Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel finden Sie Antworten auf häufig gestellte Fragen zu Azure Virtual Network Manager.
Allgemein
Welche Azure-Regionen unterstützen Azure Virtual Network Manager?
Aktuelle Informationen zu den unterstützten Regionen finden Sie unter Verfügbare Produkte nach Region.
Hinweis
Alle Regionen außer „Frankreich, Mitte“ haben Verfügbarkeitszonen.
Was sind häufige Anwendungsfälle für Azure Virtual Network Manager?
Sie können Netzwerkgruppen erstellen, um den Sicherheitsanforderungen Ihrer Umgebung und deren Funktionen gerecht zu werden. Sie können beispielsweise Netzwerkgruppen für Ihre Produktions- und Testumgebungen erstellen, um deren Konnektivität und Sicherheitsregeln im großen Stil zu verwalten.
Für Sicherheitsregeln können Sie eine Sicherheitsadministratorkonfiguration mit zwei Sammlungen erstellen. Die einzelnen Sammlungen sind jeweils auf Ihre Produktions- bzw. Testnetzwerkgruppen zugeschnitten. Nach der Bereitstellung erzwingt diese Konfiguration eine Reihe von Sicherheitsregeln für Netzwerkressourcen für Ihre Produktionsumgebung und einen Satz für Ihre Testumgebung.
Sie können Konnektivitätskonfigurationen anwenden, um eine Mesh- oder eine Hub-and-Spoke-Netzwerktopologie für eine große Anzahl von virtuellen Netzwerken in den Abonnements Ihres Unternehmens zu erstellen.
Sie können Datenverkehr mit hohem Risiko verweigern. Als Administrator eines Unternehmens können Sie bestimmte Protokolle oder Quellen blockieren und dabei alle Regeln für Netzwerksicherheitsgruppen (NSGs) außer Kraft setzen, die den Datenverkehr normalerweise zulassen würden.
Sie können Datenverkehr durchgängig zulassen. Beispielsweise können Sie für einen bestimmten Sicherheitsscanner durchgängig eine eingehende Konnektivität mit all Ihren Ressourcen erlauben, auch wenn NSG-Regeln konfiguriert sind, die den Datenverkehr verweigern.
Welche Kosten entstehen durch die Verwendung von Azure Virtual Network Manager?
Azure Virtual Network Manager-Gebühren basieren auf der Anzahl der virtuellen Netzwerke mit einer aktiven Virtual Network Manager-Konfiguration, die darauf bereitgestellt wird. Wenn beispielsweise ein Virtual Network Manager-Bereich 100 virtuelle Netzwerke enthält, Konfigurationen jedoch nur in 5 dieser virtuellen Netzwerke bereitgestellt wurden, werden Ihnen diese 5 virtuellen Netzwerke (nicht alle 100) in Rechnung gestellt. Beachten Sie außerdem, dass eine Gebühr für Peering für das Datenverkehrsvolumen virtueller Netzwerke gilt, die von einer bereitgestellten Konnektivitätskonfiguration verwaltet werden (entweder Gitter oder Hub-and-Spoke).
Wenn ein virtuelles Netzwerk über mehrere Konfigurationen verfügt, die von derselben Virtual Network Manager-Instanz bereitgestellt werden, verursacht dieses virtuelle Netzwerk nur einen einzigen Gebührensatz; es werden keine Gebühren dupliziert. Wenn z. B. ein Virtual Network Manager sowohl eine Konnektivitätskonfiguration als auch eine Sicherheitsadministratorkonfiguration auf demselben Satz von 5 virtuellen Netzwerken bereitstellt, werden Ihnen diese 5 virtuellen Netzwerke in Rechnung gestellt, aber nicht zweimal berechnet. Diese Kosten berücksichtigen nicht mehrere Konfigurationen, es sei denn, die Konfigurationen stammen aus verschiedenen Virtual Network Manager-Instanzen.
Vor März 2025 basierten die Gebühren für Azure Virtual Network Manager standardmäßig auf der Anzahl der Abonnements, die ein virtuelles Netzwerk mit einer aktiven Konfiguration des Virtual Network Manager enthielten, die darauf bereitgestellt wurde. Wenn Sie Ihre Virtual Network Manager-Instanz vor März 2025 erstellt haben, können Sie ihre Preise auf die preisebasierten Preise für virtuelle Netzwerke umstellen.
Das Netzwerküberprüfungstool von Azure Virtual Network Manager berechnet die Kosten pro Ausführung der Reichweitenanalyse, die im Verifier Workspace des Azure Virtual Network Managers ausgeführt wird. Diese Gebühr unterscheidet sich von den Azure Virtual Network Manager-Gebühren.
Die aktuellen Preise für Ihre Region finden Sie auf der Seite Azure Virtual Network Manager – Preise.
