Supporto tra tenant in Azure Rete virtuale Manager
Questo articolo illustra il supporto tra tenant in Azure Rete virtuale Manager. Il supporto tra tenant consente alle organizzazioni di usare un'istanza centrale di Network Manager per la gestione di reti virtuali in tenant e sottoscrizioni diversi.
Panoramica del cross-tenant
Il supporto tra tenant in Azure Rete virtuale Manager consente di aggiungere sottoscrizioni o gruppi di gestione da altri tenant al gestore di rete. A tale scopo, stabilire una connessione bidirezionale tra il gestore di rete e i tenant di destinazione. Dopo la connessione, il gestore centrale può distribuire la connettività e/o le regole di amministrazione della sicurezza alle reti virtuali tra le sottoscrizioni connesse o i gruppi di gestione. Questo supporto supporta le organizzazioni che soddisfano gli scenari seguenti:
Acquisizioni: nelle istanze in cui le organizzazioni si uniscono tramite acquisizione e hanno più tenant, il supporto tra tenant consente a un gestore di rete centrale di gestire le reti virtuali tra i tenant.
Provider di servizi gestiti: negli scenari di provider di servizi gestiti, un'organizzazione può gestire le risorse di altre organizzazioni. Il supporto tra tenant consente la gestione centrale delle reti virtuali da parte di un provider di servizi centrale per più client.
Connessione tra tenant
La definizione del supporto tra tenant inizia con la creazione di una connessione tra tenant tra due tenant. Il supporto tra tenant richiede il consenso bidirezionale, uno dal gestore di rete, l'altro dall'hub di gestione della rete virtuale del tenant di destinazione. Le connessioni sono le seguenti:
- Connessione di Gestione rete: si crea una connessione tra tenant dalla gestione di rete. La connessione include l'ambito esatto delle sottoscrizioni o dei gruppi di gestione del tenant da gestire nel gestore di rete.
- Connessione dell'hub di Gestione rete virtuale: il tenant crea una connessione tra tenant dall'hub di gestione della rete virtuale. Questa connessione include l'ambito delle sottoscrizioni o dei gruppi di gestione da gestire dal gestore di rete centrale.
Una volta presenti entrambe le connessioni tra tenant e gli ambiti sono esattamente uguali, viene stabilita una connessione vera. Gli amministratori possono usare il gestore di rete per aggiungere risorse tra tenant ai gruppi di rete e gestire le reti virtuali incluse nell'ambito della connessione. Le regole di connettività e/o di amministrazione della sicurezza esistenti vengono applicate alle risorse in base alle configurazioni esistenti.
Una connessione tra tenant può essere stabilita e gestita solo quando esistono entrambi gli oggetti di ogni parte. Quando una delle connessioni viene rimossa, la connessione tra tenant viene interrotta. Se è necessario eliminare una connessione tra tenant, eseguire le operazioni seguenti:
- Rimuovere la connessione tra tenant dal lato gestione rete tramite le impostazioni connessioni tra tenant nella portale di Azure.
- Rimuovere la connessione tra tenant dal lato tenant tramite le impostazioni connessioni tra tenant dell'hub di Gestione rete virtuale nel portale di Azure.
Nota
Una volta rimossa una connessione da entrambi i lati, il gestore di rete non sarà più in grado di visualizzare o gestire le risorse del tenant nell'ambito della connessione precedente.
Stati di connessione
Le risorse necessarie per creare la connessione tra tenant contengono uno stato, che indica se l'ambito associato è stato aggiunto all'ambito di Gestione rete. I valori di stato possibili includono:
- Connesso: esistono entrambe le risorse Connessione ambito e Connessione di Gestione rete. L'ambito è stato aggiunto all'ambito di Network Manager.
- In sospeso: una delle due risorse di approvazione non è stata creata. L'ambito non è ancora stato aggiunto all'ambito di Network Manager.
- Conflitto: esiste già un gestore di rete con questa sottoscrizione o gruppo di gestione definito all'interno dell'ambito. Due gestori di rete con lo stesso accesso con lo stesso ambito non possono gestire direttamente lo stesso ambito, pertanto questo gruppo di sottoscrizione/gestione non può essere aggiunto all'ambito di Gestione rete. Per risolvere il conflitto, rimuovere l'ambito dall'ambito del gestore di rete in conflitto e ricreare la risorsa di connessione.
- Revocato: l'ambito è stato aggiunto contemporaneamente all'ambito di Network Manager, ma la rimozione di una risorsa di approvazione ha causato la revoca.
L'unico stato che rappresenta l'ambito è stato aggiunto all'ambito di Gestione rete è "Connesso".
Autorizzazioni necessarie
Per usare la connessione tra tenant in Azure Rete virtuale Manager, gli utenti devono disporre delle autorizzazioni seguenti:
L'amministratore del tenant di gestione centrale ha un account guest nel tenant gestito di destinazione.
L'account guest amministratore dispone delle autorizzazioni Collaboratore rete applicate a livello di ambito appropriato (gruppo di gestione, sottoscrizione o rete virtuale).
Serve aiuto per la configurazione delle autorizzazioni? Scopri come aggiungere utenti guest nel portale di Azure e come assegnare ruoli utente alle risorse in portale di Azure
Limitazioni note
Attualmente, le reti virtuali tra tenant possono essere aggiunte solo manualmente ai gruppi di rete. L'aggiunta di reti virtuali tra tenant ai gruppi di rete in modo dinamico tramite Criteri di Azure è una funzionalità futura.
Passaggi successivi
- Informazioni su come configurare una connessione tra tenant con Azure Rete virtuale Manager usando il portale di Azure
- Vedere le domande frequenti su Azure Rete virtuale Manager