Azure 负载均衡器支持跨订阅负载均衡,其中前端 IP 和/或后端池实例可以位于与 Azure 负载均衡器不同的订阅中。
本文概述了使用 Azure 负载均衡器进行的跨订阅负载均衡及其支持的方案。
什么是跨订阅负载均衡?
跨订阅负载均衡允许跨多个订阅部署 Azure 负载均衡器资源。 使用此功能,你可以在一个订阅中部署负载均衡器,并在另一个订阅中部署前端 IP 和后端池实例。 此功能对于拥有单独的网络和应用程序资源订阅的组织非常有用。
本表介绍了跨订阅负载均衡支持的一些可能方案。
| 订阅 1 | 订阅 2 |
|---|---|
| 负载均衡器 | 后端池资源和前端 IP 地址 |
| 负载均衡器和后端池资源 | 前端 IP 地址 |
| 负载均衡器和前端 IP 地址 | 后端池资源 |
跨订阅前端 IP 配置
跨订阅前端允许前端 IP 配置驻留在负载均衡器订阅以外的其他订阅中。 若要启用跨订阅前端 IP 配置,所有后端池都需要进行 SyncMode 属性配置。
公共前端 IP 配置
Azure 负载均衡器使用的公共 IP 地址可以驻留在与负载均衡器不同的订阅中。 如果多个公共 IP 地址附加到负载均衡器,则每个 IP 地址都可以来自不同的订阅。 例如,如果我们有一个负载均衡器(部署在订阅 C 中),它有两个前端 IP,第一个 IP 地址可以位于订阅 B 中,第二个 IP 地址则可以位于订阅 A 中。
一个重要注意事项是,设置前端 IP 配置后,无法修改其订阅。 但是,可以将前端 IP 配置更新为同一订阅中的另一个 IP 地址。 例如,如果某个前端 IP 配置附加到订阅 1 中的 IP 地址 A,则也可以将其更新为订阅 1 中的 IP 地址 B。 跨订阅公共 IP 地址仅在区域层标准负载均衡器上受支持
内部前端 IP 配置
与公共负载均衡器一样,内部负载均衡器也可以具有跨订阅前端 IP 配置。 在这种情况下,子网/虚拟网络可以驻留在与负载均衡器不同的订阅中。 但是,与公共前端不同,所有内部前端配置都必须来自同一个子网/虚拟网络。 此外,必须将所有后端池配置为与前端 IP 配置相同的虚拟网络。
跨订阅后端池
跨订阅后端允许后端实例驻留在负载均衡器订阅以外的其他订阅中。 例如,负载均衡器可以位于订阅 1 中,我的后端 VM 可以位于订阅 2 中。 后端实例可以与其引用的虚拟网络位于不同的订阅中。 跨订阅后端池必须使用一个称为“同步模式”的新属性。
什么是“同步模式”
“同步模式”属性是一个参数,你可以在使用 IP 地址和虚拟网络 ID 创建后端池时指定该参数。 使用跨订阅前端或后端时,必须设置此属性。 它有两个可能的值:“自动”或“手动”。
此外,此属性替代了基于 NIC 或基于 IP 的后端池的概念。 因此,配置了“同步模式”属性的后端池是一种不同类型的后端池,与基于 NIC 或 IP 的后端池不同。 后端池可以是以下三种类型之一:基于 NIC、基于 IP,或启用了“同步模式”。
何时应使用“自动”同步模式
将“同步模式”配置为“自动”时,后端池实例将与负载均衡器配置同步。 因此,后端池实例的更改会自动反映在负载均衡器的后端池配置中。 当在后端池中使用虚拟机规模集时,此更改很有意义。 当规模集横向缩减/横向扩展时,将相应地自动在池中添加或移除后端池成员。 与基于 NIC(网络接口卡)的后端池一样,如果 SyncMode 设置为 “自动”,则每个后端实例的 NIC 还必须引用负载均衡器后端池。 因此,通过更新 NIC 资源中对负载均衡器的引用,将后端实例添加到自动同步模式的后端池。
何时应使用手动 SyncMode
将“同步模式”配置为“手动”时,后端池实例不会与负载均衡器配置同步。 此模式允许你使用预先预配的专用 IP 地址创建后端池,这些地址可用于灾难恢复、主动-被动或动态预配等场景。 使用“手动”同步模式的后端池时,你负责在后端实例发生任何更改时更新后端池,例如使用规模集自动缩放。
跨订阅全局负载均衡器
此外,Azure 全局负载均衡器支持跨订阅负载均衡。 使用跨订阅全局负载均衡器,后端区域性负载均衡器可以分别位于不同的订阅中。 全局负载均衡器上的跨订阅后端不需要其他参数,也不需要更改后端池。
注释
Azure 全局负载均衡器目前不支持跨订阅前端。
授权
若要启用跨订阅负载均衡,则用户必须在两个订阅中都分配有“网络参与者”角色或分配有可执行下表中所列适当操作的自定义角色:
跨订阅前端
公共前端
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action Microsoft.Network/publicIPAddresses/join/action
内部前端
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action
跨订阅后端
Microsoft.Network/loadBalancers/backendAddressPools/写入
Microsoft.Network/loadBalancers/backendAddressPools/join/action Microsoft.Network/virtualNetworks/write Microsoft.Network/networkInterfaces/write
跨租户
跨租户工作时,用户必须在两个订阅中都分配有“网络参与者”角色或分配有可跨订阅前端执行适当操作的自定义角色。 有关跨租户链接的详细信息,请参阅跨租户对请求进行身份验证。
局限性
- 只能在新的后端池上设置“同步模式”
- 必须显式设置 SyncMode 属性 - 默认情况下,SyncMode 属性未指定
- 部署/更新负载均衡器时,需要使用 API 版本 2023-04-01 及更高版本
- 在配置后,无法在后端池上更改“同步模式”属性
- 配置了“同步模式”属性时,必须指定虚拟网络。 配置虚拟网络后,无法在后端池上更新它
- 跨订阅负载均衡器不支持入站 NAT 池。 使用入站 NAT 规则
- 所有资源必须与负载均衡器部署在同一区域中
- 跨区域负载均衡器后端池不支持“同步模式”属性
- 无法将跨订阅负载均衡器链接到网关负载均衡器
- 网关负载均衡器不能具有跨订阅组件