Nejčastější dotazy ke službě Azure Virtual Network Manager
Tento článek odpovídá na nejčastější dotazy týkající se Azure Virtual Network Manageru.
OBECNÉ
Které oblasti Azure podporují Azure Virtual Network Manager?
Aktuální informace o podpoře oblastí najdete v tématu Produkty dostupné v jednotlivých oblastech.
Poznámka:
Všechny oblasti mají zóny dostupnosti s výjimkou Francie – střed.
Jaké jsou běžné případy použití azure Virtual Network Manageru?
Můžete vytvořit skupiny sítí, které splňují požadavky na zabezpečení vašeho prostředí a jeho funkcí. Můžete například vytvořit skupiny sítí pro produkční a testovací prostředí pro správu jejich připojení a pravidel zabezpečení ve velkém měřítku.
Pro pravidla zabezpečení můžete vytvořit konfiguraci správce zabezpečení se dvěma kolekcemi. Každá kolekce se zaměřuje na produkční a testovací skupiny sítě. Po nasazení tato konfigurace vynucuje jednu sadu pravidel zabezpečení pro síťové prostředky pro produkční prostředí a jednu sadu pro testovací prostředí.
Konfigurace připojení můžete použít k vytvoření sítě nebo hvězdicové síťové topologie pro velký počet virtuálních sítí napříč předplatnými vaší organizace.
Můžete zakázat vysoce rizikový provoz. Jako správce podniku můžete blokovat konkrétní protokoly nebo zdroje, které přepíší všechna pravidla skupiny zabezpečení sítě (NSG), která by normálně umožňovala provoz.
Provoz můžete kdykoli povolit. Můžete například povolit, aby konkrétní skener zabezpečení měl vždy příchozí připojení ke všem vašim prostředkům, i když jsou pravidla NSG nakonfigurovaná tak, aby provoz odepřela.
Jaké jsou náklady na používání Azure Virtual Network Manageru?
Poplatky za Azure Virtual Network Manager jsou založeny na počtu předplatných, která obsahují virtuální síť s aktivní konfigurací nástroje Virtual Network Manager nasazenou na ni. Poplatky za partnerský vztah platí také pro objem provozu virtuálních sítí spravovaných nasazenou konfigurací připojení (síť nebo hvězdicová architektura).
Aktuální ceny pro vaši oblast najdete na stránce s cenami služby Azure Virtual Network Manager.
Návody nasadit Azure Virtual Network Manager?
Instanci a konfiguraci Azure Virtual Network Manageru můžete nasadit a spravovat prostřednictvím různých nástrojů, mezi které patří:
Technické
Může virtuální síť patřit do několika instancí Azure Virtual Network Manageru?
Ano, virtuální síť může patřit do více než jedné instance Azure Virtual Network Manageru.
Co je globální síťová topologie sítě?
Globální síť umožňuje komunikaci virtuálních sítí mezi oblastmi mezi sebou. Účinky jsou podobné tomu, jak funguje globální partnerský vztah virtuálních sítí.
Je omezený počet skupin sítě, které můžu vytvořit?
Počet skupin sítě, které můžete vytvořit, není nijak omezený.
Návody odebrat nasazení všech použitých konfigurací?
Musíte nasadit konfiguraci None do všech oblastí, ve kterých máte použitou konfiguraci.
Můžu přidat virtuální sítě z jiného předplatného, které nespravuji?
Ano, pokud máte příslušná oprávnění pro přístup k těmto virtuálním sítím.
Co je dynamické členství ve skupinách?
Viz Dynamické členství.
Jak se nasazení konfigurace liší pro dynamické členství a statické členství?
Viz Nasazení konfigurace v Azure Virtual Network Manageru.
Návody odstranit komponentu Azure Virtual Network Manageru?
Podívejte se na kontrolní seznam pro odebrání a aktualizaci komponent Azure Virtual Network Manageru.
Ukládá Azure Virtual Network Manager zákaznická data?
Ne. Azure Virtual Network Manager neukládá žádná zákaznická data.
Je možné přesunout instanci Azure Virtual Network Manageru?
Ne. Azure Virtual Network Manager v současné době tuto funkci nepodporuje. Pokud potřebujete přesunout instanci, můžete ji odstranit a pomocí šablony Azure Resource Manageru vytvořit jinou instanci v jiném umístění.
Jak zjistím, jaké konfigurace se použijí, aby mi pomohly řešit potíže?
Nastavení Azure Virtual Network Manageru můžete zobrazit v části Správce sítě pro virtuální síť. Nastavení zobrazují konfigurace připojení i správce zabezpečení, které se použijí. Další informace najdete v tématu Zobrazení konfigurací použitých nástrojem Azure Virtual Network Manager.
Co se stane, když jsou všechny zóny v oblasti s instancí Virtual Network Manageru?
Pokud dojde k výpadku oblasti, všechny konfigurace použité na aktuální spravované prostředky virtuální sítě zůstanou během výpadku nedotčené. Během výpadku nemůžete vytvářet nové konfigurace ani upravovat existující konfigurace. Po vyřešení výpadku můžete i nadále spravovat prostředky virtuální sítě jako předtím.
Může být virtuální síť spravovaná službou Azure Virtual Network Manager v partnerském vztahu s nespravovanou virtuální sítí?
Ano. Azure Virtual Network Manager je plně kompatibilní s předem existujícími nasazeními hvězdicové topologie, která používají partnerský vztah. Nemusíte odstraňovat žádná existující připojení peered mezi paprsky a centrem. K migraci dochází bez výpadků vaší sítě.
