Menedżer usługi Azure Virtual Network Manager — często zadawane pytania
Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące usługi Azure Virtual Network Manager.
Ogólne
Które regiony platformy Azure obsługują usługę Azure Virtual Network Manager?
Aby uzyskać bieżące informacje o obsłudze regionów, zapoznaj się z tematem Produkty dostępne według regionów.
Uwaga
Wszystkie regiony mają strefy dostępności, z wyjątkiem Francji Środkowej.
Jakie są typowe przypadki użycia usługi Azure Virtual Network Manager?
Możesz utworzyć grupy sieciowe, aby spełnić wymagania dotyczące zabezpieczeń środowiska i jego funkcji. Można na przykład utworzyć grupy sieciowe dla środowisk produkcyjnych i testowych, aby zarządzać ich regułami łączności i zabezpieczeń na dużą skalę.
W przypadku reguł zabezpieczeń można utworzyć konfigurację administratora zabezpieczeń z dwiema kolekcjami. Każda kolekcja jest przeznaczona odpowiednio dla grup sieci produkcyjnych i testowych. Po wdrożeniu ta konfiguracja wymusza jeden zestaw reguł zabezpieczeń dla zasobów sieciowych dla środowiska produkcyjnego i jeden zestaw dla środowiska testowego.
Konfiguracje łączności można zastosować, aby utworzyć topologię sieci piasty i szprych dla dużej liczby sieci wirtualnych w ramach subskrypcji organizacji.
Możesz odmówić ruchu wysokiego ryzyka. Jako administrator przedsiębiorstwa możesz zablokować określone protokoły lub źródła, które zastępują wszystkie reguły sieciowej grupy zabezpieczeń, które normalnie zezwalają na ruch.
Zawsze można zezwalać na ruch. Na przykład można zezwolić na stałe połączenie przychodzące ze wszystkimi zasobami za pomocą określonego skanera zabezpieczeń, nawet jeśli reguły sieciowej grupy zabezpieczeń są skonfigurowane pod kątem odmowy ruchu.
Jaki jest koszt korzystania z usługi Azure Virtual Network Manager?
Opłaty za usługę Azure Virtual Network Manager zależą od liczby subskrypcji, które zawierają sieć wirtualną z wdrożoną konfiguracją programu Virtual Network Manager. Ponadto opłata za komunikację równorzędną dotyczy ruchu sieci wirtualnych zarządzanych za pomocą wdrożonej konfiguracji łączności (siatka lub piasta i szprycha).
Bieżące ceny dla regionu można znaleźć na stronie cennika usługi Azure Virtual Network Manager.
Jak mogę wdrożyć usługę Azure Virtual Network Manager?
Wystąpienie i konfiguracje usługi Azure Virtual Network Manager można wdrażać i zarządzać nimi za pomocą różnych narzędzi, w tym:
Techniczne
Czy sieć wirtualna może należeć do wielu wystąpień usługi Azure Virtual Network Manager?
Tak, sieć wirtualna może należeć do więcej niż jednego wystąpienia usługi Azure Virtual Network Manager.
Co to jest topologia sieci siatki globalnej?
Globalna siatka umożliwia sieciom wirtualnym w różnych regionach komunikowanie się ze sobą. Efekty są podobne do sposobu działania globalnej komunikacji równorzędnej sieci wirtualnych.
Czy istnieje limit liczby grup sieciowych, które można utworzyć?
Nie ma limitu liczby grup sieciowych, które można utworzyć.
Jak mogę usunąć wdrożenie wszystkich zastosowanych konfiguracji?
Należy wdrożyć konfigurację Brak we wszystkich regionach, w których zastosowano konfigurację.
Czy mogę dodać sieci wirtualne z innej subskrypcji, którą nie zarządzam?
Tak, jeśli masz odpowiednie uprawnienia dostępu do tych sieci wirtualnych.
Co to jest członkostwo w grupie dynamicznej?
Zobacz Członkostwo dynamiczne.
Jak wdrożenie konfiguracji różni się w przypadku członkostwa dynamicznego i członkostwa statycznego?
Zobacz Wdrożenia konfiguracji w usłudze Azure Virtual Network Manager.
Jak mogę usunąć składnik usługi Azure Virtual Network Manager?
Zobacz Usuwanie i aktualizowanie listy kontrolnej składników usługi Azure Virtual Network Manager.
Czy usługa Azure Virtual Network Manager przechowuje dane klientów?
L.p. Usługa Azure Virtual Network Manager nie przechowuje żadnych danych klientów.
Czy można przenieść wystąpienie usługi Azure Virtual Network Manager?
L.p. Usługa Azure Virtual Network Manager nie obsługuje obecnie tej możliwości. Jeśli musisz przenieść wystąpienie, możesz rozważyć jego usunięcie i użycie szablonu usługi Azure Resource Manager w celu utworzenia innego wystąpienia w innej lokalizacji.
Czy mogę przenieść subskrypcję z usługą Azure Virtual Network Manager do innej dzierżawy?
Tak, ale należy pamiętać o kilku kwestiach:
- Dzierżawa docelowa nie może mieć utworzonego menedżera usługi Azure Virtual Network Manager.
- Sieci wirtualne będące szprychami w grupie sieci mogą utracić odwołanie podczas zmiany dzierżaw, co powoduje utratę łączności z siecią wirtualną piasty. Aby rozwiązać ten problem, po przeniesieniu subskrypcji do innej dzierżawy należy ręcznie dodać sieci wirtualne szprych do grupy sieciowej usługi Azure Virtual Network Manager.
Jak sprawdzić, jakie konfiguracje są stosowane, aby ułatwić mi rozwiązywanie problemów?
Ustawienia usługi Azure Virtual Network Manager można wyświetlić w obszarze Menedżer sieci dla sieci wirtualnej. Ustawienia pokazują konfiguracje zarówno łączności, jak i administratora zabezpieczeń, które są stosowane. Aby uzyskać więcej informacji, zobacz Wyświetlanie konfiguracji zastosowanych przez usługę Azure Virtual Network Manager.
Co się stanie, gdy wszystkie strefy nie działają w regionie z wystąpieniem programu Virtual Network Manager?
Jeśli wystąpi awaria regionalna, wszystkie konfiguracje zastosowane do bieżących zarządzanych zasobów sieci wirtualnej pozostaną nienaruszone podczas awarii. Podczas awarii nie można tworzyć nowych konfiguracji ani modyfikować istniejących konfiguracji. Po rozwiązaniu awarii można nadal zarządzać zasobami sieci wirtualnej tak jak wcześniej.
Czy sieć wirtualna zarządzana przez usługę Azure Virtual Network Manager może być równorzędna do niezarządzanej sieci wirtualnej?
Tak. Usługa Azure Virtual Network Manager jest w pełni zgodna z istniejącymi wdrożeniami topologii piasty i szprych korzystających z komunikacji równorzędnej. Nie musisz usuwać żadnych istniejących połączeń równorzędnych między szprychami a piastą. Migracja odbywa się bez żadnych przestojów w sieci.
Czy mogę przeprowadzić migrację istniejącej topologii piasty i szprych do usługi Azure Virtual Network Manager?
Tak. Migrowanie istniejących sieci wirtualnych do topologii piasty i szprych w usłudze Azure Virtual Network Manager jest proste. Możesz utworzyć konfigurację łączności topologii piasty i szprych. Podczas wdrażania tej konfiguracji menedżer sieci wirtualnej automatycznie tworzy niezbędne komunikacje równorzędne. Wszystkie istniejące komunikacje równorzędne pozostają nienaruszone, więc nie ma przestojów.
Jak połączone grupy różnią się od komunikacji równorzędnej sieci wirtualnych w nawiązywaniu łączności między sieciami wirtualnymi?
Na platformie Azure komunikacja równorzędna sieci wirtualnych i połączone grupy to dwie metody ustanawiania łączności między sieciami wirtualnymi. Komunikacja równorzędna działa przez utworzenie mapowania jeden do jednego między sieciami wirtualnymi, podczas gdy połączone grupy używają nowej konstrukcji, która ustanawia łączność bez takiego mapowania.
W połączonej grupie wszystkie sieci wirtualne są połączone bez poszczególnych relacji komunikacji równorzędnej. Jeśli na przykład trzy sieci wirtualne są częścią tej samej połączonej grupy, łączność jest włączona między każdą siecią wirtualną bez konieczności obsługi poszczególnych relacji komunikacji równorzędnej.
Czy w przypadku zarządzania sieciami wirtualnymi, które obecnie korzystają z komunikacji równorzędnej sieci wirtualnych, czy powoduje to dwukrotne płacenie opłat za komunikację równorzędną sieci wirtualnych za pomocą usługi Azure Virtual Network Manager?
Brak drugiej lub podwójnej opłaty za komunikację równorzędną. Menedżer sieci wirtualnej uwzględnia wszystkie wcześniej utworzone sieci równorzędne sieci wirtualnych i migruje te połączenia. Wszystkie zasoby komunikacji równorzędnej, tworzone w menedżerze sieci wirtualnej lub na zewnątrz, z naliczaniem jednej opłaty za komunikację równorzędną.
Czy mogę utworzyć wyjątki od reguł administratora zabezpieczeń?