Wie stelle ich Azure Virtual Network Manager bereit?
Sie können Azure Virtual Network Manager-Instanzen und Konfigurationen über verschiedene Tools bereitstellen und verwalten, darunter:
Technisch
Kann ein virtuelles Netzwerk zu mehreren Azure Virtual Network Manager-Instanzen gehören?
Ja, ein virtuelles Netzwerk kann zu mehr als einer Azure Virtual Network Manager-Instanz gehören.
Können Spoke-VNets mit einem VWAN-Hub verbunden werden, während er sich in einer Gittermodelltopologie befindet, damit diese Spoke-VNets direkt kommunizieren können?
Ja, Spoke-VNets können mit VWAN-Hubs verbunden werden, während sie sich in der Gittermodellgruppe befinden. Diese VNets in der Gittermodellgruppe haben eine direkte Verbindung.
Werden Vorgänge an die IP-Präfixe in VNets, die Teil des Azure Virtual Network Manager-Gittermodells sind, automatisch verteilt?
VNets im Gittermodell werden automatisch synchronisiert. IP-Präfixe werden automatisch aktualisiert. Dies bedeutet, dass der Datenverkehr innerhalb des Gittermodells auch dann funktioniert, wenn IP-Präfixe in VNets im Gittermodell geändert wurden.
Wie verifizieren Sie, dass eine Gittertopologie konfiguriert und angewendet wird?
In der Dokumentation wird beschrieben, wie angewendete Konfigurationen angezeigt werden. Bei einer Gittertopologie handelt es sich nicht um ein virtuelles Netzwerk-Peering, sodass die Gitterkonnektivität in Peering nicht angezeigt wird.
Was geschieht, wenn die Region, in der der Azure Virtual Network Manager erstellt wird, deaktiviert ist? Wirkt sich dies auf bereitgestellte Konfigurationen aus, oder werden nur Konfigurationsänderungen verhindert?
Nur die Möglichkeit zum Ändern von Konfigurationen ist beeinträchtigt. Nachdem Azure Virtual Network Manager die Konfiguration programmiert hat, nachdem Sie die Konfiguration committet haben, wird sie weiterhin ausgeführt. Wenn beispielsweise die Azure Virtual Network Manager-Instanz in Region 1 erstellt wird und die Gittermodelltopologie in Region 2 eingerichtet wird, funktioniert das Gittermodell in Region 2 weiterhin, auch wenn Region 1 nicht verfügbar ist.
Was ist eine globale Mesh-Netzwerktopologie?
Eine globale Cloud ermöglicht es, dass virtuelle Netzwerke in verschiedenen Regionen miteinander kommunizieren können. Die Auswirkungen sind ähnlich wie beim globalen virtuellen Netz-Peering.
Gibt es eine Obergrenze für die Anzahl der Netzwerkgruppen, die erstellt werden können?
Die Anzahl der Netzwerkgruppen, die Sie erstellen können, ist unbegrenzt.
Gewusst wie kann ich die Bereitstellung aller angewendeten Konfigurationen aufheben?
Sie müssen für alle Regionen, auf die Sie eine Konfiguration angewendet haben, eine Keine-Konfiguration bereitstellen.
Kann ich virtuelle Netzwerke aus einem anderen Abonnement hinzufügen, das ich nicht verwalte?
Ja, wenn Sie über die erforderlichen Berechtigungen verfügen, um auf diese virtuellen Netzwerke zuzugreifen
Was bedeutet dynamische Gruppenmitgliedschaft?
Siehe Dynamische Mitgliedschaft
Wie ist die Bereitstellung der Konfiguration bei dynamischer Mitgliedschaft und statischer Mitgliedschaft unterschiedlich?
Siehe Konfigurationsbereitstellungen in Azure Virtual Network Manager
Wie kann ich eine Azure Virtual Network Manager-Komponente löschen?
Siehe Komponenten aus der Azure Virtual Network Manager-Checkliste entfernen und aktualisieren
Speichert Azure Virtual Network Manager Kundendaten?
Nein. Azure Virtual Network Manager speichert keine Kundendaten.
Kann eine Azure Virtual Network Manager-Instanz verschoben werden?
Nein. Azure Virtual Network Manager unterstützt diese Funktion derzeit nicht. Wenn Sie eine Instanz verschieben müssen, können Sie sie löschen und die Azure Resource Manager-Vorlage verwenden, um eine andere Instanz an einem anderen Speicherort zu erstellen.
Kann ich ein Abonnement mit Azure Virtual Network Manager in einen anderen Mandanten verschieben?
Ja, Sie müssen jedoch einige Punkte berücksichtigen:
- Der Zielmandant kann keinen Azure Virtual Network Manager erstellt haben.