Můžu migrovat existující hvězdicovou topologii do Azure Virtual Network Manageru?
Ano. Migrace existujících virtuálních sítí na hvězdicovou topologii v Azure Virtual Network Manageru je jednoduchá. Můžete vytvořit konfiguraci připojení hvězdicové topologie. Když nasadíte tuto konfiguraci, Virtual Network Manager automaticky vytvoří nezbytné partnerské vztahy. Všechny existující partnerské vztahy zůstanou nedotčené, takže nedojde k žádnému výpadku.
Jak se připojené skupiny liší od partnerského vztahu virtuálních sítí při vytváření připojení mezi virtuálními sítěmi?
V Azure jsou partnerské vztahy virtuálních sítí a připojené skupiny dvěma způsoby vytvoření připojení mezi virtuálními sítěmi. Peering funguje vytvořením mapování 1:1 mezi virtuálními sítěmi, zatímco připojené skupiny používají nový konstruktor, který vytváří připojení bez takového mapování.
V připojené skupině jsou všechny virtuální sítě propojené bez jednotlivých vztahů partnerského vztahu. Pokud jsou například tři virtuální sítě součástí stejné připojené skupiny, je připojení mezi jednotlivými virtuálními sítěmi povolené bez nutnosti individuálních vztahů peeringu.
Můžu vytvořit výjimky pravidel správce zabezpečení?
Za normálních okolností jsou pravidla správce zabezpečení definovaná tak, aby blokovala provoz napříč virtuálními sítěmi. Existují však situace, kdy určité virtuální sítě a jejich prostředky potřebují povolit provoz pro správu nebo jiné procesy. V těchto scénářích můžete v případě potřeby vytvářet výjimky . Zjistěte, jak blokovat vysoce rizikové porty s výjimkami pro tyto scénáře.
Jak můžu do oblasti nasadit několik konfigurací správce zabezpečení?
Do oblasti můžete nasadit jenom jednu konfiguraci správce zabezpečení. Pokud však v konfiguraci zabezpečení vytvoříte více kolekcí pravidel, může v určité oblasti existovat více konfigurací připojení.
Vztahují se pravidla správce zabezpečení na privátní koncové body Azure?
V současné době se pravidla správce zabezpečení nevztahují na privátní koncové body Azure, které spadají do rozsahu virtuální sítě spravované nástrojem Azure Virtual Network Manager.
Pravidla odchozích přenosů
| Port | Protokol | Zdroj | Cíl | Akce |
|---|---|---|---|---|
| 443, 12000 | TCP | VirtualNetwork |
AzureCloud |
Povolit |
| Všechny | Všechny | VirtualNetwork |
VirtualNetwork |
Povolit |
Může být centrum Azure Virtual WAN součástí skupiny sítí?
Ne, centrum Azure Virtual WAN teď nemůže být ve skupině sítě.
Můžu jako centrum použít instanci služby Azure Virtual WAN v konfiguraci hvězdicové topologie virtual network manageru?
Ne, centrum Azure Virtual WAN se v současnosti nepodporuje jako centrum v hvězdicové topologii.
Moje virtuální síť nedostává konfigurace, které očekávám. Návody řešení potíží?
Pro možná řešení využijte následující otázky.
Nasadili jste konfiguraci do oblasti virtuální sítě?
Konfigurace v Azure Virtual Network Manageru se neprojeví, dokud se nenasadí. Proveďte nasazení do oblasti virtuální sítě s odpovídajícími konfiguracemi.
Je vaše virtuální síť v oboru?
Správce sítě má delegovaný pouze dostatečný přístup k použití konfigurací pro virtuální sítě v rámci vašeho oboru. Pokud je prostředek ve vaší skupině sítě, ale je mimo rozsah, neobdrží žádné konfigurace.
Používáte pravidla zabezpečení na virtuální síť, která obsahuje spravované instance?
Azure SQL Managed Instance má některé požadavky na síť. Tyto požadavky se vynucují prostřednictvím zásad záměru sítě s vysokou prioritou, jejichž účel je v konfliktu s pravidly správce zabezpečení. Ve výchozím nastavení se aplikace pravidel správce přeskočí ve virtuálních sítích, které obsahují některou z těchto zásad záměru. Vzhledem k tomu, že pravidla Povolit nepředstavují žádné riziko konfliktu, můžete se rozhodnout použít pravidla Povolit pouze nastavením AllowRulesOnly .securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
Používáte pravidla zabezpečení na virtuální síť nebo podsíť obsahující služby, které blokují pravidla konfigurace zabezpečení?
Některé služby vyžadují správné fungování konkrétních síťových požadavků. Mezi tyto služby patří Azure SQL Managed Instance, Azure Databricks a Aplikace Azure lication Gateway. Ve výchozím nastavení se aplikace pravidel správce zabezpečení přeskočí ve virtuálních sítích a podsítích, které obsahují některou z těchto služeb. Vzhledem k tomu , že pravidla Povolit nepředstavují žádné riziko konfliktu, můžete se rozhodnout použít pravidla Povolit pouze nastavením pole konfigurace AllowRulesOnly zabezpečení ve securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices třídě .NET.
Omezení
Jaká jsou omezení služby Azure Virtual Network Manageru?
Nejnovější informace najdete v tématu Omezení pro Azure Virtual Network Manager.
Další kroky
- Pomocí webu Azure Portal vytvořte instanci Azure Virtual Network Manageru.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro