Partilhar via


Perguntas frequentes sobre o Azure Virtual Network Manager

Este artigo responde a perguntas frequentes sobre o Azure Virtual Network Manager.

Geral

Quais regiões do Azure oferecem suporte ao Gerenciador de Rede Virtual do Azure?

Para obter informações atuais sobre o suporte à região, consulte Produtos disponíveis por região.

Nota

Todas as regiões têm zonas de disponibilidade, exceto France Central.

Quais são os casos de uso comuns do Azure Virtual Network Manager?

  • Você pode criar grupos de rede para atender aos requisitos de segurança do seu ambiente e suas funções. Por exemplo, você pode criar grupos de rede para seus ambientes de produção e teste para gerenciar suas regras de conectividade e segurança em escala.

    Para regras de segurança, você pode criar uma configuração de administrador de segurança com duas coleções. Cada coleção é direcionada aos seus grupos de rede de produção e teste, respectivamente. Após a implantação, essa configuração impõe um conjunto de regras de segurança para recursos de rede para seu ambiente de produção e um conjunto para seu ambiente de teste.

  • Você pode aplicar configurações de conectividade para criar uma topologia de rede de malha ou hub-and-spoke para um grande número de redes virtuais nas assinaturas da sua organização.

  • Você pode negar tráfego de alto risco. Como administrador de uma empresa, você pode bloquear protocolos ou fontes específicos que substituam quaisquer regras de NSG (grupo de segurança de rede) que normalmente permitiriam o tráfego.

  • Você sempre pode permitir o tráfego. Por exemplo, você pode permitir que um verificador de segurança específico sempre tenha conectividade de entrada com todos os seus recursos, mesmo que as regras do NSG estejam configuradas para negar o tráfego.

Qual é o custo de usar o Gerenciador de Rede Virtual do Azure?

As cobranças do Gerenciador de Rede Virtual do Azure são baseadas no número de assinaturas que contêm uma rede virtual com uma configuração ativa do Gerenciador de Rede Virtual implantada nela. Além disso, uma cobrança por emparelhamento se aplica ao volume de tráfego de redes virtuais gerenciadas por uma configuração de conectividade implantada (mesh ou hub-and-spoke).

Pode encontrar os preços atuais da sua região na página de preços do Azure Virtual Network Manager.

Como implantar o Gerenciador de Rede Virtual do Azure?

Você pode implantar e gerenciar uma instância e configurações do Azure Virtual Network Manager por meio de várias ferramentas, incluindo:

Técnico

Uma rede virtual pode pertencer a várias instâncias do Azure Virtual Network Manager?

Sim, uma rede virtual pode pertencer a mais de uma instância do Azure Virtual Network Manager.

As VNets spoke podem ser conectadas a um hub VWAN enquanto estiverem em uma topologia de malha para que essas VNets spoke possam se comunicar diretamente?

Sim, as VNets spoke podem se conectar a hubs VWAN enquanto estiverem no grupo mesh. Essas VNets no grupo mesh têm conectividade direta.

As operações para os prefixos IP em VNETs que fazem parte da malha do Azure Virtual Network Manager se propagarão automaticamente?

As redes virtuais na malha estão automaticamente sincronizadas. Os prefixos IP serão atualizados automaticamente. Isso significa que o tráfego dentro da malha funcionará mesmo depois que houver alterações nos prefixos IP em VNets na malha.

Como verifico se uma topologia de malha está configurada e aplicada?"?

Consulte a documentação Como visualizar as configurações aplicadas. Uma topologia de malha não é um emparelhamento de rede virtual, portanto, não é possível ver a conectividade de malha no emparelhamento.

O que acontece se a região onde o Azure Virtual Network Manager é criado estiver inativa? Isso afeta as configurações implantadas ou apenas impede alterações de configuração?

Apenas a capacidade de alterar configurações será afetada. Depois que o Azure Virtual Network Manager tiver programado a configuração depois de confirmar a configuração, ele continuará a operar. Por exemplo, se a instância do Azure Virtual Network Manager for criada na região 1 e a topologia de malha for estabelecida na região 2, a malha na região 2 continuará a funcionar mesmo se a região 1 ficar indisponível.

O que é uma topologia de rede de malha global?

Uma malha global permite que redes virtuais entre regiões se comuniquem entre si. Os efeitos são semelhantes ao funcionamento do emparelhamento de rede virtual global.

