Freigeben über


Verstehen und Arbeit mit Azure Virtual Network Manager-Bereichen

In diesem Artikel erfahren Sie, wie Bereiche Verwaltungsgruppen oder Abonnements die Verwendung bestimmter Features von Azure Virtual Network Manager ermöglichen. Außerdem erfahren Sie mehr über das Konzept der Hierarchie und wie sich dieses auf Azure Virtual Network Manager-Benutzer auswirken kann.

Virtual Network Manager-Ressourcen

Eine Azure Virtual Network Manager-Instanz enthält die folgenden Ressourcen:

  • Netzwerkgruppen: Eine Netzwerkgruppe ist ein logischer Container, in dem Sie Konfigurationsrichtlinien für Netzwerke anwenden können.

  • Konfigurationen: Azure Virtual Network Manager bietet zwei Arten von Konfigurationen:

    • Verwenden Sie Verbindungskonfigurationen zum Erstellen von Netzwerktopologien.
    • Verwenden Sie Sicherheitskonfigurationen, um eine Sammlung von Regeln zu erstellen, die Sie auf virtuelle Netzwerke anwenden können.
  • Regeln: Sie können Netzwerksicherheitsregeln festlegen, die den Netzwerkdatenverkehr für Ihre virtuellen Netzwerke auf globaler Ebene zulassen oder verweigern können.

Bereich

Ein Bereich in Azure Virtual Network Manager stellt die Zugriffsebene dar, die für die Verwaltung von Ressourcen gewährt wird. Der Wert für den Bereich kann auf Verwaltungsgruppenebene oder auf Abonnementebene sein. Informationen zum Verwalten Ihrer Ressourcenhierarchie finden Sie unter Azure-Verwaltungsgruppen. Wenn Sie eine Verwaltungsgruppe als Bereich auswählen, werden alle untergeordneten Ressourcen in den Bereich eingeschlossen.

Hinweis

Sie können nicht mehrere Azure Virtual Network Manager-Instanzen mit einem überlappenden Bereich derselben Hierarchie und den gleichen ausgewählten Features erstellen.

Wenn Sie einen Bereich auf Verwaltungsgruppenebene angeben, müssen Sie den Azure Virtual Network-Anbieter im Verwaltungsgruppenbereich registrieren, bevor Sie eine Virtual Network Manager-Instanz bereitstellen. Dieser Prozess ist unter Erstellung einer Virtual Network Manager-Instanz im Azure-Portal enthalten, aber nicht mit programmgesteuerten Methoden wie der Azure CLI und Azure PowerShell. Hier erfahren Sie mehr über das Registrieren von Anbietern im Verwaltungsgruppenbereich.

Geltungsbereich

Wenn Sie Konfigurationen bereitstellen, wendet die Virtual Network Manager-Instanz Features nur auf Ressourcen innerhalb ihres Bereichs an. Wenn Sie versuchen, einer Netzwerkgruppe eine Ressource hinzuzufügen, die außerhalb des Bereichs liegt, wird sie der Gruppe hinzugefügt, um Ihre Absicht zu repräsentieren. Die Virtual Network Manager-Instanz wendet jedoch nicht die Änderungen an den Konfigurationen an.

Sie können den Bereich der Virtual Network Manager-Instanz aktualisieren. Updates lösen eine automatische, bereichsweite Neubewertung aus und fügen möglicherweise Features durch eine Bereichserweiterung hinzu oder entfernen sie durch eine Bereichsentfernung.

Mandantenübergreifender Bereich

Der Bereich einer Virtual Network Manager-Instanz kann sich über mehrere Mandanten erstrecken, obwohl ein separater Genehmigungsfluss erforderlich ist, um diesen Bereich einzurichten.

Fügen Sie zunächst eine Absicht für den gewünschten Bereich über die Virtual Network Manager-Instanz hinzu, indem Sie die Ressource Bereichsverbindung verwenden. Fügen Sie dann eine Absicht für die Verwaltung der Virtual Network Manager-Instanz aus dem Bereich (Abonnement oder Verwaltungsgruppe) hinzu, indem Sie die Ressource Network Manager-Verbindung verwenden. Diese Ressourcen enthalten einen Status, der angibt, ob der zugeordnete Bereich dem Bereich der Virtual Network Manager-Instanz hinzugefügt wurde.

Features

Features sind Bereichszugriff, dessen Verwaltung Sie Azure Virtual Network Manager gestatten. Azure Virtual Network Manager verfügt derzeit über zwei Featurebereiche: Konnektivität und Sicherheitsadministrator. Sie können beide Featurebereiche auf derselben Virtual Network Manager-Instanz aktivieren.

Hierarchie

Azure Virtual Network Manager ermöglicht die Verwaltung Ihrer Netzwerkressourcen in einer Hierarchie. Eine Hierarchie bedeutet, dass mehrere Virtual Network Manager-Instanzen überlappende Bereiche verwalten können, und die Konfigurationen in jedem Virtual Network Manager können sich ebenfalls überlagern.

Beispielsweise kann die oberste Verwaltungsgruppe als Bereich für eine Virtual Network Manager-Instanz fungieren und eine untergeordnete Verwaltungsgruppe als Bereich für eine andere Virtual Network Manager-Instanz vorhanden sein. Wenn ein Konfigurationskonflikt zwischen Virtual Network Manager-Instanzen vorliegt, die dieselbe Ressource enthalten, wird die Konfiguration aus der Virtual Network Manager-Instanz angewendet, die den höheren Bereich aufweist.

Nächste Schritte