Vanliga frågor och svar om Azure Virtual Network Manager
Den här artikeln besvarar vanliga frågor om Azure Virtual Network Manager.
Allmänt
Vilka Azure-regioner stöder Azure Virtual Network Manager?
Aktuell information om regionstöd finns i Produkter som är tillgängliga per region.
Kommentar
Alla regioner har tillgänglighetszoner, förutom France Central.
Vilka är vanliga användningsfall för Azure Virtual Network Manager?
Du kan skapa nätverksgrupper för att uppfylla säkerhetskraven för din miljö och dess funktioner. Du kan till exempel skapa nätverksgrupper för dina produktions- och testmiljöer för att hantera deras anslutnings- och säkerhetsregler i stor skala.
För säkerhetsregler kan du skapa en säkerhetsadministratörskonfiguration med två samlingar. Varje samling riktar sig till dina produktions- respektive testnätverksgrupper. Efter distributionen tillämpar den här konfigurationen en uppsättning säkerhetsregler för nätverksresurser för din produktionsmiljö och en uppsättning för testmiljön.
Du kan använda anslutningskonfigurationer för att skapa en nät- eller nav-och-eker-nätverkstopologi för ett stort antal virtuella nätverk i organisationens prenumerationer.
Du kan neka trafik med hög risk. Som administratör för ett företag kan du blockera specifika protokoll eller källor som åsidosätter alla regler för nätverkssäkerhetsgrupper (NSG) som normalt tillåter trafiken.
Du kan alltid tillåta trafik. Du kan till exempel tillåta att en specifik säkerhetsskanner alltid har inkommande anslutning till alla dina resurser, även om NSG-regler har konfigurerats för att neka trafiken.
Vad kostar det att använda Azure Virtual Network Manager?
Avgifterna för Azure Virtual Network Manager baseras på antalet prenumerationer som innehåller ett virtuellt nätverk med en aktiv Virtual Network Manager-konfiguration som distribuerats till den. Dessutom gäller en avgift för peering trafikvolymen för virtuella nätverk som hanteras av en distribuerad anslutningskonfiguration (antingen mesh eller hub-and-spoke).
Du hittar aktuella priser för din region på prissidan för Azure Virtual Network Manager.
Hur gör jag för att distribuera Azure Virtual Network Manager?
Du kan distribuera och hantera en Azure Virtual Network Manager-instans och konfigurationer via olika verktyg, inklusive:
Teknisk
Kan ett virtuellt nätverk tillhöra flera Azure Virtual Network Manager-instanser?
Ja, ett virtuellt nätverk kan tillhöra mer än en Azure Virtual Network Manager-instans.
Vad är en global nätnätverkstopologi?
Med ett globalt nät kan virtuella nätverk mellan regioner kommunicera med varandra. Effekterna liknar hur global peering för virtuella nätverk fungerar.
Finns det en gräns för hur många nätverksgrupper jag kan skapa?
Det finns ingen gräns för hur många nätverksgrupper du kan skapa.
Hur gör jag för att ta bort distributionen av alla tillämpade konfigurationer?
Du måste distribuera en Ingen-konfiguration till alla regioner där du har en konfiguration tillämpad.
Kan jag lägga till virtuella nätverk från en annan prenumeration som jag inte hanterar?
Ja, om du har rätt behörighet att komma åt dessa virtuella nätverk.
Vad är dynamiskt gruppmedlemskap?
Hur skiljer sig distributionen av konfigurationen åt för dynamiskt medlemskap och statiskt medlemskap?
Se Konfigurationsdistributioner i Azure Virtual Network Manager.
Hur gör jag för att ta bort en Azure Virtual Network Manager-komponent?
Se Checklista för att ta bort och uppdatera Azure Virtual Network Manager-komponenter.
Lagrar Azure Virtual Network Manager kunddata?
Nej. Azure Virtual Network Manager lagrar inga kunddata.
Kan en Azure Virtual Network Manager-instans flyttas?
