Condividi tramite


Domande frequenti su gestione rete virtuale di Azure

Questo articolo risponde alle domande frequenti su gestione rete virtuale di Azure.

Generali

Quali aree di Azure supportano gestione rete virtuale di Azure?

Per informazioni aggiornate sul supporto regionale, fare riferimento a Prodotti disponibili in base all'area.

Nota

Tutte le aree hanno zone di disponibilità, tranne la Francia centrale.

Quali sono i casi d'uso comuni di gestione rete virtuale di Azure?

  • È possibile creare gruppi di rete per soddisfare i requisiti di sicurezza del proprio ambiente e delle relative funzioni. Ad esempio, è possibile creare gruppi di rete per gli ambienti di produzione e di test per gestire la connettività e le regole di sicurezza su larga scala.

    Per le regole di sicurezza, è possibile creare una configurazione di amministratore della sicurezza con due raccolte. Ogni raccolta è destinata rispettivamente ai gruppi di rete di produzione e di test. Dopo la distribuzione, questa configurazione applica un set di regole di sicurezza per le risorse di rete per l'ambiente di produzione e un set per l'ambiente di test.

  • È possibile applicare configurazioni di connettività per creare una topologia di rete mesh o hub-and-spoke per un numero elevato di reti virtuali tra le sottoscrizioni dell'organizzazione.

  • È possibile negare il traffico ad alto rischio. In qualità di amministratore di un'organizzazione, è possibile bloccare protocolli o origini specifici che eseguono l'override di qualsiasi regola del gruppo di sicurezza di rete (NSG) che normalmente consentirebbe il traffico.

  • È sempre possibile consentire il traffico. Ad esempio, è possibile consentire a uno specifico scanner di sicurezza di disporre sempre della connettività in ingresso per tutte le risorse, anche se le regole del gruppo di sicurezza di rete (NSG) sono configurate per negare il traffico.

Qual è il costo dell'uso di gestione rete virtuale di Azure?

Gli addebiti di gestione rete virtuale di Azure si basano sul numero di sottoscrizioni che contengono una rete virtuale con una configurazione attiva di Gestione reti virtuali. Inoltre, si applica un addebito per il peering al volume di traffico delle reti virtuali gestite da una configurazione di connettività distribuita (mesh o hub-spoke).

I prezzi correnti della propria area sono disponibili nella pagina dei prezzi di gestione rete virtuale di Azure.

Come si distribuisce gestione rete virtuale di Azure?

È possibile distribuire e gestire un'istanza e le configurazioni di gestione rete virtuale di Azure tramite vari strumenti, tra cui:

Formazione

Una rete virtuale può appartenere a più istanze di gestione rete virtuale di Azure?

Sì, una rete virtuale può appartenere a più di un'istanza di gestione rete virtuale di Azure.

Che cos'è una topologia di rete mesh globale?

Una rete mesh globale consente alle reti virtuali di tutte le aree di comunicare tra loro. Gli effetti sono simili a quelli del peering della rete virtuale globale.

Esiste un limite al numero di gruppi di rete che è possibile creare?

Non esiste alcun limite al numero di gruppi di rete che è possibile creare.

Come si rimuove la distribuzione di tutte le configurazioni applicate?

È necessario distribuire una configurazione Nessuna in tutte le aree in cui è stata applicata una configurazione.

È possibile aggiungere reti virtuali da un'altra sottoscrizione non gestita?

Sì, se si dispone delle autorizzazioni appropriate per accedere a tali reti virtuali.

Che cos'è l'appartenenza dinamica a un gruppo?

Vedere Appartenenza dinamica.

In che modo la distribuzione della configurazione è diversa per l'appartenenza dinamica e per l'appartenenza statica?

Vedere Distribuzioni di configurazione in gestione rete virtuale di Azure.

Come si elimina un componente di gestione rete virtuale di Azure?

Vedere Rimuovere e aggiornare l'elenco di controllo dei componenti di gestione rete virtuale di Azure.

Gestione rete virtuale di Azure archivia i dati dei clienti?

