你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Virtual Network Manager 中的跨租户支持
本文介绍 Azure Virtual Network Manager 中的跨租户支持。 组织可以通过跨租户支持使用中心网络管理器实例来管理跨不同租户和订阅的虚拟网络。
跨租户概述
使用 Azure Virtual Network Manager 中的跨租户支持,可将其他租户中的订阅或管理组添加到你的网络管理器。 这是通过在网络管理器和目标租户之间建立双向连接来完成的。 连接后,中心管理器可以跨这些连接的订阅或管理组将连接和/或安全管理规则部署到虚拟网络。 此项支持可为符合以下情况的组织提供帮助:
收购 – 如果组织通过收购来兼并公司并拥有多个租户,跨租户支持可让中心网络管理员跨租户管理虚拟网络。
托管服务提供商 – 在托管服务提供商方案中,一个组织可以管理其他组织的资源。 多个客户的中心服务提供商可以通过跨租户支持集中管理虚拟网络。
跨租户连接
建立跨租户支持首先要在两个租户之间创建跨租户连接。 跨租户支持需要两种方式的同意 – 一种来自网络管理器,另一种来自目标租户的 Virtual Network Manager 中心。 连接如下:
- 网络管理器连接 - 从网络管理器创建跨租户连接。 该连接包括要在网络管理器中管理的租户订阅或管理组的确切范围。
- Virtual Network Manager 中心连接 - 租户从其 Virtual Network Manager 中心创建跨租户连接。 此连接包括由中心网络管理器管理的订阅或管理组的范围。
一旦两个跨租户连接存在并且范围完全相同,就会建立真正的连接。 管理员可以使用他们的网络管理器将跨租户资源添加到其网络组并管理连接范围中包含的虚拟网络。 现有的连接和/或安全管理规则将根据现有配置应用于资源。
仅当每一方的两个对象都存在时,才能建立和维护跨租户连接。 删除其中一个连接时,跨租户连接将断开。 如果需要删除跨租户连接,请执行以下操作:
- 通过 Azure 门户中的“跨租户连接”设置从网络管理器端删除跨租户连接。
- 通过 Azure 门户中 Virtual Network Manager 中心的“跨租户连接”设置从租户端删除跨租户连接。
注意
一旦从任何一端删除连接,网络管理员就不再能够查看或管理先前连接范围中的租户资源。
连接状态
创建跨租户连接所需的资源包含一个状态,该状态表示是否已将关联的范围添加到 Network Manager 范围。 可能的状态值包括:
- 已连接:范围连接和 Network Manager 连接资源都存在。 范围已添加到 Network Manager 的范围。
- 挂起:两个审批资源中的一个尚未创建。 范围尚未添加到 Network Manager 的范围。
- 冲突:已经有一个网络管理器在其范围内定义了此订阅或管理组。 具有相同范围访问权限的两个网络管理器无法直接管理同一范围,因此无法将此订阅/管理组添加到 Network Manager 范围。 要解决冲突,请从冲突的网络管理器范围中移除范围并重新创建连接资源。
- 已撤销:范围曾添加到 Network Manager 范围,但移除审批资源导致它被撤销。
表示范围已添加到 Network Manager 范围的唯一状态是“已连接”。
所需的权限
若要在 Azure Virtual Network Manager 中使用跨租户连接,用户需要以下权限:
中心管理租户的管理员在目标托管租户中具有来宾帐户。
管理员来宾帐户具有在适当范围级别(管理组、订阅或虚拟网络)应用的“网络参与者”权限。
在设置权限方面需要帮助? 请查看如何在 Azure 门户中添加来宾用户,以及如何在 Azure 门户中将用户角色分配到资源
已知的限制
目前,只能手动将跨租户虚拟网络添加到网络组。 通过 Azure Policy 将跨租户虚拟网络动态添加到网络组是将来的功能。