- Die virtuellen Speichennetzwerke innerhalb der Netzwerkgruppe können beim Wechseln des Mandanten ihre Referenz verlieren und dadurch die Verbindung zum Hubnetzwerk verlieren. Um dies zu beheben, müssen Sie nach dem Verschieben des Abonnements in einen anderen Mandanten die Spoke-VNets manuell der Netzwerkgruppe von Azure Virtual Network Manager hinzufügen.
Wie kann ich sehen, welche Konfigurationen angewendet werden, um mir bei der Fehlersuche zu helfen?
Sie können die Einstellungen des Azure Virtual Network Manager unter Netzwerkmanager für ein virtuelles Netzwerk einsehen. In den Einstellungen können Sie sowohl die Konnektivitäts- als auch die Sicherheitsadministratorkonfigurationen sehen, die angewendet werden. Weitere Informationen finden Sie unter Anzeigen der von Azure Virtual Network Manager angewendeten Konfigurationen.
Was geschieht, wenn alle Zonen in einer Region mit einer Virtual Network Manager-Instanz ausgefallen sind?
Bei einem regionalen Ausfall bleiben alle Konfigurationen, die auf aktuelle verwaltete virtuelle Netzwerkressourcen angewendet werden, während des Ausfalls erhalten. Während des Ausfalls können Sie keine neuen Konfigurationen erstellen oder vorhandene Konfigurationen ändern. Nachdem der Ausfall behoben wurde, können Sie Ihre virtuellen Netzwerkressourcen wie zuvor verwalten.
Kann ein virtuelles Netzwerk, das von Azure Virtual Network Manager verwaltet wird, per Peering mit einem nicht verwalteten virtuellen Netzwerk verbunden werden?
Ja. Azure Virtual Network Manager ist vollständig kompatibel mit vorhandenen Hub-and-Spoke-Topologiebereitstellungen, die Peering verwenden. Sie müssen keine bestehenden Peeringverbindungen zwischen den Spokes und dem Hub löschen. Die Migration erfolgt ohne Ausfallzeiten in Ihrem Netzwerk.
Kann ich eine bestehende Hub-and-Spoke-Topologie zu Azure Virtual Network Manager migrieren?
Ja. Das Migrieren bestehender virtueller Netzwerke zur Hub-and-Spoke-Topologie in Azure Virtual Network Manager ist einfach. Sie können eine Konnektivitätskonfiguration für eine Hub-and-Spoke-Topologie erstellen. Wenn Sie diese Konfiguration bereitstellen, erstellt Virtual Network Manager automatisch die erforderlichen Peerings. Alle vorhandenen Peerings bleiben erhalten, sodass keine Ausfallzeiten auftreten.
Wie unterscheiden sich verbundene Gruppen vom Peering virtueller Netzwerke im Hinblick auf die Schaffung von Konnektivität zwischen virtuellen Netzwerken?
In Azure stellen das Peering virtueller Netzwerke und verbundene Gruppen zwei Methoden zur Schaffung von Konnektivität zwischen virtuellen Netzwerken dar. Virtuelles Netzwerk-Peering funktioniert, indem eine 1:1-Zuordnung zwischen virtuellen Netzwerken erstellt wird, während verbundene Gruppen ein neues Konstrukt verwenden, das eine Verbindung ohne eine solche Zuordnung herstellt.
In einer verbundenen Gruppe sind alle virtuellen Netzwerke ohne einzelne Peeringbeziehungen miteinander verbunden. Wenn beispielsweise drei virtuelle Netzwerke Teil der gleichen verbundenen Gruppe sind, besteht zwischen den einzelnen virtuellen Netzwerken Konnektivität, ohne dass einzelne Peeringbeziehungen erforderlich sind.
Wenn Sie virtuelle Netzwerke mit virtuellem Netzwerk-Peering verwalten, führt dies dazu, dass virtuelle Netzwerk-Peering-Gebühren zweimal mit Azure Virtual Network Manager bezahlt werden?
Für das Peering wird keine zweite oder doppelte Gebühr in Rechnung gestellt. Ihr virtueller Netzwerkmanager respektiert alle zuvor erstellten virtuellen Netzwerk-Peerings und migriert diese Verbindungen. Für alle Peering-Ressourcen, unabhängig davon, ob sie innerhalb oder außerhalb eines virtuellen Netzmanagers erstellt werden, fällt eine einzige Peeringgebühr an.
Kann ich Ausnahmen für Sicherheitsadministratorregeln erstellen?
Normalerweise werden Sicherheitsadministratorregeln definiert, um Datenverkehr über virtuelle Netzwerke zu blockieren. Es gibt jedoch Zeiten, in denen bestimmte virtuelle Netzwerke und ihre Ressourcen Datenverkehr für die Verwaltung oder andere Prozesse zulassen müssen. Für diese Szenarios können Sie bei Bedarf Ausnahmen erstellen. Weitere Informationen dazu, wie Sie Ports mit hohem Risiko mit Ausnahmen für diese Szenarios blockieren können, finden Sie unter diesem Link.
