FAQ sur Azure Virtual Network Manager
Cet article fournit des réponses aux questions fréquemment posées sur Azure Virtual Network Manager.
Général
Quelles régions Azure prennent-elles en charge Azure Virtual Network Manager ?
Pour obtenir des informations actuelles sur la prise en charge des régions, consultez l’article Produits disponibles par région.
Remarque
Toutes les régions ont des zones de disponibilité, à l’exception de France Centre.
Quels sont les cas d’usage courants pour Azure Virtual Network Manager ?
Vous pouvez créer des groupes réseau pour répondre aux besoins de sécurité de votre environnement et de ses fonctions. Par exemple, vous pouvez créer des groupes réseau pour vos environnements de production et de test pour gérer leurs règles de connectivité et de sécurité à grande échelle.
Pour les règles de sécurité, vous pouvez créer une configuration d’administrateur de sécurité avec deux collections. Chaque collection est ciblée sur vos groupes de réseau de production et de test, respectivement. Après le déploiement, cette configuration applique un ensemble de règles de sécurité pour les ressources réseau dans votre environnement de production et un ensemble pour l’environnement de test.
Vous pouvez appliquer des configurations de connectivité pour créer un maillage ou une topologie réseau hub-and-spoke pour un grand nombre de réseaux virtuels dans les abonnements de votre organisation.
Vous pouvez refuser le trafic à haut risque. En tant qu’administrateur d’une entreprise, vous pouvez bloquer des protocoles ou des sources spécifiques qui remplacent les règles de groupe de sécurité réseau (NSG) qui autoriseraient normalement le trafic.
Vous pouvez toujours autoriser le trafic. Par exemple, vous pouvez autoriser un analyseur de sécurité spécifique à toujours avoir une connectivité entrante à toutes vos ressources, même si des règles NSG sont configurées pour refuser le trafic.
Quel est le coût lié à l’utilisation d’Azure Virtual Network Manager ?
Les frais d’Azure Virtual Network Manager sont fonction du nombre d’abonnements qui contiennent un réseau virtuel sur lequel est déployée une configuration Virtual Network Manager active. En outre, des frais de peering s’appliquent au volume de trafic des réseaux virtuels gérés par une configuration de connectivité déployée (maillage ou hub-and-spoke).
Vous trouverez la tarification actuelle pour votre région sur la page de tarification d’Azure Virtual Network Manager.
Comment déployer Azure Virtual Network Manager ?
Vous pouvez déployer et gérer une instance Azure Virtual Network Manager et des configurations via divers outils, notamment :
Technique
Un réseau virtuel peut-il appartenir à plusieurs instances d’Azure Virtual Network Manager ?
Oui, un réseau virtuel peut appartenir à plusieurs instances d’Azure Virtual Network Manager.
Les réseaux virtuels spoke peuvent-ils être connectés à un hub VWAN dans une topologie de maillage afin que ces réseaux virtuels spoke puissent communiquer directement ?
Oui, les réseaux virtuels spoke peuvent se connecter aux hubs VWAN pendant qu’ils se trouvent dans le groupe de maillage. Ces réseaux virtuels du groupe de maillage ont une connectivité directe.
Les opérations sur les préfixes IP dans les réseaux virtuels qui font partie du maillage Azure Virtual Network Manager se propageront-ils automatiquement ?
Les réseaux virtuels dans le maillage sont automatiquement synchronisés. Les préfixes IP sont mis à jour automatiquement. Cela signifie que le trafic au sein du maillage fonctionnera même après des changements de préfixes IP dans les réseaux virtuels du maillage.
Comment vérifier qu’une topologie de maillage est configurée et appliquée ?
Reportez-vous à la documentation Comment afficher les configurations appliquées. Une topologie de maillage n’est pas un peering de réseaux virtuels. Vous ne pouvez donc pas voir la connectivité de maillage dans le peering.
Que se passe-t-il si la région où Azure Virtual Network Manager est créé est en panne ? Cela affecte-t-il les configurations déployées ou cela empêche-t-il uniquement les modifications de configuration ?
Seule la possibilité de modifier les configurations sera affectée. Une fois qu’Azure Virtual Network Manager a programmé la configuration après avoir validé la configuration, elle continuera à fonctionner. Par exemple, si l’instance Azure Virtual Network Manager est créée dans la région 1 et que la topologie de maillage est établie dans la région 2, le maillage de la région 2 continue de fonctionner même si la région 1 devient indisponible.
Qu’est-ce qu’une topologie de maillage en réseau global ?
Un maillage global permet aux réseaux virtuels entre régions de communiquer les uns avec les autres. Les effets sont similaires à l’appairage de réseaux virtuels globaux.
Le nombre de groupes réseau que je peux créer est-il limité ?