Existe um limite para quantos grupos de rede posso criar?

Não há limite para quantos grupos de rede você pode criar.

Como faço para remover a implantação de todas as configurações aplicadas?

Você precisa implantar uma configuração Nenhum em todas as regiões onde você tem uma configuração aplicada.

Posso adicionar redes virtuais a partir de outra subscrição que não gerencio?

Sim, se você tiver as permissões apropriadas para acessar essas redes virtuais.

O que é a associação a grupos dinâmicos?

Consulte Associação dinâmica.

Como a implantação da configuração difere para associação dinâmica e associação estática?

Consulte Implantações de configuração no Gerenciador de Rede Virtual do Azure.

Como faço para excluir um componente do Azure Virtual Network Manager?

Consulte Remover e atualizar a lista de verificação de componentes do Azure Virtual Network Manager.

O Azure Virtual Network Manager armazena dados de clientes?

N.º O Azure Virtual Network Manager não armazena dados de clientes.

Uma instância do Azure Virtual Network Manager pode ser movida?

N.º Atualmente, o Azure Virtual Network Manager não oferece suporte a esse recurso. Se precisar mover uma instância, considere excluí-la e usar o modelo do Azure Resource Manager para criar outra em outro local.

Posso mover uma subscrição com um Gestor de Rede Virtual do Azure para outro inquilino?

Sim, mas há algumas considerações a ter em mente:

  • O locatário de destino não pode ter um Gerenciador de Rede Virtual do Azure criado.
  • As redes virtuais de raios no grupo de rede podem perder sua referência ao mudar de locatários, perdendo assim a conectividade com a rede de hub. Para resolver isso, depois de mover a assinatura para outro locatário, você deve adicionar manualmente as vnets de raios ao grupo de rede do Gerenciador de Rede Virtual do Azure.

Como posso ver quais configurações são aplicadas para me ajudar a solucionar problemas?

Você pode exibir as configurações do Gerenciador de Rede Virtual do Azure em Gerenciador de Rede para uma rede virtual. As configurações mostram as configurações de administrador de conectividade e segurança que são aplicadas. Para obter mais informações, consulte Exibir configurações aplicadas pelo Azure Virtual Network Manager.

O que acontece quando todas as zonas estão inativas em uma região com uma instância do Virtual Network Manager?

Se ocorrer uma interrupção regional, todas as configurações aplicadas aos recursos de rede virtual gerenciados atuais permanecerão intactas durante a interrupção. Não é possível criar novas configurações ou modificar configurações existentes durante a interrupção. Depois que a interrupção for resolvida, você poderá continuar a gerenciar seus recursos de rede virtual como antes.

Uma rede virtual gerenciada pelo Gerenciador de Rede Virtual do Azure pode ser emparelhada a uma rede virtual não gerenciada?

Sim. O Azure Virtual Network Manager é totalmente compatível com implantações de topologia hub-and-spoke pré-existentes que usam emparelhamento. Você não precisa excluir nenhuma conexão emparelhada existente entre os raios e o hub. A migração ocorre sem qualquer tempo de inatividade para a sua rede.

Posso migrar uma topologia hub-and-spoke existente para o Azure Virtual Network Manager?

Sim. A migração de redes virtuais existentes para a topologia hub-and-spoke no Azure Virtual Network Manager é simples. Você pode criar uma configuração de conectividade de topologia hub-and-spoke. Quando você implanta essa configuração, o Virtual Network Manager cria automaticamente os emparelhamentos necessários. Todos os peerings pré-existentes permanecem intactos, portanto, não há tempo de inatividade.

Como os grupos conectados diferem do emparelhamento de rede virtual no estabelecimento de conectividade entre redes virtuais?

No Azure, emparelhamento de rede virtual e grupos conectados são dois métodos de estabelecer conectividade entre redes virtuais. O emparelhamento funciona criando um mapeamento um-para-um entre redes virtuais, enquanto os grupos conectados usam uma nova construção que estabelece conectividade sem esse mapeamento.

Em um grupo conectado, todas as redes virtuais são conectadas sem relações individuais de emparelhamento. Por exemplo, se três redes virtuais fizerem parte do mesmo grupo conectado, a conectividade será habilitada entre cada rede virtual sem a necessidade de relações de emparelhamento individuais.