Zwykle reguły administratora zabezpieczeń są definiowane w celu blokowania ruchu między sieciami wirtualnymi. Jednak czasami niektóre sieci wirtualne i ich zasoby muszą zezwalać na ruch do zarządzania lub innych procesów. W tych scenariuszach można utworzyć wyjątki w razie potrzeby. Dowiedz się, jak blokować porty wysokiego ryzyka z wyjątkami dla tych scenariuszy.
Jak wdrożyć wiele konfiguracji administratora zabezpieczeń w regionie?
W regionie można wdrożyć tylko jedną konfigurację administratora zabezpieczeń. Jednak wiele konfiguracji łączności może istnieć w regionie, jeśli tworzysz wiele kolekcji reguł w konfiguracji zabezpieczeń.
Czy reguły administratora zabezpieczeń mają zastosowanie do prywatnych punktów końcowych platformy Azure?
Obecnie reguły administratora zabezpieczeń nie mają zastosowania do prywatnych punktów końcowych platformy Azure, które należą do zakresu sieci wirtualnej zarządzanej przez usługę Azure Virtual Network Manager.
Reguły ruchu wychodzącego
Port | Protokół | Element źródłowy | Element docelowy | Akcja |
---|---|---|---|---|
443, 12000 | TCP | VirtualNetwork |
AzureCloud |
Zezwalaj |
Dowolne | Dowolne | VirtualNetwork |
VirtualNetwork |
Zezwalaj |
Czy koncentrator usługi Azure Virtual WAN może być częścią grupy sieci?
Nie, centrum Azure Virtual WAN nie może być w tej chwili w grupie sieciowej.
Czy mogę użyć wystąpienia usługi Azure Virtual WAN jako koncentratora w konfiguracji topologii piasty i szprych programu Virtual Network Manager?
Nie, koncentrator usługi Azure Virtual WAN nie jest obecnie obsługiwany jako piasta w topologii piasty i szprych.
Moja sieć wirtualna nie otrzymuje oczekiwanych konfiguracji. Jak mogę rozwiązywanie problemów?
Skorzystaj z poniższych pytań, aby uzyskać możliwe rozwiązania.
Czy konfiguracja została wdrożona w regionie sieci wirtualnej?
Konfiguracje w usłudze Azure Virtual Network Manager nie będą obowiązywać do momentu ich wdrożenia. Utwórz wdrożenie w regionie sieci wirtualnej przy użyciu odpowiednich konfiguracji.
Czy sieć wirtualna jest w zakresie?
Menedżer sieci jest delegowany tylko wystarczająco dużo dostępu, aby zastosować konfiguracje do sieci wirtualnych w twoim zakresie. Jeśli zasób znajduje się w grupie sieciowej, ale poza zakresem, nie otrzymuje żadnych konfiguracji.
Czy stosujesz reguły zabezpieczeń do sieci wirtualnej zawierającej wystąpienia zarządzane?
Usługa Azure SQL Managed Instance ma pewne wymagania dotyczące sieci. Te wymagania są wymuszane za pomocą zasad intencji sieci o wysokim priorytcie, których cel powoduje konflikt z regułami administratora zabezpieczeń. Domyślnie aplikacja reguły administratora jest pomijana w sieciach wirtualnych, które zawierają dowolne z tych zasad intencji. Ze względu na to, że reguły Zezwalaj nie stanowią ryzyka konfliktu, możesz zdecydować się na zastosowanie reguł Zezwalaj tylko, ustawiając wartość AllowRulesOnly
na .securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
Czy stosujesz reguły zabezpieczeń do sieci wirtualnej lub podsieci zawierającej usługi blokujące reguły konfiguracji zabezpieczeń?
Niektóre usługi wymagają określonych wymagań sieciowych, aby działały prawidłowo. Te usługi obejmują usługę Azure SQL Managed Instance, usługę Azure Databricks i usługę aplikacja systemu Azure Gateway. Domyślnie stosowanie reguł administratora zabezpieczeń jest pomijane w sieciach wirtualnych i podsieciach zawierających dowolną z tych usług. Ze względu na to, że reguły Zezwalaj nie stanowią ryzyka konfliktu, możesz zdecydować się na zastosowanie reguł Zezwalaj tylko , ustawiając pole konfiguracji AllowRulesOnly
zabezpieczeń w securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
klasie .NET.
Limity
Jakie są ograniczenia usługi usługi Azure Virtual Network Manager?
Aby uzyskać najbardziej aktualne informacje, zobacz Ograniczenia dotyczące usługi Azure Virtual Network Manager.
Następne kroki
- Utwórz wystąpienie usługi Azure Virtual Network Manager przy użyciu witryny Azure Portal.