalšího segmentu směrování Internet, aby bylo možné použít novou trasu s předponami adres služby a typem dalšího segmentu směrování VirtualNetworkServiceEndpoint.
Během přepínače se můžou ukončit všechna otevřená připojení TCP. Koncový bod služby není povolený, dokud se přenos toků ke službě pro všechna síťová rozhraní neaktualizuje pomocí nové trasy. Další informace o směrování najdete v tématu směrování provozu virtuální sítě.
Delegování podsítě Viz koncové body služby v kroku 4 Přidání podsítě. Delegování podsítě lze změnit na hodnotu nula nebo více delegování, které jsou pro něj povoleny. Pokud je prostředek pro službu už v podsíti nasazený, delegování podsítě nejde přidat ani odebrat, dokud se neodstraní všechny prostředky pro tuto službu. Chcete-li delegovat jinou službu, v seznamu služeb vyberte službu, ze které chcete delegovat oprávnění. Vyberte Uložit.
Příkazy
| Nástroj | Příkaz |
|---|---|
| Azure CLI | az network vnet subnet update |
| PowerShell | Set-AzVirtualNetworkSubnetConfig |
Odstranění podsítě
Podsíť můžete odstranit pouze v případě, že v podsíti nejsou žádné prostředky. Pokud jsou prostředky v podsíti, musíte tyto prostředky odstranit, abyste mohli odstranit podsíť. Postup odstranění prostředku se liší v závislosti na prostředku. Pokud se chcete dozvědět, jak odstranit prostředky, které jsou v podsítích, přečtěte si dokumentaci pro každý z těchto typů prostředků.
Pokud si chcete zobrazit virtuální sítě, otevřete Azure Portal . Vyhledejte a vyberte možnost virtuální sítě.
Vyberte název virtuální sítě obsahující podsíť, kterou chcete odstranit.
V Nastavení vyberte podsítě.
V seznamu podsítí vyberte podsíť, kterou chcete odstranit.
Vyberte Odstranit a potom v potvrzovacím dialogovém okně vyberte Ano .
Příkazy
| Nástroj | Příkaz |
|---|---|
| Azure CLI | AZ Network VNet Subnet DELETE |
| PowerShell | Remove-AzVirtualNetworkSubnetConfig |
Oprávnění
Aby bylo možné provádět úlohy v podsítích, musí být váš účet přiřazen k roli Přispěvatel sítě nebo k vlastní roli , která je přiřazená k příslušným akcím v následující tabulce:
| Akce | Name |
|---|---|
| Microsoft. Network/virtualNetworks/podsítí/čtení | Čtení podsítě virtuální sítě |
| Microsoft. Network/virtualNetworks/podsítí/Write | Vytvoření nebo aktualizace podsítě virtuální sítě |
| Microsoft. Network/virtualNetworks/podsítí/DELETE | Odstraní podsíť virtuální sítě. |
| Microsoft. Network/virtualNetworks/subnets/JOIN/Action | Připojení k virtuální síti |
| Microsoft. Network/virtualNetworks/podsítí/joinViaServiceEndpoint/Action | Povolení koncového bodu služby pro podsíť |
| Microsoft. Network/virtualNetworks/subnets/virtualMachines/Read | Získání virtuálních počítačů v podsíti |
Další kroky
- Vytvoření virtuální sítě a podsítí pomocí ukázkových skriptů PowerShellu nebo Azure CLI nebo použití šablon Azure Správce prostředků
- Vytvoření a přiřazení definic Azure Policy pro virtuální sítě