Ondersteuning voor meerdere tenants in Azure Virtual Network Manager
In dit artikel krijgt u informatie over ondersteuning voor meerdere tenants in Azure Virtual Network Manager. Met ondersteuning voor meerdere tenants kunnen organisaties een centraal netwerkbeheerexemplaren gebruiken voor het beheren van virtuele netwerken in verschillende tenants en abonnementen.
Overzicht van meerdere tenants
Met ondersteuning voor meerdere tenants in Azure Virtual Network Manager kunt u abonnementen of beheergroepen van andere tenants toevoegen aan uw netwerkbeheerder. Dit wordt gedaan door een tweerichtingsverbinding tot stand te brengen tussen de netwerkbeheerder en de doeltenant. Zodra de verbinding is gemaakt, kan de centrale manager connectiviteits- en/of beveiligingsbeheerdersregels implementeren naar virtuele netwerken in die verbonden abonnementen of beheergroepen. Deze ondersteuning helpt organisaties die voldoen aan de volgende scenario's:
Overnames: in gevallen waarin organisaties samenvoegen via overname en meerdere tenants hebben, kan een centrale netwerkbeheerder virtuele netwerken in de tenants beheren.
Beheerde serviceprovider: in scenario's van beheerde serviceproviders kan een organisatie de resources van andere organisaties beheren. Ondersteuning voor meerdere tenants biedt centraal beheer van virtuele netwerken door een centrale serviceprovider voor meerdere clients.
Verbinding tussen tenants
Het tot stand brengen van ondersteuning voor meerdere tenants begint met het maken van een verbinding tussen twee tenants. Ondersteuning voor meerdere tenants vereist tweerichtingstoestemming, één van de netwerkbeheerder, de andere van de virtuele netwerkbeheerhub van de doeltenant. De verbindingen zijn als volgt:
- Netwerkbeheerverbinding: u maakt een crosstenantverbinding van uw netwerkbeheerder. De verbinding omvat het exacte bereik van de abonnementen of beheergroepen van de tenant die u in uw netwerkbeheerder wilt beheren.
- Virtual Network Manager Hub-verbinding: de tenant maakt een crosstenant-verbinding op basis van hun virtuele netwerkbeheerhub. Deze verbinding omvat het bereik van abonnementen of beheergroepen die moeten worden beheerd door de centrale netwerkbeheerder.
Zodra beide verbindingen tussen tenants bestaan en de bereiken precies hetzelfde zijn, wordt er een echte verbinding tot stand gebracht. Beheerders kunnen hun netwerkbeheerder gebruiken om resources tussen tenants toe te voegen aan hun netwerkgroepen en virtuele netwerken te beheren die deel uitmaken van het verbindingsbereik. Bestaande regels voor connectiviteit en/of beveiligingsbeheerders worden toegepast op de resources op basis van bestaande configuraties.
Een verbinding tussen tenants kan alleen tot stand worden gebracht en onderhouden wanneer beide objecten van elke partij bestaan. Wanneer een van de verbindingen wordt verwijderd, wordt de verbinding tussen tenants verbroken. Als u een verbinding tussen tenants wilt verwijderen, voert u het volgende uit:
- Verwijder crosstenant-verbinding van de netwerkbeheerzijde via instellingen voor verbindingen tussen tenants in Azure Portal.
- Verwijder crosstenant-verbinding van de tenantzijde via de instellingen voor verbindingen tussen tenants in Azure Portal van virtual network manager hub.
Notitie
Zodra een verbinding van beide zijden is verwijderd, kan de netwerkbeheerder de resources van de tenant niet meer bekijken of beheren onder het bereik van die voormalige verbinding.
Verbindingsstatussen
De resources die nodig zijn om de verbinding tussen tenants te maken, bevatten een status die aangeeft of het gekoppelde bereik is toegevoegd aan het netwerkbeheerbereik. Mogelijke statuswaarden zijn:
- Verbonden: zowel de verbindingsbronnen Bereikverbinding als Netwerkbeheer bestaan. Het bereik is toegevoegd aan het bereik van de netwerkbeheerder.
- In behandeling: een van de twee goedkeuringsresources is niet gemaakt. Het bereik is nog niet toegevoegd aan het bereik van de netwerkbeheerder.
- Conflict: Er is al een netwerkbeheerder met dit abonnement of beheergroep dat binnen het bereik is gedefinieerd. Twee netwerkbeheerders met dezelfde bereiktoegang kunnen niet rechtstreeks hetzelfde bereik beheren. Daarom kan deze abonnements-/beheergroep niet worden toegevoegd aan het bereik Netwerkbeheer. Als u het conflict wilt oplossen, verwijdert u het bereik van het conflicterende netwerkbeheerder en maakt u de verbindingsresource opnieuw.
- Ingetrokken: het bereik is in één keer toegevoegd aan het bereik Netwerkbeheer, maar het verwijderen van een goedkeuringsresource heeft ervoor gezorgd dat het is ingetrokken.
De enige status die het bereik vertegenwoordigt, is toegevoegd aan het netwerkbeheerbereik is Verbonden.
Vereiste machtigingen
Gebruikers hebben de volgende machtigingen nodig om verbinding tussen tenants te gebruiken in Azure Virtual Network Manager:
De beheerder van de centrale beheertenant heeft een gastaccount in de doelbeheertenant.
Het gastaccount van de beheerder heeft machtigingen voor netwerkbijdrager toegepast op het juiste bereikniveau (beheergroep, abonnement of virtueel netwerk).
Hulp nodig bij het instellen van machtigingen? Bekijk hoe u gastgebruikers toevoegt in Azure Portal en hoe u gebruikersrollen toewijst aan resources in Azure Portal
Bekende beperkingen
Op dit moment kunnen virtuele netwerken tussen tenants alleen handmatig worden toegevoegd aan netwerkgroepen. Het dynamisch toevoegen van virtuele netwerken tussen tenants aan netwerkgroepen via Azure Policy is een toekomstige mogelijkheid.