Wie kann ich mehrere Sicherheitsadministratorkonfigurationen in einer Region bereitstellen?
Sie können pro Region nur eine Sicherheitsadministratorkonfiguration bereitstellen. Regionen können jedoch über mehrere Konnektivitätskonfigurationen verfügen, wenn Sie mehrere Regelsammlungen in einer Sicherheitskonfiguration erstellen.
Gelten Sicherheitsadministratorregeln für private Azure-Endpunkte?
Derzeit gelten Sicherheitsadministratorregeln nicht für private Azure-Endpunkte, die in den Bereich eines virtuellen Netzwerks fallen, das mit Azure Virtual Network Manager verwaltet wird.
Ausgangsregeln
Hafen | Protokoll | Quelle | Ziel | Aktion |
---|---|---|---|---|
443, 12000 | TCP | VirtualNetwork |
AzureCloud |
Erlauben |
Beliebig | Beliebig | VirtualNetwork |
VirtualNetwork |
Erlauben |
Kann ein Azure Virtual WAN-Hub Teil einer Netzwerkgruppe sein?
Nein, ein Azure Virtual WAN-Hub kann sich aktuell nicht in einer Netzwerkgruppe befinden.
Kann ich eine Azure Virtual WAN-Instanz als Hub in einer Hub-and-Spoke-Topologiekonfiguration für Virtual Network Manager verwenden?
Nein, Azure Virtual WAN-Hubs werden aktuell nicht als Hubs in einer Hub-and-Spoke-Topologie unterstützt.
Mein virtuelles Netzwerk erhält nicht die Konfigurationen, die ich erwarte. Wie führe ich eine Problembehandlung durch?
Sehen Sie sich für mögliche Lösungen die folgenden Fragen an.
Haben Sie Ihre Konfiguration in der Region des virtuellen Netzwerks bereitgestellt?
Konfigurationen in Azure Virtual Network Manager werden erst wirksam, wenn sie bereitgestellt werden. Führen Sie in der Region des virtuellen Netzwerks eine Bereitstellung mit den entsprechenden Konfigurationen durch.
Sind neue Konfigurationen für Ihr virtuelles Netzwerk vorgesehen?
Netzwerkmanager erhalten nur die erforderlichen Zugriffsberechtigungen, um Konfigurationen auf die virtuellen Netzwerke in Ihrem Bereich anzuwenden. Wenn sich eine Ressource in Ihrer Netzwerkgruppe, aber außerhalb des Bereichs befindet, erhält sie keine Konfigurationen.
Werden Sicherheitsregeln auf ein virtuelles Netzwerk angewendet, das verwaltete Instanzen enthält?
Azure SQL Managed Instance weist einige Netzwerkanforderungen auf. Diese Anforderungen werden durch Netzwerkabsichtsrichtlinien mit hoher Priorität erzwungen, deren Zweck mit Sicherheitsadministratorregeln in Konflikt steht. Standardmäßig wird die Anwendung von Administratorregeln in virtuellen Netzwerken übersprungen, die solche Absichtsrichtlinien enthalten. Da Zulassen-Regeln keine Konfliktgefahr mit sich bringen, können Sie sich für die Anwendung von Nur zulassen-Regeln entscheiden, indem Sie AllowRulesOnly
auf securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
festlegen.
Werden Sicherheitsregeln auf ein virtuelles Netzwerk oder Subnetz angewendet, das Dienste enthält, die Sicherheitskonfigurationsregeln blockieren?
Bei bestimmten Diensten sind bestimmte Netzwerkanforderungen erforderlich, damit sie ordnungsgemäß funktionieren. Zu diesen Diensten gehören Azure SQL Managed Instance, Azure Databricks und Azure Application Gateway. Standardmäßig wird die Anwendung von Sicherheitsadministratorregeln in virtuellen Netzwerken und Subnetzen übersprungen, die solche Dienste enthalten. Da Zulassen-Regeln keine Konfliktgefahr mit sich bringen, können Sie sich für die Anwendung von Nur zulassen-Regeln entscheiden, indem Sie in den Sicherheitskonfigurationen das Feld AllowRulesOnly
auf die .NET-Klasse securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
festlegen.
Grenzwerte
Welche Serviceeinschränkungen hat Azure Virtual Network Manager?
Die aktuellsten Informationen finden Sie unter Einschränkungen bei Azure Virtual Network Manager.
Nächste Schritte
- Erstellen Sie eine Azure Virtual Network Manager-Instanz über das Azure-Portal.