Vad är delegering av undernät?
Med delegering av undernät kan du ange en särskild nätmask för en valfri Azure PaaS-tjänst som ska injiceras i ditt virtuella nätverk. Delegering av undernät ger kunden fullständig kontroll över hanteringen av integreringen av Azure-tjänster i deras virtuella nätverk.
När du delegerar ett undernät till en Azure-tjänst tillåter du att tjänsten upprättar några grundläggande nätverkskonfigurationsregler för det undernätet, vilket hjälper Azure-tjänsten att hantera sina instanser på ett stabilt sätt. Därför kan Azure-tjänsten upprätta några av följande för- eller efterdistributionsvillkor:
Distribuera tjänsten i ett delat eller dedikerat undernät.
Lägg till en uppsättning principer för nätverks avsikt efter distribution som krävs för att tjänsten ska fungera korrekt i tjänsten.
Fördelar med delegering av undernät
Att delegera ett undernät till specifika tjänster ger följande fördelar:
Hjälper till att utse ett undernät för en eller flera Azure-tjänster och hantera instanserna i undernätet enligt kraven. Den virtuella nätverksägaren kan till exempel definiera följande principer och alternativ för ett delegerat undernät för att bättre hantera resurser:
Nätverksfiltrering av trafikprinciper med nätverkssäkerhetsgrupper.
Routningsprinciper med användardefinierade vägar.
Tjänstintegrering med tjänstslutpunktskonfigurationer.
Hjälper till att integrera tjänster bättre med det virtuella nätverket genom att definiera deras förhandsvillkor för distributioner i form av principer för nätverks avsikt. Den här principen säkerställer att alla åtgärder som kan påverka den inmatade tjänstens funktion kan blockeras på PUT.
Vem kan delegera?
Delegering av undernät är en övning som de virtuella nätverksägarna måste utföra för att ange ett av undernäten för en specifik Azure-tjänst. Azure-tjänsten distribuerar i sin tur instanserna till det här undernätet för förbrukning av kundens arbetsbelastningar.
Effekten av delegering av undernät på undernätet
Varje Azure-tjänst definierar sin egen distributionsmodell, där de kan definiera vilka egenskaper de gör eller inte stöder i ett delegerat undernät i inmatningssyfte enligt följande:
Delat undernät med andra Azure-tjänster eller virtuella datorer/VM-skalningsuppsättningar i samma undernät, eller så stöder det bara ett dedikerat undernät med endast instanser av den här tjänsten.
Stöder NSG-association med det delegerade undernätet.
Stöder NSG som är associerad med det delegerade undernätet kan också associeras med andra undernät.
Tillåter routningstabellassociation med det delegerade undernätet.
Tillåter att routningstabellen som är associerad med det delegerade undernätet associeras med andra undernät.
Avgör det minsta antalet IP-adresser i det delegerade undernätet.
Anger att IP-adressutrymmet i det delegerade undernätet ska komma från det privata IP-adressutrymmet (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12).
Anger att den anpassade DNS-konfigurationen har en Azure DNS-post.
Kräver att delegering tas bort innan undernätet eller det virtuella nätverket kan tas bort.
Det går inte att använda med en privat slutpunkt om undernätet har delegerats.
Inmatade tjänster kan också lägga till egna principer på följande sätt:
Säkerhetsprinciper: Samling säkerhetsregler som krävs för att en viss tjänst ska fungera.
Vägprinciper: Insamling av vägar som krävs för att en viss tjänst ska fungera.
Vad undernätsdelegering inte gör
De Azure-tjänster som matas in i ett delegerat undernät har fortfarande den grundläggande uppsättningen egenskaper som är tillgängliga för icke-delegerade undernät, till exempel:
Azure-tjänster kan mata in instanser i kundundernät, men kan inte påverka de befintliga arbetsbelastningarna.
De principer eller vägar som dessa tjänster tillämpar är flexibla och åsidosätts av kunden.