Hinzufügen oder Entfernen der Subnetzdelegierung im virtuellen Azure-Netzwerk

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

• Wenn Sie das Subnetz, das Sie an den Azure-Dienst delegieren möchten, nicht persönlich erstellt haben, benötigen Sie die folgende Berechtigung: Microsoft.Network/virtualNetworks/subnets/write. Die integrierte Rolle Netzwerkmitwirkender enthält ebenfalls die erforderlichen Berechtigungen.

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

• Wenn Sie das Subnetz, das Sie an den Azure-Dienst delegieren möchten, nicht persönlich erstellt haben, benötigen Sie die folgende Berechtigung: Microsoft.Network/virtualNetworks/subnets/write. Die integrierte Rolle Netzwerkmitwirkender enthält ebenfalls die erforderlichen Berechtigungen.

• Azure PowerShell (lokale Installation) oder Azure Cloud Shell.

• Melden Sie sich bei Azure PowerShell an, und stellen Sie sicher, dass das Abonnement, mit dem Sie dieses Feature verwenden möchten, ausgewählt ist. Weitere Informationen finden Sie unter Anmelden mit Azure PowerShell.

• Verwenden Sie mindestens Version 4.3.0 des Az.Network-Moduls. Um das installierte Modul zu überprüfen, verwenden Sie den Befehl Get-InstalledModule -Name "Az.Network". Falls das Modul ein Update erfordert, verwenden Sie bei Bedarf den Befehl Update-Module -Name Az.Network.

Wenn Sie PowerShell lokal installieren und verwenden möchten, müssen Sie für diesen Artikel mindestens Version 5.4.1 des Azure PowerShell-Moduls verwenden. Führen Sie Get-Module -ListAvailable Az aus, um die installierte Version zu ermitteln. Wenn Sie ein Upgrade ausführen müssen, finden Sie unter Installieren des Azure PowerShell-Moduls Informationen dazu. Wenn Sie PowerShell lokal ausführen, müssen Sie auch Connect-AzAccount ausführen, um eine Verbindung mit Azure herzustellen.

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

• Wenn Sie das Subnetz, das Sie an den Azure-Dienst delegieren möchten, nicht persönlich erstellt haben, benötigen Sie die folgende Berechtigung: Microsoft.Network/virtualNetworks/subnets/write. Die integrierte Rolle Netzwerkmitwirkender enthält ebenfalls die erforderlichen Berechtigungen.

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter "Erste Schritte mit Azure Cloud Shell".

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Um den Authentifizierungsprozess abzuschließen, führen Sie die in Ihrem Terminal angezeigten Schritte aus. Weitere Anmeldeoptionen finden Sie unter Authentifizieren bei Azure mithilfe der Azure CLI.

  • Installieren Sie die Azure CLI-Erweiterung bei der ersten Verwendung, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden und Verwalten von Erweiterungen mit der Azure CLI.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

• Für diesen Anleitungsartikel ist mindestens Version 2.31.0 der Azure CLI erforderlich. Bei Verwendung von Azure Cloud Shell ist die aktuelle Version bereits installiert.

Mit dem folgenden Verfahren wird ein virtuelles Netzwerk mit einem Ressourcensubnetz erstellt.

1. Suchen Sie im Portal nach der Option Virtuelle Netzwerke und wählen Sie sie aus.

2. Wählen Sie auf der Seite Virtuelle Netzwerke die Option + Erstellen aus.

3. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

   Setting	Value
   Projektdetails
   Subscription	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Wählen Sie Neu erstellen. Geben Sie test-rg für Name ein. Wählen Sie OK aus.
   Instanzdetails
   Name	Geben Sie vnet-1 ein.
   Region	Wählen Sie USA, Osten 2 aus.

   

4. Wählen Sie Weiter aus, um zur Registerkarte Sicherheit zu gelangen.

5. Wählen Sie Weiter aus, um zur Registerkarte IP-Adressen zu gelangen.

6. Wählen Sie im Feld für den Adressraum unter Subnetze das Standardsubnetz aus.

7. Geben Sie unter Subnetz bearbeiten die folgenden Informationen ein, oder wählen Sie sie aus:

   Setting	Value
   Subnetzzweck	Übernehmen Sie den Standardwert: Standard.
   Name	Geben Sie subnet-1 ein.

8. Verwenden Sie für die übrigen Einstellungen die Standardwerte. Wählen Sie Speichern aus.

   

9. Wählen Sie Speichern aus.

10. Wählen Sie am unteren Bildschirmrand Überprüfen + erstellen aus, und wenn die Validierung erfolgreich ist, wählen Sie Erstellen aus.

Erstellen einer Ressourcengruppe

Erstellen Sie eine Ressourcengruppe mit New-AzResourceGroup. Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

Im folgenden Beispiel wird eine Ressourcengruppe mit dem Namen test-rg am Standort eastus2 erstellt:

$rg = @{
    Name = 'test-rg'
    Location = 'eastus2'
}
New-AzResourceGroup @rg

Virtuelles Netzwerk erstellen

Erstellen Sie mit ein virtuelles Netzwerk namens vnet-1 mit einem Subnetz namens New-AzVirtualNetworkSubnetConfig mit in der Ressourcengruppe New-AzVirtualNetwork.

Der IP-Adressraum für das virtuelle Netzwerk ist 10.0.0.0/16. Das Subnetz im virtuellen Netzwerk ist 10.0.0.0/24.

$sub = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
}
$subnet = New-AzVirtualNetworkSubnetConfig @sub

$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnet
}
New-AzVirtualNetwork @net

Erstellen einer Ressourcengruppe

Erstellen Sie eine Ressourcengruppe mit az group create. Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

Im folgenden Beispiel wird eine Ressourcengruppe namens test-rg am Standort eastu2 erstellt:

az group create \
    --name test-rg \
    --location eastus2

Erstellen eines virtuellen Netzwerks

Erstellen Sie mit ein virtuelles Netzwerk namens vnet-1 mit einem Subnetz namens subnet-1 in der Ressourcengruppe az network vnet create.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

1. Melden Sie sich beim Azure-Portalan.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie vnet-1 aus.

4. Wählen Sie unter Einstellungen die Option Subnetze aus.

5. Wählen Sie subnet-1 aus.

6. Geben Sie die folgenden Informationen an:

   Setting	Value
   SUBNETZDELEGIERUNG
   Delegieren eines Subnetzes an einen Dienst	Wählen Sie den Dienst aus, an den Sie das Subnetz delegieren möchten. Beispiel: Microsoft.Sql/managedInstances.

7. Wählen Sie Speichern aus.

Verwenden Sie Add-AzDelegation, um das Subnetz namens subnet-1 mit einer Delegierung namens myDelegation für einen Azure-Dienst zu aktualisieren. In diesem Beispiel wird Microsoft.Sql/managedInstances für die Beispieldelegierung verwendet:

$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'subnet-1'
    VirtualNetwork = $vnet
}
$subnet = Get-AzVirtualNetworkSubnetConfig @sub

$del = @{
    Name = 'myDelegation'
    ServiceName = 'Microsoft.Sql/managedInstances'
    Subnet = $subnet
}
$subnet = Add-AzDelegation @del

Set-AzVirtualNetwork -VirtualNetwork $vnet

Überprüfen Sie die Delegierung mithilfe von Get-AzDelegation:

$sub = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$subnet = Get-AzVirtualNetwork @sub | Get-AzVirtualNetworkSubnetConfig -Name 'subnet-1'

$dg = @{
    Name ='myDelegation'
    Subnet = $subnet
}
Get-AzDelegation @dg

  ProvisioningState : Succeeded
  ServiceName       : Microsoft.Sql/managedInstances
  Actions           : {Microsoft.Network/virtualNetworks/subnets/join/action}
  Name              : myDelegation
  Etag              : W/"9cba4b0e-2ceb-444b-b553-454f8da07d8a"
  Id                : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1/subnets/subnet-1/delegations/myDelegation

Verwenden Sie az network virtual network subnet update, um das Subnetz namens subnet-1 mit einer Delegierung für einen Azure-Dienst zu aktualisieren. In diesem Beispiel wird Microsoft.Sql/managedInstances für die Beispieldelegierung verwendet:

az network vnet subnet update \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --delegations Microsoft.Sql/managedInstances

Verwenden Sie az network vnet subnet show, um zu überprüfen, ob die Delegierung angewendet wurde. Überprüfen Sie in der Eigenschaft serviceName, ob der Dienst an das Subnetz delegiert wurde:

az network vnet subnet show \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --query delegations

[
  {
    "actions": [
      "Microsoft.Network/virtualNetworks/subnets/join/action",
      "Microsoft.Network/virtualNetworks/subnets/prepareNetworkPolicies/action",
      "Microsoft.Network/virtualNetworks/subnets/unprepareNetworkPolicies/action"
    ],
    "etag": "W/\"30184721-8945-4e4f-9cc3-aa16b26589ac\"",
    "id": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1/subnets/subnet-1/delegations/0",
    "name": "0",
    "provisioningState": "Succeeded",
    "resourceGroup": "test-rg",
    "serviceName": "Microsoft.Sql/managedInstances",
    "type": "Microsoft.Network/virtualNetworks/subnets/delegations"
  }
]

1. Melden Sie sich beim Azure-Portalan.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie vnet-1 aus.

4. Wählen Sie unter Einstellungen die Option Subnetze aus.

5. Wählen Sie subnet-1 aus.

6. Geben Sie die folgenden Informationen an:

   Setting	Value
   SUBNETZDELEGIERUNG
   Delegieren eines Subnetzes an einen Dienst	Wählen Sie Keine aus.

7. Wählen Sie Speichern aus.

Verwenden Sie Remove-AzDelegation, um die Delegierung aus dem Subnetz subnet-1 zu entfernen:

$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'subnet-1'
    VirtualNetwork = $vnet
}
$subnet = Get-AzVirtualNetworkSubnetConfig @sub

$del = @{
    Name = 'myDelegation'
    Subnet = $subnet
}
$subnet = Remove-AzDelegation @del

Set-AzVirtualNetwork -VirtualNetwork $vnet

Überprüfen Sie mithilfe von Get-AzDelegation, ob die Delegierung entfernt wurde:

$sub = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$subnet = Get-AzVirtualNetwork @sub | Get-AzVirtualNetworkSubnetConfig -Name 'subnet-1'

$dg = @{
    Name ='myDelegation'
    Subnet = $subnet
}
Get-AzDelegation @dg

Get-AzDelegation: Sequence contains no matching element

Verwenden Sie az network vnet subnet update, um die Delegierung aus dem Subnetz subnet-1 zu entfernen:

az network vnet subnet update \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --remove delegations

Überprüfen Sie mithilfe von az network vnet subnet show, ob die Delegierung entfernt wurde. Überprüfen Sie in der Eigenschaft serviceName, ob der Dienst aus dem Subnetz entfernt wurde:

az network vnet subnet show \
    --resource-group test-rg \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --query delegations

Die Ausgabe des Befehls ist ein leeres eckiges Klammerpaar:

[]