通过 Azure 虚拟网络中的子网委派,可以为所选的 Azure PaaS 服务指定需要注入虚拟网络的特定子网。 此功能可完全控制客户管理 Azure 服务与其虚拟网络的集成,确保更好的性能和安全性。
将某个子网委托给 Azure 服务即表示你允许该服务为该子网建立一些基本的网络配置规则,这有助于该 Azure 服务稳定地操作其实例。 因此,Azure 服务可能会建立以下一些部署前或部署后条件:
- 在共享子网或专用子网中部署服务。
- 在部署后将一组网络意向策略添加到服务,使服务能够正常运行。
子网委托的优势
将子网委托给特定的服务可提供以下优势:
有助于为一个或多个 Azure 服务指定子网,并根据要求管理子网中的实例。 例如,虚拟网络所有者可为委托的子网定义以下策略和选项,以便更好地管理资源:
对网络安全组定义网络筛选流量策略。
对用户定义的路由定义路由策略。
对服务终结点配置定义服务集成。
以网络意向策略的形式定义已注入服务的部署前提条件,帮助这些服务更好地与虚拟网络集成。 此策略确保在执行 PUT 时,可以阻止可能会影响已注入服务正常运行的任何操作。
谁可以委托子网?
子网委托是虚拟网络所有者针对特定 Azure 服务指定某个子网而需要执行的操作。 而 Azure 服务又会将实例部署到此子网,供客户工作负荷使用。
子网委托对子网的影响
每个 Azure 服务将定义自身的部署模型,在此模型中,这些服务可以定义出于注入目的,它们支持或不支持委托子网中的哪些属性,如下所述:
- 与同一子网中的其他 Azure 服务或虚拟机/虚拟机规模集共享子网,或者它仅支持一个专用子网,该子网仅包含此服务的实例。
- 支持与委托子网的网络安全组(NSG)关联。
- 支持还可以与任何其他子网关联的委托子网的关联 NSG。
- 允许路由表与委托子网的关联。
- 允许与任何其他子网关联的委托子网的关联路由表。
- 指定委托子网中的最小 IP 地址数。
- 指定委托子网中来自专用 IP 地址空间(10.0.0.0/8、192.168.0.0/16、172.16.0.0/12)的 IP 地址空间。
- 指定自定义 DNS 配置包含 Azure DNS 条目。
- 需要先删除委派,然后才能删除子网或虚拟网络。
- 如果委托了子网,则不能与专用终结点一起使用。 因此,不应在这些子网中配置专用终结点网络策略。
注入的服务也可以添加自身的策略,如下所述:
- 安全策略:给定服务正常运行所需的安全规则集合。
- 路由策略:给定服务正常运行所需的路由集合。
子网委托无法实现的功能
要注入到委托子网中的 Azure 服务仍有一组基本属性可用于非委托子网,例如:
- Azure 服务可将实例注入到客户子网,但不能影响现有的工作负载。
- 这些服务应用的策略或路由非常灵活,可由客户替代。