Mi az alhálózat-delegálás?
Az alhálózat-delegálás lehetővé teszi egy adott alhálózat kijelölését egy tetszőleges Azure PaaS-szolgáltatáshoz, amelyet a virtuális hálózatba kell injektálnia. Az alhálózat-delegálás teljes körű ellenőrzést biztosít az ügyfél számára az Azure-szolgáltatások virtuális hálózatokba való integrálásának kezelése során.
Amikor egy alhálózatot delegál egy Azure-szolgáltatásba, lehetővé teszi, hogy a szolgáltatás alapszintű hálózati konfigurációs szabályokat hozzon létre az alhálózathoz, amelyek segítenek az Azure-szolgáltatásnak a példányok stabil működtetésében. Ennek eredményeképpen az Azure-szolgáltatás a következő üzembe helyezés előtti vagy utáni feltételek némelyikét hozhatja létre:
A szolgáltatás üzembe helyezése megosztott vagy dedikált alhálózatban.
Adja hozzá a szolgáltatáshoz az üzembe helyezés utáni hálózati szándékszabályzatokat, amelyek szükségesek ahhoz, hogy a szolgáltatás megfelelően működjön.
Az alhálózat-delegálás előnyei
Az alhálózat adott szolgáltatásokra való delegálása a következő előnyöket biztosítja:
Segít kijelölni egy alhálózatot egy vagy több Azure-szolgáltatáshoz, és igény szerint kezelni az alhálózat példányait. A virtuális hálózat tulajdonosa például a következő szabályzatokat és beállításokat határozhatja meg egy delegált alhálózathoz az erőforrások jobb kezelése érdekében:
Hálózati szűrési forgalmi szabályzatok hálózati biztonsági csoportokkal.
Útválasztási szabályzatok felhasználó által megadott útvonalakkal.
Szolgáltatások integrációja a szolgáltatásvégpontok konfigurációival.
Segít az injektált szolgáltatásoknak a virtuális hálózattal való jobb integrálásában azáltal, hogy meghatározzák az üzembe helyezés előfeltételeit hálózati szándékszabályzatok formájában. Ez a szabályzat biztosítja, hogy az injektált szolgáltatás működését befolyásoló műveletek blokkolhatók legyenek a PUT-ben.
Ki delegálhat?
Az alhálózat-delegálás olyan gyakorlat, amelyet a virtuális hálózat tulajdonosainak végre kell hajtaniuk egy adott Azure-szolgáltatás egyik alhálózatának kijelöléséhez. Az Azure Service viszont üzembe helyezi a példányokat ebben az alhálózatban az ügyfél számítási feladatainak felhasználása céljából.
Az alhálózat-delegálás hatása az alhálózatra
Minden Azure-szolgáltatás saját üzemi modellt határoz meg, ahol az alábbiak szerint határozhatják meg, hogy milyen tulajdonságokat végeznek vagy nem támogatnak egy delegált alhálózaton injektálási célokra:
Megosztott alhálózat más Azure-szolgáltatásokkal vagy virtuálisgép-méretezési csoportokkal ugyanabban az alhálózatban, vagy csak a szolgáltatás csak példányaival rendelkező dedikált alhálózatot támogat.
Támogatja az NSG-társításokat a delegált alhálózattal.
Támogatja a delegált alhálózathoz társított NSG-t, és bármely más alhálózathoz is társítható.
Engedélyezi az útvonaltábla társítását a delegált alhálózattal.
Lehetővé teszi a delegált alhálózathoz társított útvonaltáblát bármely más alhálózathoz társítani.
Meghatározza a delegált alhálózatban található IP-címek minimális számát.
A delegált alhálózat IP-címterét a magánhálózati IP-címtérből (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) határozza meg.
Azt diktálja, hogy az egyéni DNS-konfiguráció rendelkezik Azure DNS-bejegyzéssel.
A delegálást el kell távolítani az alhálózat vagy a virtuális hálózat törlése előtt.
Nem használható privát végponttal, ha az alhálózat delegálva van.
Az injektált szolgáltatások saját szabályzatokat is hozzáadhatnak az alábbiak szerint:
Biztonsági szabályzatok: Az adott szolgáltatás működéséhez szükséges biztonsági szabályok gyűjteménye.
Útvonalszabályzatok: Az adott szolgáltatás működéséhez szükséges útvonalak gyűjteménye.
Milyen alhálózat-delegálás nem működik?
A delegált alhálózatba injektált Azure-szolgáltatások továbbra is rendelkeznek a nem delegált alhálózatokhoz elérhető alapvető tulajdonságokkal, például:
Az Azure-szolgáltatások példányokat injektálhatnak az ügyfél alhálózataiba, de nem befolyásolhatják a meglévő számítási feladatokat.
A szolgáltatások által alkalmazott szabályzatokat és útvonalakat az ügyfél rugalmasan és felülírva alkalmazza.