Ao gerenciar redes virtuais que atualmente usam emparelhamento de rede virtual, isso resulta no pagamento de taxas de emparelhamento de rede virtual duas vezes com o Gerenciador de Rede Virtual do Azure?

Não há segunda ou dupla cobrança para peering. Seu gerenciador de rede virtual respeita todos os emparelhamentos de VNet criados anteriormente e migra essas conexões. Todos os recursos de emparelhamento, sejam eles criados dentro ou fora de um gerenciador de rede virtual, incorrem em uma única cobrança de emparelhamento.

Posso criar exceções às regras de administração de segurança?

Normalmente, as regras de administração de segurança são definidas para bloquear o tráfego em redes virtuais. No entanto, há momentos em que certas redes virtuais e seus recursos precisam permitir tráfego para gerenciamento ou outros processos. Para esses cenários, você pode criar exceções quando necessário. Saiba como bloquear portas de alto risco com exceções para esses cenários.

Como posso implantar várias configurações de administrador de segurança em uma região?

Você pode implantar apenas uma configuração de administrador de segurança em uma região. No entanto, várias configurações de conectividade podem existir em uma região se você criar várias coleções de regras em uma configuração de segurança.

As regras de administração de segurança aplicam-se aos pontos de extremidade privados do Azure?

Atualmente, as regras de administração de segurança não se aplicam aos pontos de extremidade privados do Azure que se enquadram no escopo de uma rede virtual gerenciada pelo Gerenciador de Rede Virtual do Azure.

Regras de saída

Porta Protocolo Origem Destino Ação
443, 12000 TCP VirtualNetwork AzureCloud Permitir
Qualquer Qualquer VirtualNetwork VirtualNetwork Permitir

Um hub WAN Virtual do Azure pode fazer parte de um grupo de rede?

Não, um hub WAN Virtual do Azure não pode estar em um grupo de rede no momento.

Posso usar uma instância de WAN Virtual do Azure como o hub em uma configuração de topologia hub-and-spoke do Virtual Network Manager?

Não, não há suporte para um hub WAN Virtual do Azure como hub em uma topologia hub-and-spoke no momento.

Minha rede virtual não está recebendo as configurações que eu esperava. Como faço para solucionar problemas?

Use as perguntas a seguir para possíveis soluções.

Você implantou sua configuração na região da rede virtual?

As configurações no Azure Virtual Network Manager não entram em vigor até serem implantadas. Faça uma implantação na região da rede virtual com as configurações apropriadas.

Sua rede virtual está no escopo?

A um gestor de rede é delegado apenas acesso suficiente para aplicar configurações a redes virtuais dentro do seu âmbito. Se um recurso estiver no seu grupo de rede, mas fora do escopo, ele não receberá nenhuma configuração.

Você está aplicando regras de segurança a uma rede virtual que contém instâncias gerenciadas?

A Instância Gerenciada SQL do Azure tem alguns requisitos de rede. Esses requisitos são aplicados por meio de políticas de intenção de rede de alta prioridade cuja finalidade entra em conflito com as regras de administração de segurança. Por padrão, o aplicativo de regra de administração é ignorado em redes virtuais que contêm qualquer uma dessas políticas de intenção. Como as regras Permitir não representam risco de conflito, você pode optar por aplicar as regras Permitir Somente definindo AllowRulesOnly securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServicescomo .

Você está aplicando regras de segurança a uma rede virtual ou sub-rede que contém serviços que bloqueiam regras de configuração de segurança?

Alguns serviços requerem requisitos de rede específicos para funcionarem corretamente. Esses serviços incluem a Instância Gerenciada SQL do Azure, o Azure Databricks e o Azure Application Gateway. Por padrão, a aplicação de regras de administração de segurança é ignorada em redes virtuais e sub-redes que contêm qualquer um desses serviços. Como as regras Permitir não representam risco de conflito, você pode optar por aplicar as regras Permitir Somente definindo o campo de AllowRulesOnly configurações de segurança na securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices classe .NET.

Limites

Quais são as limitações de serviço do Azure Virtual Network Manager?

Para obter as informações mais atuais, consulte Limitações com o Azure Virtual Network Manager.

Próximos passos

  • Crie uma instância do Azure Virtual Network Manager usando o portal do Azure.