你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Virtual Network Manager 中的网络组是什么?

在本文中,你将了解网络组及其如何帮助你将虚拟网络分到一组以便于管理。 你还将了解“静态组成员资格”和“动态组成员资格”以及如何使用每种类型的成员资格

网络组

网络组是包含一组来自任何区域的虚拟网络资源的全局容器。 然后,将配置应用于目标网络组,该网络组将配置应用于组的所有成员。

组成员身份

组成员资格是一种多对多关系,因此一个组包含多个虚拟网络,并且任何给定的虚拟网络都可以参与多个网络组。 作为网络组的一部分,虚拟网络接收应用于该组并且部署到虚拟网络区域的任何配置。

可以通过多种方式将虚拟网络设置为加入网络组。 组成员资格的两种类型是静态成员资格和动态成员资格

静态成员身份

静态成员资格允许通过手动选择单个虚拟网络,将虚拟网络显式添加到组中。 虚拟网络列表取决于在 Azure Virtual Network Manager 部署时定义的范围(管理组或订阅)。 如果有几个要添加到网络组的虚拟网络,此方法很有用。 静态成员资格还允许通过在组中添加或删除虚拟网络来“修补”网络组内容。

动态成员资格

如果有多个虚拟网络满足 Azure Policy 定义的条件语句,动态成员资格可让你灵活地大规模选择多个虚拟网络。 该成员资格类型适用于具有大量虚拟网络的情况,或者成员资格是由条件而不是显式列表决定的情况。 了解 Azure Policy 如何与网络组一起工作

成员资格可见性

所有组成员资格都记录在 Azure Resource Graph 中,可供用户使用。 每个虚拟网络接收图中的单个条目。 该条目指定虚拟网络所属的所有组,以及负责该成员资格的贡献源,例如静态成员或各种策略资源。 了解如何查看应用的配置

网络组和 Azure Policy

创建网络组时,将创建 Azure Policy,以便 Azure Virtual Network Manager 收到有关对虚拟网络成员资格所做更改的通知。

若要创建、编辑或删除 Azure Virtual Network Manager 动态组策略,你需要:

  • 对基础策略具有基于角色的访问控制的读取和写入权限。
  • 支持加入网络组的基于角色的访问控制权限(不支持经典管理员授权)。

有关 Azure Virtual Network Manager 动态组策略所需权限的详细信息,请查看所需权限

后续步骤