Le nombre de groupes réseau que vous pouvez créer n’est pas limité.
Comment supprimer le déploiement de toutes les configurations appliquées ?
Vous devez déployer une configuration Aucune dans toutes les régions auxquelles une configuration est appliquée.
Puis-je ajouter les réseaux virtuels d’un autre abonnement que je ne gère pas ?
Oui, si vous disposez des autorisations appropriées pour accéder à ces réseaux virtuels.
Qu’est-ce que l’appartenance de groupe dynamique ?
Consultez la section Adhésion dynamique.
En quoi le déploiement de la configuration diffère-t-il entre l’appartenance dynamique et l’appartenance statique ?
Consultez la section Déploiements de configurations dans Azure Virtual Network Manager.
Comment supprimer un composant Azure Virtual Network Manager ?
Consultez l’article Liste de vérification pour la suppression et la mise à jour de composants Azure Virtual Network Manager.
Azure Virtual Network Manager stocke-t-il des données des clients ?
Nombre Azure Virtual Network Manager ne stocke aucune donnée des clients.
Une instance Azure Virtual Network Manager peut-elle être déplacée ?
Non. Azure Virtual Network Manager ne prend actuellement pas en charge cette fonctionnalité. Si vous devez déplacer une instance, vous pouvez essayer de la supprimer et d’utiliser le modèle Azure Resource Manager pour en créer une autre à un autre emplacement.
Puis-je déplacer un abonnement avec azure Virtual Network Manager vers un autre locataire ?
Oui, mais il existe quelques points à prendre en considération et à garder à l’esprit :
- Le locataire cible ne peut pas avoir créé un Gestionnaire de réseau virtuel Azure.
- Les réseaux virtuels des rayons dans le groupe de réseaux peuvent perdre leur référence lors d'un changement de locataire, perdant ainsi la connectivité avec le réseau virtuel du concentrateur. Pour résoudre ce problème, après avoir déplacé l’abonnement vers un autre locataire, vous devez ajouter manuellement les réseaux virtuels des rayons au groupe de réseaux réseau Azure Virtual Network Manager.
Comment voir quelles sont les configurations appliquées pour m’aider à résoudre les problèmes ?
Vous pouvez voir les paramètres Azure Virtual Network Manager d’un réseau virtuel sous Network Manager. Les paramètres indiquent les configurations de connectivité et d’administration de la sécurité qui sont appliquées. Pour plus d’informations, consultez l’article Afficher les configurations appliquées par Azure Virtual Network Manager.
Qu’advient-il lorsque toutes les zones sont en panne dans une région comportant une instance Virtual Network Manager ?
Si une panne régionale se produit, toutes les configurations appliquées aux ressources de réseau virtuel managé actuelles restent intactes pendant la panne. Vous ne pouvez pas créer de configurations ni modifier des configurations existantes pendant la panne. Une fois la panne résolue, vous pouvez continuer à gérer vos ressources de réseau virtuel comme avant.
Un réseau virtuel managé par Azure Virtual Network Manager peut-il être appairé à un réseau virtuel non managé ?
Oui. Azure Virtual Network Manager est entièrement compatible avec les déploiements de topologie hub-and-spoke préexistants qui utilisent le peering. Vous n’avez pas besoin de supprimer les connexions appairées existantes entre les spokes et le hub. La migration se produit sans temps d’arrêt sur votre réseau.
Puis-je effectuer la migration d’une topologie hub-and-spoke existante vers Azure Virtual Network Manager ?
Oui. La migration de réseaux virtuels existants vers la topologie hub-and-spoke dans Azure Virtual Network Manager est simple. Vous pouvez créer une configuration de connectivité de la topologie hub-and-spoke. Lorsque vous déployez cette configuration, Virtual Network Manager crée automatiquement les peerings nécessaires. Les peerings préexistants restent intacts, ce qui garantit l’absence de temps d’arrêt.
Quelle est la différence entre les groupes connectés et le peering de réseaux virtuels en ce qui concerne l’établissement d’une connectivité entre des réseaux virtuels ?
Dans Azure, le peering de réseaux virtuels et les groupes connectés constituent deux méthodes d’établissement de la connectivité entre des réseaux virtuels. Le peering fonctionne grâce à la création d’un mappage un-à-un entre les réseaux virtuels, tandis que les groupes connectés utilisent une nouvelle construction qui établit la connectivité sans ce mappage.
Dans un groupe connecté, tous les réseaux virtuels sont connectés sans relations individuelles d’appairage. Par exemple, si trois réseaux virtuels font partie du même groupe connecté, la connectivité est établie d’un réseau virtuel à l’autre sans nécessiter de relations individuelles de peering.
Lors de la gestion de réseaux virtuels qui utilisent actuellement VNET Peering, cela entraîne-t-il une double facturation des frais de VNET Peering avec Azure Virtual Network Manager ?