Nej. Azure Virtual Network Manager stöder för närvarande inte den funktionen. Om du behöver flytta en instans kan du överväga att ta bort den och använda Azure Resource Manager-mallen för att skapa en annan på en annan plats.
Kan jag flytta en prenumeration med en Azure Virtual Network Manager till en annan klientorganisation?
Ja, men det finns några saker att tänka på:
- Målklientorganisationen kan inte ha en Azure Virtual Network Manager skapad.
- De virtuella ekrarnas virtuella nätverk i nätverksgruppen kan förlora sin referens när de byter klientorganisation och därmed förlora anslutningen till det virtuella hubbnätverket. För att lösa detta måste du manuellt lägga till ekrarnas virtuella nätverk i nätverksgruppen i Azure Virtual Network Manager när du har flyttat prenumerationen till en annan klientorganisation.
Hur kan jag se vilka konfigurationer som används för att felsöka?
Du kan visa Azure Virtual Network Manager-inställningar under Nätverkshanteraren för ett virtuellt nätverk. Inställningarna visar både anslutnings- och säkerhetsadministratörskonfigurationer som tillämpas. Mer information finns i Visa konfigurationer som tillämpas av Azure Virtual Network Manager.
Vad händer när alla zoner ligger nere i en region med en Virtual Network Manager-instans?
Om ett regionalt avbrott inträffar förblir alla konfigurationer som tillämpas på aktuella hanterade virtuella nätverksresurser intakta under driftstoppet. Du kan inte skapa nya konfigurationer eller ändra befintliga konfigurationer under driftstoppet. När avbrottet har lösts kan du fortsätta att hantera dina virtuella nätverksresurser som tidigare.
Kan ett virtuellt nätverk som hanteras av Azure Virtual Network Manager peer-kopplas till ett ohanterat virtuellt nätverk?
Ja. Azure Virtual Network Manager är helt kompatibelt med befintliga topologidistributioner med nav och eker som använder peering. Du behöver inte ta bort några befintliga peer-kopplade anslutningar mellan ekrarna och hubben. Migreringen sker utan avbrott i nätverket.
Kan jag migrera en befintlig topologi med nav och eker till Azure Virtual Network Manager?
Ja. Det är enkelt att migrera befintliga virtuella nätverk till topologin hub-and-spoke i Azure Virtual Network Manager. Du kan skapa en anslutningskonfiguration för hub-and-spoke-topologi. När du distribuerar den här konfigurationen skapar Virtual Network Manager automatiskt nödvändiga peerings. Eventuella befintliga peerings förblir intakta, så det finns ingen stilleståndstid.
Hur skiljer sig anslutna grupper från peering för virtuella nätverk vid upprättande av anslutning mellan virtuella nätverk?
I Azure är peering för virtuella nätverk och anslutna grupper två metoder för att upprätta anslutning mellan virtuella nätverk. Peering fungerar genom att skapa en en-till-en-mappning mellan virtuella nätverk, medan anslutna grupper använder en ny konstruktion som upprättar anslutning utan en sådan mappning.
I en ansluten grupp är alla virtuella nätverk anslutna utan enskilda peering-relationer. Om till exempel tre virtuella nätverk ingår i samma anslutna grupp aktiveras anslutningen mellan varje virtuellt nätverk utan behov av enskilda peering-relationer.
När du hanterar virtuella nätverk som för närvarande använder VNet-peering, resulterar detta i att betala VNet-peeringavgifter två gånger med Azure Virtual Network Manager?
Det finns ingen andra eller dubbel kostnad för peering. Din virtuella nätverkshanterare respekterar alla tidigare skapade VNet-peerings och migrerar dessa anslutningar. Alla peering-resurser, oavsett om de skapas i en virtuell nätverkshanterare eller utanför, medför en enda peeringavgift.
Kan jag skapa undantag till säkerhetsadministratörsregler?
