Compartilhar via


Perguntas frequentes sobre o Gerenciador de Rede Virtual do Azure

Este artigo responde a perguntas frequentes sobre o Gerenciador de Rede Virtual do Azure.

Geral

Quais regiões do Azure dão suporte ao Gerenciador de Rede Virtual do Azure?

Para obter informações atuais sobre o suporte à região, consulte Produtos disponíveis por região.

Observação

Todas as regiões têm zonas de disponibilidade, exceto a França Central.

Quais são os casos de uso comuns do Gerenciador de Rede Virtual do Azure?

  • Você pode criar grupos de rede para atender aos requisitos de segurança do seu ambiente e respectivas funções. Por exemplo, você pode criar grupos de rede para seus ambientes de produção e de teste para gerenciar as regras de conectividade e segurança desses grupos em escala.

    Para regras de segurança, você pode criar uma configuração de administrador de segurança com duas coleções. Cada coleção é direcionada em seus grupos de rede de produção e teste, respectivamente. Após a implantação, essa configuração imporá um conjunto de regras de segurança para recursos de rede para seu ambiente de produção e um conjunto para seu ambiente de teste.

  • Você pode aplicar configurações de conectividade para criar uma malha ou uma topologia de rede hub e spoke para um grande número de redes virtuais nas assinaturas da sua organização.

  • Você pode negar um tráfego de alto risco. Como administrador de uma empresa, você pode bloquear fontes ou protocolos específicos que substituem as regras de NSG (grupo de segurança de rede) que normalmente permitiriam o tráfego.

  • Você sempre pode permitir o tráfego. Por exemplo, você pode permitir que um verificador de segurança específico sempre tenha conectividade de entrada para todos os seus recursos, mesmo se houver regras NSG configuradas para negar o tráfego.

Qual é o custo de usar o Gerenciador de Rede Virtual do Azure?

Os encargos do Gerenciador de Rede Virtual do Azure são baseados no número de assinaturas que contêm uma rede virtual com uma configuração de Gerenciador de rede virtual ativa implantada nela. Além disso, uma cobrança pelo emparelhamento se aplica ao volume do tráfego de redes virtuais gerenciadas por uma configuração de conectividade implantada (malha ou hub e spoke).

É possível achar os preços atuais da sua região na página de preços do Gerenciador de Rede Virtual do Azure.

Como implantar o Gerenciador de Rede Virtual do Azure?

Você pode implantar e gerenciar uma instância e configurações do Gerenciador de Rede Virtual do Azure por meio de várias ferramentas, incluindo:

Técnico

Uma rede virtual pode pertencer a várias instâncias do Gerenciador de Rede Virtual do Azure?

Sim, uma rede virtual pode pertencer a mais do que uma instância do Gerenciador de Rede Virtual do Azure.

As VNets spoke podem ser conectadas a um hub VWAN enquanto estão em uma topologia de malha para que essas VNets spoke possam se comunicar diretamente?

Sim, as VNets spoke podem se conectar aos hubs VWAN enquanto estiverem no grupo de malha. Essas VNets no grupo de malha têm conectividade direta.

As operações para os prefixos IP em VNETs que fazem parte da malha do Gerenciador de Rede Virtual do Azure serão propagadas?

As VNets na malha estão automaticamente em sincronia. Os prefixos IP serão atualizados automaticamente. Isso significa que o tráfego dentro da malha funcionará mesmo depois que houver alterações nos prefixos IP em VNets na malha.

Como fazer para verificar se uma topologia de malha está configurada e aplicada?

Consulte a documentação Como exibir as configurações aplicadas. Uma topologia de malha não é um emparelhamento VNet, portanto, você não pode ver a conectividade de malha no emparelhamento.

O que acontece se a região em que o Gerenciador de Rede Virtual do Azure é criada estiver inoperante? Isso afeta as configurações implantadas ou só impede alterações de configuração?

Somente a capacidade de alterar as configurações será afetada. Depois que o Gerenciador de Rede Virtual do Azure programar a configuração após confirmá-la, ele continuará operando. Por exemplo, se a instância do Gerenciador de Rede Virtual do Azure for criada na região 1 e a topologia de malha estiver estabelecida na região 2, a malha na região 2 continuará funcionando mesmo se a região 1 ficar indisponível.

O que é uma topologia de rede de malha global?

Uma malha global permite que redes virtuais entre regiões se comuniquem entre si. Os efeitos são semelhantes ao modo como o emparelhamento de rede virtual global funciona.

