你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Virtual Network Manager 常见问题解答
本文回答有关 Azure Virtual Network Manager 的常见问题。
常规
哪些 Azure 区域支持 Azure Virtual Network Manager?
有关区域支持的当前信息,请参阅《可用产品(按区域)》。
注意
具有可用性区域的所有区域(法国中部除外)。
Azure Virtual Network Manager 的常见用例是哪些?
你可以创建多个网络组以满足环境及其功能的安全要求。 例如,你可以为生产和测试环境创建网络组,以大规模管理其连接和安全规则。
对于安全规则,可以使用两个集合创建安全管理员配置。 每个集合分别针对生产组和测试网络组。 部署后,此配置对生产环境的网络资源强制实施一组安全规则,并为测试环境强制执行一组安全规则。
可以应用连接配置,从而为组织订阅中的大量虚拟网络创建网格或中心辐射型网络拓扑。
可以拒绝高风险流量。 作为企业管理员,你可以阻止替代任何 NSG 规则的特定协议或源,这些规则通常会允许高风险流量。
始终可以允许流量。 例如,可以允许特定的安全扫描程序始终与所有资源建立入站连接,即使 NSG 规则配置为拒绝这些流量也是如此。
使用 Azure Virtual Network Manager 的成本是多少?
Azure Virtual Network Manager 的费用基于包含部署了活动的 Azure Virtual Network Manager 配置的虚拟网络的订阅数。 此外,对等互连费用适用于由部署的连接配置(网格或中心辐射)管理的虚拟网络的流量。
可以在“Azure Virtual Network Manager 定价”页上找到你的区域的当前定价。
如何部署 Azure Virtual Network Manager?
可以通过各种工具部署和管理 Azure Virtual Network Manager 实例和配置,这些工具包括:
技术
一个虚拟网络是否可以属于多个 Azure Virtual Network Manager 实例?
是,一个虚拟网络可以属于多个 Azure Virtual Network Manager 实例。
什么是全局网格网络拓扑?
全局网格允许不同区域中的虚拟网络相互通信。 其作用与全局虚拟网络对等互连的工作原理类似。
可创建的网络组数量是否有限制?
可创建的网络组数量没有限制。
如何删除所有已应用的配置的部署?
你需要将 None 配置部署到已应用配置的所有区域。
是否可以从我不管理的其他订阅添加虚拟网络?
是,只要你具有访问这些虚拟网络的适当权限。
什么是动态组成员资格?
请参阅“动态成员资格”。
动态成员资格与静态成员资格的配置部署有何不同?
请参阅《Azure Virtual Network Manager 中的配置部署》。
如何删除 Azure Virtual Network Manager 组件?
请参阅《删除并更新 Azure Virtual Network Manager 组件清单》。
Azure Virtual Network Manager 是否存储客户数据?
不是。 Azure Virtual Network Manager 不存储任何客户数据。
能否移动 Azure Virtual Network Manager 实例?
否。 Azure Virtual Network Manager 目前不支持此功能。 如果需要移动实例,可以考虑将其删除,并使用 Azure 资源管理器模板在另一个位置创建另一个实例。
是否可以将包含 Azure Virtual Network Manager 的订阅移到另一个租户?
是,不过下面是要注意的一些事项:
- 目标租户无法创建 Azure Virtual Network Manager。
- 网络组中的辐射虚拟网络在更改租户时可能会丢失其引用,从而失去与中心 vnet 的连接。 若要解决此问题,将订阅移动到另一个租户后,必须将辐射 vnet 手动添加到 Azure Virtual Network Manager 的网络组。
如何查看已应用的配置来帮助进行故障排除?
可在虚拟网络的“网络管理器”下查看 Azure Virtual Network Manager 设置。 这些设置显示采用的连接和安全管理员配置。 有关详细信息,请参阅《查看 Azure Virtual Network Manager 采用的配置》。
当具有 Virtual Network Manager 实例的 Azure 区域中的所有区域停机时,会发生什么情况?
如果发生区域性中断,应用于当前托管虚拟网络资源的所有配置在中断期间将保持不变。 无法在中断期间创建新配置或修改现有配置。 中断解决后,可以继续像以前一样管理虚拟网络资源。
Azure Virtual Network Manager 托管的虚拟网络是否可以与非托管的虚拟网络建立对等互连?
是的。 Azure Virtual Network Manager 与使用对等互连、预先存在的中心辐射型拓扑部署完全兼容。 你无需删除辐射和中心之间任何现有的对等互连。 迁移过程不会给网络带来任何停机时间。
是否可以将现有中心辐射型拓扑迁移到 Azure Virtual Network Manager?
