Verstehen und Arbeit mit Azure Virtual Network Manager-Bereichen (Vorschau)

  • Artikel

In diesem Artikel erfahren Sie, wie Azure Virtual Network Manager das Konzept des Bereichs verwendet, um Verwaltungsgruppen oder Abonnements die Verwendung bestimmter Features von Virtual Network Manager zu ermöglichen. Außerdem erfahren Sie mehr über die Hierarchie und wie sich diese auf Ihre Benutzer auswirken kann, wenn Sie Virtual Network Manager verwenden.

Wichtig

Azure Virtual Network Manager ist allgemein für Virtual Network Manager, Hub-and-Spoke-Konnektivitätskonfigurationen und Sicherheitskonfigurationen mit Sicherheitsadministratorregeln verfügbar. Gitterkonnektivitätskonfigurationen verbleiben in der öffentlichen Vorschau.

Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Netzwerkmanager

Der Netzwerk-Manager ist das Objekt der obersten Ebene, das aus untergeordneten Ressourcen wie Netzwerkgruppen, Konfigurationen und Regeln besteht.

  • Netzwerkgruppen: eine Teilmenge des Gesamtbereichs, auf den bestimmte Konnektivitäts- oder Sicherheitsadministratorrichtlinien angewendet werden können.

  • Konfigurationen: Azure Virtual Network Manager bietet zwei Arten von Konfigurationen: eine Konnektivitätskonfiguration und eine Sicherheitskonfiguration. Mit Konnektivitätskonfigurationen können Sie Netzwerktopologien erstellen, während Sie mit Sicherheitskonfigurationen eine Sammlung von Regeln erstellen können, die Sie auf virtuelle Netzwerke anwenden können.

  • Regeln: eine Regelsammlung ist ein Satz von Netzwerksicherheitsregeln, mit denen Netzwerkdatenverkehr auf globaler Ebene für Ihre virtuellen Netzwerke zugelassen oder verweigert werden kann.

`Scope`

Ein Bereich in Azure Virtual Network Manager stellt den delegierten Zugriff dar, der einem Netzwerkmanager gewährt wird, wo Features auf die Ressourcen innerhalb des Bereichs angewendet werden können. Wenn Sie einen Bereich angeben, beschränken Sie den Zugriff, für den Netzwerk-Manager Ressourcen verwalten kann. Der Wert für den Bereich kann auf Verwaltungsgruppenebene oder auf Abonnementebene sein. Hier erfahren Sie, wie Sie Azure-Verwaltungsgruppen zum Verwalten mehrerer Ressourcen-Hierarchie erstellen. Wenn Sie eine Verwaltungsgruppe als Bereich auswählen, werden alle untergeordneten Ressourcen in den Bereich eingeschlossen.

Hinweis

Sie können nicht mehrere Azure Virtual Network Manager-Instanzen mit einem überlappenden Bereich derselben Hierarchie und den gleichen ausgewählten Features erstellen. Wenn Sie einen Bereich auf Verwaltungsgruppenebene angeben, müssen Sie den Azure Virtual Network-Anbieter im Verwaltungsgruppenbereich registrieren, bevor Sie einen virtuellen Netzwerk-Manager bereitstellen. Dieser Prozess ist im Rahmen der Erstellung eines virtuellen Netzwerk-Managers im Azure-Portal enthalten, aber nicht mit programmgesteuerten Methoden wie der Azure CLI und Azure PowerShell. Erfahren Sie mehr über das Registrieren von Anbietern im Verwaltungsgruppenbereich.

Geltungsbereich

Beim Bereitstellen von Konfigurationen wendet der Netzwerk-Manager Funktionen nur auf Ressourcen innerhalb seines Bereichs an. Wenn Sie versuchen, einer Netzwerkgruppe eine Ressource hinzuzufügen, die außerhalb des Geltungsbereichs liegt, wird sie der Gruppe hinzugefügt, um Ihre Absicht darzustellen. Der Netzwerk-Manager wendet die Änderungen jedoch nicht auf die Konfigurationen an.

Der Bereich des Network Managers kann aktualisiert werden, um Bereiche zu seiner Liste hinzuzufügen oder daraus zu entfernen. Updates lösen eine automatische, bereichsweite Neubewertung aus und fügen möglicherweise Funktionen mit einer Bereichserweiterung hinzu oder entfernen sie mit einer Bereichsentfernung.

Mandantenübergreifender Bereich

Der Bereich des Netzwerk-Managers kann sich über Mandanten hinweg erstrecken. Es ist jedoch ein separater Genehmigungsprozess erforderlich, um diesen Bereich einzurichten. Zunächst muss die Absicht für den gewünschten Bereich über die Ressource „Bereichsverbindung“ im Netzwerk-Manager hinzugefügt werden. Zweitens muss die Absicht für die Verwaltung des Netzwerk-Managers über die Ressource „Netzwerk-Manager-Verbindung“ aus dem Bereich (Abonnement/Verwaltungsgruppe) hinzugefügt werden. Diese Ressourcen weisen einen Zustand auf, der angibt, ob der zugeordnete Bereich dem Netzwerk-Manager-Bereich hinzugefügt wurde.

Features

Features sind Bereichszugriff, den Sie Azure Virtual Network Manager verwalten können. Azure Virtual Network Manager verfügt derzeit über zwei Featurebereiche: Konnektivität und SecurityAdmin. Sie können beide Featurebereiche auf derselben Virtual Network Manager-Instanz aktivieren. Weitere Informationen zu den einzelnen Features finden Sie unter Konnektivität und SecurityAdmin.

Hierarchie

Azure Virtual Network Manager ermöglicht die Verwaltung Ihrer Netzwerkressourcen in einer Hierarchie. Eine Hierarchie bedeutet, dass Mehrere Virtual Network Manager-Instanzen überlappende Bereiche verwalten können, und die Konfigurationen in jedem Virtual Network Manager können sich auch überlagern. Beispielsweise können Sie die Verwaltungsgruppe der obersten Ebene eines Virtual Network-Managers und eine untergeordnete Verwaltungsgruppe als Bereich für einen anderen Virtual Network Manager haben. Bei einem Konfigurationskonflikt zwischen verschiedenen Virtual Network Manager-Instanzen, die die gleiche Ressource enthalten. Die Konfiguration des Virtual Network-Managers mit dem höheren Bereich wird angewendet.

Nächste Schritte