Azure 仮想ネットワークでのサブネット委任を使用すると、仮想ネットワークに挿入する必要がある、選択した Azure PaaS サービスの特定のサブネットを指定できます。 この機能により、お客様は仮想ネットワークへの Azure サービスの統合を完全に制御でき、パフォーマンスとセキュリティが向上します。
サブネットを Azure サービスに委任すると、そのサービスはそのサブネットに対して基本的なネットワーク構成ルールを確立できるようになります。これにより、Azure サービスは、安定した方法でインスタンスを操作できます。 その結果、Azure サービスによって、デプロイ前またはデプロイ後の次の条件の一部が確立される場合があります。
- 共有サブネットまたは専用サブネットにサービスをデプロイする。
- サービスを正常に機能させるために必要な一連のネットワーク インテント ポリシーをデプロイ後にサービスに追加する。
サブネット委任の利点
サブネットを特定のサービスに委任すると、次のような利点があります。
1 つ以上の Azure サービスに対してサブネットを指定でき、要件に従ってサブネット内のインスタンスを管理できる。 たとえば、仮想ネットワークの所有者は、リソースをより適切に管理するために、委任されたサブネットに対して以下のポリシーとオプションを定義できます。
ネットワーク セキュリティ グループを使用したネットワーク フィルタリング トラフィック ポリシー。
ユーザー定義のルートを使用したルーティング ポリシー。
サービス エンドポイント構成を使用したサービス統合。
ネットワーク インテント ポリシーの形式でデプロイの事前条件を定義することにより、挿入したサービスを仮想ネットワークにより適切に統合できる。 このポリシーにより、挿入したサービスの機能に影響する可能性があるすべてのアクションを、PUT でブロックできます。
委任できるユーザー
サブネット委任とは、仮想ネットワークの所有者が、特定の Azure サービスにいずれかのサブネットを指定するために実行する必要がある操作です。 委任後、Azure サービスのインスタンスがそのサブネットにデプロイされ、顧客のワークロードで使用されます。
サブネットへのサブネット委任の影響
Azure サービスごとに独自のデプロイ モデルが定義されます。以下に示すように、委任されたサブネットで、挿入のためにどのプロパティをサポートするか、またはサポートしないかを定義できます。
- 同じサブネット内の他の Azure Services または仮想マシン/仮想マシン スケール セットとの共有サブネット。または、このサービスのインスタンスのみを含む専用サブネットのみをサポートします。
- 委任されたサブネットとのネットワーク セキュリティ グループ (NSG) の関連付けをサポートします。
- 委任されたサブネットに関連付けられている NSG の、他のサブネットへの関連付けをサポートする。
- 委任されたサブネットとのルーティング テーブルの関連付けを許可する。
- 委任されたサブネットに関連付けられているルーティング テーブルの、他のサブネットへの関連付けを許可する。
- 委任されたサブネットの IP アドレスの最小数を指定する。
- 委任されたサブネットの IP アドレス空間がプライベート IP アドレス空間 (10.0.0.0/8、192.168.0.0/16、172.16.0.0/12) から構成されるように指定する。
- カスタム DNS 構成に Azure DNS エントリが含まれるよう指定する。
- サブネットまたは仮想ネットワークを削除する前に、委任を削除する必要がある。
- サブネットが委任された場合、プライベート エンドポイントと共に使用できない。 その結果、これらのサブネットでプライベート エンドポイント ネットワーク ポリシーを構成しないでください。
挿入されたサービスには、次のような独自のポリシーも追加できます。
- セキュリティ ポリシー:特定のサービスを機能させるために必要な一連のセキュリティ規則。
- ルーティング ポリシー:特定のサービスを機能させるために必要な一連のルート。
サブネットの委任で行われないこと
委任されたサブネットに挿入される Azure サービスには、次のように、委任されていないサブネットに使用できる基本的なプロパティのセットがあります。
- Azure サービスでは、お客様のサブネットにインスタンスを挿入できますが、既存のワークロードへの影響はありません。
- これらのサービスが適用するポリシーまたはルートは柔軟性があり、お客様がオーバーライドできます。