是的。 将现有虚拟网络迁移到 Azure Virtual Network Manager 中的中心辐射型拓扑非常简单。 可以创建中心辐射型拓扑连接配置。 部署此配置时,Virtual Network Manager 会自动创建必要的对等互连。 任何预先存在的对等互连保持不变,因此不会出现停机。
在虚拟网络之间建立连接方面,连接的组与虚拟网络对等互连有何不同?
在 Azure 中,虚拟网络对等互连和连接的组是建立虚拟网络之间连接的两种方法。 对等互连的工作原理是,在虚拟网络之间创建一对一映射,而连接的组则使用建立连接的新构造,而无需进行此类映射。
在连接的组中,所有虚拟网络连接在一起,但没有单独的对等互连关系。 例如,如果三个虚拟网络属于同一个连接的组,则系统会在每个虚拟网络之间启用连接,而无需建立单独的对等互连关系。
管理当前使用 VNet 对等互连的虚拟网络时,使用 Azure Virtual Network Manager 时这是否会导致两次支付 VNet 对等互连费用?
对等互连不会二次或重复收费。 你的虚拟网络管理器会识别所有以前创建的 VNet 对等互连,并迁移这些连接。 所有对等互连资源(无论是在虚拟网络管理器内部还是外部创建的)都只产生单一的对等互连费用。
是否可以创建安全管理规则的例外?
通常,安全管理员规则用于阻止跨虚拟网络的流量。 但是,有时某些虚拟网络及其资源需要允许用于管理或其他进程的流量。 对于这些情况,可以在需要时创建例外。 针对这些情况,了解如何阻止包含例外的高风险端口。
如何将多个安全管理配置部署到一个区域?
只能为一个区域部署一个安全管理员配置。 但是,如果在安全配置中创建多个规则集合,则区域中可以存在多个连接配置。
安全管理员规则是否适用于 Azure 专用终结点?
目前,安全管理员规则不适用于属于 Azure Virtual Network Manager 管理的虚拟网络范围内的 Azure 专用终结点。
出站规则
| 端口 | 协议 | 源 | 目标 | 操作 |
|---|---|---|---|---|
| 443、12000 | TCP | VirtualNetwork |
AzureCloud |
允许 |
| 任意 | 任意 | VirtualNetwork |
VirtualNetwork |
允许 |
Azure 虚拟 WAN 中心是否可以成为网络组的一部分?
否,Azure 虚拟 WAN 中心目前不能位于网络组中。
是否可以在 Virtual Network Manager 中心辐射型拓扑配置中将 Azure 虚拟 WAN 实例用作中心?
否,目前不支持将 Azure 虚拟 WAN 中心作为中心辐射型拓扑的中心。
虚拟网络未进行预期的配置。 如何进行故障排除?
使用以下问题寻找可能的解决方案。
你是否已将配置部署到虚拟网络的区域?
Azure Virtual Network Manager 中的配置在部署之前不会生效。 使用适当的配置部署到虚拟网络区域。
虚拟网络是否在范围内?
网络管理员获得了足够的访问权限才能将配置应用于范围内的虚拟网络。 如果某个资源在你的网络组中,但不在范围内,它也不会收到任何配置。
你是否正将安全规则应用于包含托管实例的虚拟网络?
Azure SQL 托管实例具有一些网络要求。 这些要求是通过高优先级网络意向策略强制执行的,这些策略的目的与安全管理员规则冲突。 默认情况下,在包含其中任一意向策略的虚拟网络上跳过管理员规则应用程序。 由于“允许”规则不会带来冲突的风险,因此可以通过在 securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices 上设置 AllowRulesOnly 来选择应用“仅允许”规则。
你是否正将安全规则应用于包含阻止安全配置规则的服务的虚拟网络或子网?
某些服务需要特定的网络要求才能正常运行。 这些服务包括 Azure SQL 托管实例、Azure Databricks 和 Azure 应用程序网关。 默认情况下,在包含其中任一服务的虚拟网络和子网上会跳过对安全管理员规则的采用。 由于“允许”规则没有冲突风险,因此可以通过在 securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET 类上设置安全配置的 AllowRulesOnly 字段来选择应用“仅允许”规则。
限制
Azure Virtual Network Manager 存在哪些服务限制?
有关当前最新信息,请参阅《Azure Virtual Network Manager 限制》。
后续步骤
- 使用 Azure 门户创建 Azure Virtual Network Manager 实例。