Normalt definieras säkerhetsadministratörsregler för att blockera trafik mellan virtuella nätverk. Det finns dock tillfällen då vissa virtuella nätverk och deras resurser behöver tillåta trafik för hantering eller andra processer. För dessa scenarier kan du skapa undantag där det behövs. Lär dig hur du blockerar högriskportar med undantag för dessa scenarier.
Hur kan jag distribuera flera säkerhetsadministratörskonfigurationer till en region?
Du kan bara distribuera en säkerhetsadministratörskonfiguration till en region. Det kan dock finnas flera anslutningskonfigurationer i en region om du skapar flera regelsamlingar i en säkerhetskonfiguration.
Gäller säkerhetsadministratörsregler för privata Azure-slutpunkter?
För närvarande gäller inte säkerhetsadministratörsregler för privata Azure-slutpunkter som omfattas av omfånget för ett virtuellt nätverk som hanteras av Azure Virtual Network Manager.
Regler för utgående trafik
Port | Protokoll | Källa | Mål | Action |
---|---|---|---|---|
443, 12000 | TCP | VirtualNetwork |
AzureCloud |
Tillåt |
Valfri | Valfri | VirtualNetwork |
VirtualNetwork |
Tillåt |
Kan en Azure Virtual WAN-hubb ingå i en nätverksgrupp?
Nej, en Azure Virtual WAN-hubb kan inte finnas i en nätverksgrupp just nu.
Kan jag använda en Azure Virtual WAN-instans som hubb i en topologikonfiguration för Virtual Network Manager hub-and-spoke?
Nej, en Azure Virtual WAN-hubb stöds inte som hubb i en topologi med nav och eker just nu.
Mitt virtuella nätverk får inte de konfigurationer jag förväntar mig. Hur gör jag för att felsöka?
Använd följande frågor för möjliga lösningar.
Har du distribuerat konfigurationen till det virtuella nätverkets region?
Konfigurationer i Azure Virtual Network Manager börjar inte gälla förrän de har distribuerats. Gör en distribution till det virtuella nätverkets region med lämpliga konfigurationer.
Finns ditt virtuella nätverk i omfånget?
En nätverkshanterare delegeras endast tillräckligt med åtkomst för att tillämpa konfigurationer på virtuella nätverk inom ditt omfång. Om en resurs finns i din nätverksgrupp men ligger utanför omfånget får den inga konfigurationer.
Tillämpar du säkerhetsregler på ett virtuellt nätverk som innehåller hanterade instanser?
Azure SQL Managed Instance har vissa nätverkskrav. Dessa krav tillämpas via principer för högprioriterade nätverkssyften vars syfte står i konflikt med säkerhetsadministratörsregler. Som standard hoppas administratörsregelprogrammet över i virtuella nätverk som innehåller någon av dessa avsiktsprinciper. Eftersom Tillåt regler inte utgör någon risk för konflikt kan du välja att tillämpa regler för endast tillåtna genom att ange AllowRulesOnly
på securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
.
Tillämpar du säkerhetsregler på ett virtuellt nätverk eller undernät som innehåller tjänster som blockerar säkerhetskonfigurationsregler?
Vissa tjänster kräver specifika nätverkskrav för att fungera korrekt. Dessa tjänster omfattar Azure SQL Managed Instance, Azure Databricks och Azure Application Gateway. Som standard hoppas tillämpningen av säkerhetsadministratörsregler över i virtuella nätverk och undernät som innehåller någon av dessa tjänster. Eftersom Tillåt regler inte utgör någon risk för konflikt kan du välja att tillämpa regler för endast tillåtna genom att ange fältet för säkerhetskonfigurationer AllowRulesOnly
i securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
.NET-klassen.
Gränser
Vilka är tjänstbegränsningarna i Azure Virtual Network Manager?
Den senaste informationen finns i Begränsningar med Azure Virtual Network Manager.
Nästa steg
- Skapa en Azure Virtual Network Manager-instans med hjälp av Azure Portal.