Il n’y a pas de facturation double ni triple pour le peering. Votre gestionnaire de réseau virtuel respecte tous les peerings de réseaux virtuels (VNet Peering) créés précédemment et migre ces connexions. Toutes les ressources de peering, qu’elles soient créées à l’intérieur d’un gestionnaire de réseau virtuel ou en dehors, entraînent une charge de peering unique.
Puis-je créer des exceptions aux règles d’administration de sécurité ?
Normalement, les règles d’administration de sécurité sont définies pour bloquer le trafic entre les réseaux virtuels. Toutefois, il existe des moments où certains réseaux virtuels et leurs ressources doivent autoriser le trafic pour la gestion ou d’autres processus. Pour ces scénarios, vous pouvez créer des exceptions si nécessaire. Découvrez comment bloquer des ports à haut risque avec des exceptions pour ces scénarios.
Comment puis-je déployer plusieurs configurations d’administration de sécurité dans une région ?
Vous ne pouvez déployer qu’une seule configuration d’administration de sécurité dans une région. Toutefois, plusieurs configurations de connectivité peuvent exister dans une région si vous créer plusieurs collections de règles dans une configuration de sécurité.
Les règles d’administration de la sécurité s’appliquent-elles aux points de terminaison privés Azure ?
Actuellement, les règles d’administration de la sécurité ne s’appliquent pas aux points de terminaison privés Azure qui appartiennent à l’étendue d’un réseau virtuel managé par Azure Virtual Network Manager.
Règles de trafic sortant
Port | Protocole | Source | Destination | Action |
---|---|---|---|---|
443, 12000 | TCP | VirtualNetwork |
AzureCloud |
Autoriser |
Quelconque | Quelconque | VirtualNetwork |
VirtualNetwork |
Allow |
Un hub Azure Virtual WAN peut-il faire partie d’un groupe réseau ?
Non, pour le moment, un hub Azure Virtual WAN ne peut pas se trouver dans un groupe réseau.
Puis-je utiliser une instance Azure Virtual WAN comme hub dans une configuration de la topologie hub-and-spoke de Virtual Network Manager ?
Non, un hub Azure Virtual WAN n’est pas pris en charge en tant que hub dans une topologie hub-and-spoke pour l’instant.
Mon réseau virtuel ne reçoit pas les configurations attendues. Comment puis-je résoudre ce problème ?
Utilisez les questions suivantes pour connaître les solutions possibles.
Avez-vous déployé votre configuration dans la région du réseau virtuel ?
Les configurations dans Azure Virtual Network Manager ne prennent pas effet tant qu’elles ne sont pas déployées. Déployez les configurations appropriées dans la région du réseau virtuel.
Votre réseau virtuel se trouve-t-il dans l’étendue définie ?
Un gestionnaire de réseau obtient uniquement l’accès délégué dont il a besoin pour appliquer les configurations aux réseaux virtuels situés dans votre étendue. Si une ressource se trouve dans votre groupe réseau, mais qu’elle est en dehors de l’étendue, elle ne reçoit aucune configuration.
Appliquez-vous des règles de sécurité à un réseau virtuel contenant des instances gérées ?
Azure SQL Managed Instance impose des exigences réseau. Ces exigences sont appliquées par le biais de stratégies d’intention réseau à haute priorité, dont l’objectif est en conflit avec des règles d’administration de sécurité. Par défaut, l’application de règles d’administration est ignorée sur les réseaux virtuels contenant l’une de ces stratégies d’intention. Étant donné que les règles Autoriser ne présentent aucun risque de conflit, vous pouvez choisir d’appliquer les règles Autoriser uniquement en définissant AllowRulesOnly
sur securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
.
Appliquez-vous des règles de sécurité à un réseau virtuel ou à un sous-réseau qui contient des services qui bloquent les règles de configuration de sécurité ?
Certains services nécessitent des exigences réseau spécifiques pour fonctionner correctement. Ces services incluent Azure SQL Managed Instance, Azure Databricks et Azure Application Gateway. Par défaut, l’application de règles d’administration de sécurité est ignorée sur les réseaux virtuels et sous-réseaux qui contiennent l’un de ces services. Les règles Autoriser ne présentent aucun risque de conflit. Par conséquent, vous pouvez choisir d’appliquer les règles Autoriser uniquement en définissant le champ AllowRulesOnly
des configurations de sécurité sur la classe .NET securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
.
Limites
Quelles sont les limitations de service d’Azure Virtual Network Manager ?
Pour obtenir les informations les plus récentes, consultez l’article Limitations avec Azure Virtual Network Manager.
Étapes suivantes
- Créez une instance Azure Virtual Network Manager en utilisant le portail Azure.