No. Gestione rete virtuale di Azure non archivia i dati dei clienti.

È possibile spostare un'istanza di gestione rete virtuale di Azure?

No. Gestione rete virtuale di Azure non supporta attualmente questa funzionalità. Se è necessario spostare un'istanza, è possibile valutarne l'eliminazione e usare il modello di Azure Resource Manager per crearne un'altra in un'altra posizione.

È possibile spostare una sottoscrizione con azure Rete virtuale Manager in un altro tenant?

Sì, ma ci sono alcune considerazioni da tenere presenti:

  • Il tenant di destinazione non può avere creato un Rete virtuale Manager di Azure.
  • Le reti virtuali spoke nel gruppo di rete possono perdere il riferimento quando si modificano i tenant, perdendo così la connettività alla rete virtuale dell'hub. Per risolvere questo problema, dopo aver spostato la sottoscrizione in un altro tenant, è necessario aggiungere manualmente le reti virtuali spoke al gruppo di rete di Azure Rete virtuale Manager.

Come è possibile visualizzare le configurazioni applicate per favorire la risoluzione dei problemi?

È possibile visualizzare le impostazioni di gestione rete virtuale di Azure in Gestione rete per una rete virtuale. Le impostazioni mostrano le configurazioni di amministratore della sicurezza e della connettività applicate. Per altre informazioni, vedere Visualizzare le configurazioni applicate da gestione rete virtuale di Azure.

Cosa accade quando tutte le zone si trovano in un'area con un'istanza di Gestione reti virtuali?

Se si verifica un'interruzione a livello di area, tutte le configurazioni applicate alle risorse di rete virtuali gestite correnti rimangono intatte durante l'interruzione. Durante l'interruzione non è possibile creare nuove configurazioni o modificare quelle esistenti. Dopo aver risolto l'interruzione, è possibile continuare a gestire le risorse di rete virtuale come prima.

È possibile eseguire il peering di una rete virtuale gestita da gestione rete virtuale di Azure a una rete virtuale non gestita?

Sì. Gestione rete virtuale di Azure è pienamente compatibile con le distribuzioni di topologie hub-spoke preesistenti che usano il peering. Non è necessario eliminare le connessioni con peering esistenti tra gli spoke e l'hub. La migrazione avviene senza alcun tempo di inattività della rete.

È possibile eseguire la migrazione di una topologia hub-spoke esistente a gestione rete virtuale di Azure?

Sì. La migrazione delle reti virtuali esistenti alla topologia hub-spoke in gestione rete virtuale di Azure è semplice. È possibile creare una configurazione di connettività con topologia hub-and-spoke. Quando si distribuisce questa configurazione, Gestione reti virtuali crea automaticamente i peering necessari. Tutti i peering preesistenti rimangono intatti, quindi non ci sono tempi di inattività.

In che modo i gruppi connessi differiscono dal peering di rete virtuale per stabilire la connettività tra reti virtuali?

In Azure il peering di reti virtuali e i gruppi connessi sono due metodi per stabilire la connettività tra reti virtuali. Il peering funziona creando un mapping uno-a-uno tra reti virtuali, mentre i gruppi connessi usano un nuovo costrutto che stabilisce la connettività senza tale mappatura.

In un gruppo connesso, tutte le reti virtuali sono connesse senza relazioni di peering individuali. Ad esempio, se tre reti virtuali fanno parte dello stesso gruppo connesso, la connettività viene abilitata tra ogni rete virtuale senza la necessità di relazioni di peering individuali.

Quando si gestiscono reti virtuali che attualmente usano il peering reti virtuali, ciò comporta un doppio pagamento di costi di peering reti virtuali con Gestione rete virtuale di Azure?

Non è previsto alcun secondo o doppio addebito per il peering. La gestione della rete virtuale rispetta tutti i peering reti virtuali creati in precedenza ed esegue la migrazione di tali connessioni. Tutte le risorse di peering, create all'interno di un gestore della rete virtuale o all'esterno, comportano un singolo addebito di peering.

