サブネットの委任とは
サブネット委任を使用すると、仮想ネットワークに挿入する必要がある特定のサブネットを任意の Azure PaaS サービスに対して指定できます。 サブネット委任を使用すると、お客様は、仮想ネットワークへの Azure サービスの統合の管理について徹底した制御を行うことができます。
サブネットを Azure サービスに委任すると、そのサービスはそのサブネットに対して基本的なネットワーク構成ルールを確立できるようになります。これにより、Azure サービスは、安定した方法でインスタンスを操作できます。 その結果、Azure サービスは、次のようなデプロイ前またはデプロイ後の状態を確立できます。
共有サブネットまたは専用サブネットにサービスをデプロイする。
サービスを正常に機能させるために必要な一連のネットワーク インテント ポリシーをデプロイ後にサービスに追加する。
サブネット委任の利点
サブネットを特定のサービスに委任すると、次のような利点があります。
1 つ以上の Azure サービスに対してサブネットを指定でき、要件に従ってサブネット内のインスタンスを管理できる。 たとえば、仮想ネットワークの所有者は、リソースをより適切に管理するために、委任されたサブネットに対して以下のポリシーとオプションを定義できます。
ネットワーク セキュリティ グループを使用したネットワーク フィルタリング トラフィック ポリシー。
ユーザー定義のルートを使用したルーティング ポリシー。
サービス エンドポイント構成を使用したサービス統合。
ネットワーク インテント ポリシーの形式でデプロイの事前条件を定義することにより、挿入したサービスを仮想ネットワークにより適切に統合できる。 このポリシーにより、挿入したサービスの機能に影響する可能性があるすべてのアクションを、PUT でブロックできます。
委任できるユーザー
サブネット委任とは、仮想ネットワークの所有者が、特定の Azure サービスにいずれかのサブネットを指定するために実行する必要がある操作です。 委任後、Azure サービスのインスタンスがそのサブネットにデプロイされ、顧客のワークロードで使用されます。
サブネットへのサブネット委任の影響
Azure サービスごとに独自のデプロイ モデルが定義されます。以下に示すように、委任されたサブネットで、挿入のためにどのプロパティをサポートするか、またはサポートしないかを定義できます。
同じサブネットに他の Azure サービスまたは VM/仮想マシン スケールセットがある共有サブネットなのか、このサービスのインスタンスのみが含まれる専用サブネットのみをサポートするのか。
委任されたサブネットとの NSG の関連付けをサポートする。
委任されたサブネットに関連付けられている NSG の、他のサブネットへの関連付けをサポートする。
委任されたサブネットとのルーティング テーブルの関連付けを許可する。
委任されたサブネットに関連付けられているルーティング テーブルの、他のサブネットへの関連付けを許可する。
委任されたサブネットの IP アドレスの最小数を指定する。
委任されたサブネットの IP アドレス空間がプライベート IP アドレス空間 (10.0.0.0/8、192.168.0.0/16、172.16.0.0/12) から構成されるように指定する。
カスタム DNS 構成に Azure DNS エントリが含まれるよう指定する。
サブネットまたは仮想ネットワークを削除する前に、委任を削除する必要がある。
サブネットが委任された場合、プライベート エンドポイントと共に使用できない。
挿入されたサービスには、次のような独自のポリシーも追加できます。
セキュリティ ポリシー:特定のサービスを機能させるために必要な一連のセキュリティ規則。
ルーティング ポリシー:特定のサービスを機能させるために必要な一連のルート。
サブネットの委任で行われないこと
委任されたサブネットに挿入される Azure サービスには、次のように、委任されていないサブネットに使用できる基本的なプロパティのセットがあります。
Azure サービスでは、お客様のサブネットにインスタンスを挿入できますが、既存のワークロードへの影響はありません。
これらのサービスが適用するポリシーまたはルートは柔軟性があり、お客様がオーバーライドできます。