有人能帮忙解释一下Azure中的子网委派吗?
我已经阅读了以下文章,但它们并没有真正解释什么: https://learn.microsoft.com/en-us/azure/virtual-network/subnet-delegation-overview
它的目的是什么?我何时需要它?
1个回答
11
Subnet Delegation通常用于允许将PaaS服务注入到现有虚拟网络中。一个例子是Azure Databricks服务。
如果您在不进行VNet注入的情况下部署DataBricks(默认选项),则将为DataBricks实例创建一个新的专用VNet。群集的工作节点(Azure VM)将连接到新的VNet。
如果您不想创建新的专用VNet,而是使用现有的VNet,则可以使用VNet注入来部署DataBricks。您基本上授予DataBricks服务控制现有VNet内子网的某些方面的权限。这个过程被称为子网委派。它允许PaaS服务进行某些配置更改,例如添加网络安全组规则(如果子网附加到NSG)或配置自定义路由。
您只能将子网委派给单个资源类型。这就是为什么您经常为Azure PaaS服务创建专用子网的原因。
如果您在不进行VNet注入的情况下部署DataBricks(默认选项),则将为DataBricks实例创建一个新的专用VNet。群集的工作节点(Azure VM)将连接到新的VNet。
如果您不想创建新的专用VNet,而是使用现有的VNet,则可以使用VNet注入来部署DataBricks。您基本上授予DataBricks服务控制现有VNet内子网的某些方面的权限。这个过程被称为子网委派。它允许PaaS服务进行某些配置更改,例如添加网络安全组规则(如果子网附加到NSG)或配置自定义路由。
您只能将子网委派给单个资源类型。这就是为什么您经常为Azure PaaS服务创建专用子网的原因。
- Richard Waal
3
有道理。如果我想在同一子网中同时使用Databricks和Web应用程序,这是否可能?或者一个子网只能委派给单个Azure服务?
如果每个应用程序都需要不同服务的多个子网进行委派,那么我们就应该将应用程序分组到单独的VNET而不是单独的子网中。例如,Web应用程序在一个子网中,存储在另一个子网中,消息传递在第三个子网中等等。 - CodeMonkey
您只能将子网委托给单一资源类型。否则,两个服务理论上会向子网应用冲突的配置。通常使用专用的子网来提供 PaaS 服务。某些 Azure 服务在部署过程中会检查子网是否已被其他服务使用。如果发现这种情况,则部署将失败。 - Richard Waal
请注意,如果您想将Azure PaaS服务连接到VNet,则并非总是适用于子网委派。一些服务支持Private Link,它在您的VNet中创建一个私有端点。流量可以通过VNet而不是公共互联网进行传输。应用程序服务和存储支持私有链接。 - Richard Waal
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接