Há um limite de quantos grupos de rede eu posso criar?

Não há limites para a quantidade de grupos de rede que podem ser criados.

Como remover a implantação de todas as configurações aplicadas?

Você precisa implantar uma configuração None em todas as regiões em que você tem uma configuração aplicada.

Posso adicionar redes virtuais de outra assinatura que eu não gerencio?

Sim, caso você tenha as permissões apropriadas para acessar essas redes virtuais.

O que é a associação de grupo dinâmica?

Confira Associação dinâmica.

Como a implantação da configuração difere da associação dinâmica e da associação estática?

Confira Implantações de configuração no Gerenciador de Rede Virtual do Azure.

Como excluir um componente do Gerenciador de Rede Virtual do Azure?

Confira Remover e atualizar a lista de verificação de componentes do Gerenciador de Rede Virtual do Azure.

O Gerenciador de Rede Virtual do Azure armazena dados do cliente?

Não. O Gerenciador de Rede Virtual do Azure não armazena dados do cliente.

É possível mover uma instância do Gerenciador de Rede Virtual do Azure?

Não. No momento, o Gerenciador de Rede Virtual do Azure não dá suporte a essa funcionalidade. Caso precise mover uma instância, você poderá considerar excluí-la e usar o modelo do Azure Resource Manager para criar outra em outro local.

Posso mover uma assinatura com um Gerenciador de Rede Virtual do Azure para outro locatário?

Sim, mas há algumas considerações para ter em mente:

  • O locatário de destino não pode ter um Gerenciador de Rede Virtual do Azure criado.
  • As redes virtuais spokes no grupo de rede podem perder a referência ao alterar os locatários, perdendo assim a conectividade com a VNet do hub. Para resolver isso, depois de mover a assinatura para outro locatário, você deve adicionar manualmente as redes virtuais spokes ao grupo de rede do Gerenciador de Rede Virtual do Azure.

Como posso ver quais configurações são aplicadas para me ajudar a solucionar problemas?

Você pode exibir as configurações do Gerenciador de Rede Virtual do Azure para uma rede virtual específica em Gerenciador de Rede. As configurações mostram as definições de conectividade e do administrador de segurança que estão aplicadas. Para obter mais informações, confira Exibir configurações aplicadas pelo Gerenciador de Rede Virtual do Azure.

O que acontece quando todas as zonas estão inoperantes em uma região com uma instância do Gerenciador de rede virtual?

Caso ocorra uma interrupção regional, todas as configurações aplicadas aos atuais recursos de rede virtual gerenciados permanecerão intactas durante a interrupção. Não é possível criar novas configurações nem modificar configurações existentes durante a interrupção. Depois que a interrupção for resolvida, você poderá continuar gerenciando os recursos da rede virtual como antes.

Uma rede virtual gerenciada pelo Gerenciador de Rede Virtual do Azure pode ser emparelhada a uma rede virtual não gerenciada?

Sim. O Gerenciador de Rede Virtual do Azure é totalmente compatível com implantações de topologia de hub e spoke pré-existentes que usam o emparelhamento. Você não precisa excluir nenhuma conexão emparelhada existente entre os spokes e o hub. A migração ocorre sem nenhum tempo de inatividade para sua rede.

Posso migrar uma topologia de hub e spoke existente para o Gerenciador de Rede Virtual do Azure?

Sim. Migrar redes virtuais existentes para a topologia hub e spoke no Gerenciador de Rede Virtual do Azure é simples. Você pode criar uma configuração de conectividade da topologia hub e spoke. Ao implantar essa configuração, o Virtual Network Manager criará os emparelhamentos necessários automaticamente. Quaisquer emparelhamentos pré-existentes permanecem intactos, portanto, não há tempo de inatividade.

Como os grupos conectados diferem do emparelhamento de rede virtual quanto ao estabelecimento de conectividade entre redes virtuais?

No Azure, o emparelhamento de rede virtual e os grupos conectados são dois métodos de estabelecer conectividade entre redes virtuais. O emparelhamento funciona criando um mapeamento um para um entre redes virtuais, enquanto os grupos conectados usam um novo constructo que estabelece a conectividade sem esse mapeamento.

Em um grupo conectado, todas as redes virtuais são conectadas sem relações de emparelhamento individuais. Por exemplo, se três redes virtuais fizerem parte do mesmo grupo conectado, a conectividade será habilitada entre cada rede virtual sem a necessidade de relações de emparelhamento individuais.

Ao gerenciar redes virtuais que atualmente usam emparelhamentos de VNet, isso resulta no pagamento de taxas de emparelhamento de VNet duas vezes com o Gerenciador de Rede Virtual do Azure?

Não há uma segunda cobrança ou cobrança dupla para emparelhamento. Seu gerenciador de rede virtual respeita todos os emparelhamentos de VNet criados anteriormente e migra essas conexões. Todos os recursos de emparelhamento, sejam criados dentro de um gerenciador de rede virtual ou fora dele, incorrerão em uma única taxa de emparelhamento.

Posso criar exceções às regras administrativas de segurança?

Normalmente, as regras de administração de segurança são definidas para bloquear o tráfego nas redes virtuais. No entanto, há momentos em que determinadas redes virtuais e seus recursos precisam permitir o tráfego para gerenciamento ou outros processos. Para esses cenários, você pode criar exceções quando necessário. Saiba como bloquear portas de alto risco com exceções para esses cenários.

Como posso implantar diversas configurações de administração de segurança em uma região?

Você pode implantar apenas uma configuração de administrador de segurança em uma região. No entanto, pode haver várias configurações de conectividade em uma região se você criar várias coleções de regras em uma configuração de segurança.

As regras de administrador de segurança se aplicam aos pontos de extremidade privados do Azure?

Atualmente, as regras de administrador de segurança não se aplicam aos pontos de extremidade privados do Azure que se enquadram no escopo de uma rede virtual gerenciada pelo Gerenciador de Rede Virtual do Azure.

Regras de saída

Porta Protocolo Origem Destino Ação
443, 12000 TCP VirtualNetwork AzureCloud Allow
Qualquer Qualquer VirtualNetwork VirtualNetwork Allow

Um hub da WAN Virtual do Azure pode fazer parte de um grupo de rede?

Não, um hub da WAN Virtual do Azure não pode estar em um grupo de rede no momento.

Posso usar uma instância de WAN Virtual do Azure como o hub em uma configuração de topologia hub e spoke do Gerenciador de rede virtual?

Não há suporte para usar um hub da WAN Virtual do Azure como o hub em uma topologia de hub e spoke no momento.

Minha rede virtual não está recebendo as configurações que estou esperando. Como solucionar isso?

Use as perguntas a seguir para possíveis soluções.

Você implantou sua configuração na região da rede virtual?

As configurações no Gerenciador de Rede Virtual do Azure não entram em vigor até que sejam implantadas. Faça uma implantação na região de rede virtual com as configurações apropriadas.

Sua rede virtual está no escopo?

Um gerenciador de rede é delegado apenas ao acesso suficiente para aplicar configurações a redes virtuais dentro de seu escopo. Se um recurso estiver em seu grupo de rede, mas fora do escopo, ele não receberá nenhuma configuração.

Você está aplicando regras de segurança a uma rede virtual que contém instâncias gerenciadas?

A Instância Gerenciada de SQL do Azure tem alguns requisitos de rede. Esses requisitos são impostos por meio de políticas de intenção de rede de alta prioridade, cuja finalidade entra em conflito com as regras de administração de segurança. Por padrão, o aplicativo de regra do administrador é ignorado em redes virtuais que contêm qualquer uma dessas políticas de intenção. Como as regras Permitir não representam nenhum risco de conflito, você pode optar por aplicar as regras Permitir Somente ao configurar AllowRulesOnly em securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.

Você está aplicando regras de segurança a uma rede virtual ou sub-rede que contém serviços que bloqueiam as regras de configuração de segurança?

Determinados serviços requerem requisitos de rede específicos para funcionar corretamente. Esses serviços incluem a Instância Gerenciada de SQL do Azure, o Azure Databricks e o Gateway de Aplicativo do Azure. Por padrão, a aplicação de regras de administrador de segurança é ignorada em redes e sub-redes virtuais que contenham qualquer um desses serviços. Como as regras Permitir não representam nenhum risco de conflito, você pode optar por aplicar as regras Permitir Somente definindo o campo AllowRulesOnly das configurações de segurança na classe .NET da securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.

Limites

Quais são as limitações de serviço do Gerenciador de Rede Virtual do Azure?

Para obter as informações mais atuais, consulte Limitações com o Gerenciador de Rede Virtual do Azure.

Próximas etapas