È possibile creare eccezioni alle regole di amministratore della sicurezza?

In genere, le regole di amministratore della sicurezza vengono definite per bloccare il traffico tra reti virtuali. Tuttavia, in alcuni casi determinate reti virtuali e le relative risorse devono consentire il traffico per la gestione o altri processi. Per questi scenari, è possibile creare eccezioni dove necessario. Informazioni su come bloccare le porte ad alto rischio con eccezioni per questi scenari.

Come è possibile distribuire più configurazioni di amministratore della sicurezza in un'area?

È possibile distribuire una sola configurazione di amministratore della sicurezza in un'area. Tuttavia, in un'area possono esistere più configurazioni di connettività se si creano più raccolte di regole in una configurazione di sicurezza.

Le regole di amministratore della sicurezza si applicano agli endpoint privati di Azure?

Attualmente, le regole di amministratore della sicurezza non si applicano agli endpoint privati di Azure che rientrano nell'ambito di una rete virtuale gestita da gestione rete virtuale di Azure.

Regole in uscita

Porta Protocollo Source (Sorgente) Destination Azione
443, 12000 TCP VirtualNetwork AzureCloud Consenti
Qualsiasi Qualsiasi VirtualNetwork VirtualNetwork Consenti

Un hub della rete WAN virtuale di Azure può far parte di un gruppo di rete?

No, al momento un hub della rete WAN virtuale di Azure non può essere inserito in un gruppo di rete.

È possibile usare un'istanza della rete WAN virtuale di Azure come hub in una configurazione della topologia hub-spoke di Gestione reti virtuali?

No, al momento un hub della rete WAN virtuale di Azure non è supportato come hub in una topologia hub-and-spoke.

La rete virtuale non riceve le configurazioni previste. Come si risolvono i problemi?

Usare le seguenti domande per trovare possibili soluzioni.

La configurazione è stata distribuita nell'area della rete virtuale?

Le configurazioni in gestione rete virtuale di Azure non hanno effetto fino a quando non vengono distribuite. Creare una distribuzione nell'area della rete virtuale con le configurazioni appropriate.

La rete virtuale rientra nell'ambito?

A un gestore di rete viene delegato solo l'accesso necessario per applicare le configurazioni alle reti virtuali all'interno del proprio ambito. Se una risorsa si trova nel gruppo di rete ma non rientra nell'ambito, non riceve alcuna configurazione.

Si applicano regole di sicurezza a una rete virtuale che contiene istanze gestite?

Istanza gestita di SQL di Azure presenta alcuni requisiti di rete. Questi requisiti vengono applicati tramite criteri di finalità di rete ad alta priorità i cui scopi sono in conflitto con le regole di amministratore della sicurezza. Per impostazione predefinita, l'applicazione della regola di amministrazione viene ignorata nelle reti virtuali che contengono uno qualsiasi di questi criteri di finalità. Poiché le regole Consenti non comportano alcun rischio di conflitto, è possibile scegliere di applicare le regole Consenti solo impostando AllowRulesOnly su securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.

Si applicano regole di sicurezza a una rete virtuale o a una subnet che contiene servizi che bloccano le regole di configurazione della sicurezza?

Alcuni servizi richiedono requisiti di rete specifici per funzionare correttamente. Questi servizi includono Istanza gestita di SQL di Azure, Azure Databricks e gateway applicazione di Azure. Per impostazione predefinita, l'applicazione delle regole di amministratore della sicurezza viene ignorata nelle reti virtuali e subnet che contengono uno qualsiasi di questi servizi. Poiché le regole di Consenti non comportano alcun rischio di conflitto, è possibile scegliere di applicare le regole di Consenti solo impostando il campo AllowRulesOnly delle configurazioni di sicurezza nella classe securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET.

Limiti

Quali sono le limitazioni del servizio gestione rete virtuale di Azure?

Per le informazioni più aggiornate, vedere Limitazioni di gestione rete virtuale di Azure.

Passaggi successivi