Azure Virtual Network Manager FAQ
Allgemein
Wichtig
Azure Virtual Network Manager ist allgemein für Virtual Network Manager- und Hub- und Spoke-Konnektivitätskonfigurationen verfügbar.
Netzwerkkonnektivitätskonfigurationen und Sicherheitsadministratorregeln verbleiben in der öffentlichen Vorschau. Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbedingungen für Microsoft Azure Previews..
Welche Azure-Regionen unterstützen Azure Virtual Network Manager?
Informationen zur aktuellen Regionsunterstützung finden Sie unter Verfügbare Produkte nach Region.
Hinweis
Alle Regionen haben Verfügbarkeitszonen, außer Frankreich, Mitte.
Was sind häufige Anwendungsfälle für die Verwendung von Azure Virtual Network Manager?
Sie können verschiedene Netzwerkgruppen erstellen, um den Sicherheitsanforderungen Ihrer Umgebung und deren Funktionen gerecht zu werden. Sie können beispielsweise Netzwerkgruppen für Produktions- und Testumgebungen erstellen, um deren Konnektivität und Sicherheitsregeln in großem Umfang zu verwalten. Für Sicherheitsregeln erstellen Sie eine Sicherheitsadministratorkonfiguration mit zwei Regelsammlungen des Sicherheitsadministrators, die jeweils auf Ihre Produktions- und Testnetzwerkgruppen ausgerichtet sind. Nach der Bereitstellung erzwingt diese Konfiguration einen Satz mit Sicherheitsregeln für Netzwerkressourcen in Ihrer Produktionsumgebung und einen Satz für die Testumgebung.
Sie können Konnektivitätskonfigurationen anwenden, um eine Mesh- oder eine Hub-and-Spoke-Netzwerktopologie für eine große Anzahl von virtuellen Netzwerken in den Abonnements Ihres Unternehmens zu erstellen.
Sie können Datenverkehr mit hohem Risiko verweigern: Als Administrator eines Unternehmens können Sie bestimmte Protokolle oder Quellen blockieren, die alle NSG-Regeln außer Kraft setzen, die normalerweise den Datenverkehr zulassen würden.
Datenverkehr immer zulassen: Sie möchten einem bestimmten Sicherheitsscanner immer eine eingehende Verbindung zu all Ihren Ressourcen erlauben, auch wenn NSG-Regeln konfiguriert sind, die den Datenverkehr verweigern.
Technisch
Kann ein virtuelles Netzwerk zu mehreren Azure Virtual Network Managern gehören?
Ja, ein virtuelles Netzwerk kann zu mehr als einem Azure Virtual Network Manager gehören.
Was ist eine globale Mesh-Netzwerktopologie?
Ein globales Netz ermöglicht es, dass virtuelle Netze über verschiedene Regionen hinweg miteinander kommunizieren können. Die Auswirkungen sind ähnlich wie beim globalen virtuellen Netz-Peering.
Gibt es eine Grenze für die Anzahl der Netzwerkgruppen, die erstellt werden können?
Die Anzahl der Netzwerkgruppen, die erstellt werden können, ist unbegrenzt.
Gewusst wie kann ich die Bereitstellung aller angewendeten Konfigurationen aufheben?
Sie müssen eine Keine-Konfiguration für alle Regionen bereitstellen, in denen eine Konfiguration angewendet wurde.
Kann ich virtuelle Netzwerke von einem anderen, nicht von mir verwalteten Abonnement hinzufügen?
Ja, Sie benötigen die entsprechenden Berechtigungen für den Zugriff auf diese virtuellen Netzwerke.
Was bedeutet dynamische Gruppenmitgliedschaft?
Für weitere Informationen siehe dynamische Mitgliedschaft.
Wie ist die Bereitstellung der Konfiguration bei dynamischer Mitgliedschaft und statischer Mitgliedschaft unterschiedlich?
Weitere Informationen finden Sie unter Einsatz gegen Mitgliedschaftsarten.
Wie kann ich eine Azure Virtual Network Manager-Komponente löschen?
Weitere Informationen finden Sie in der Checkliste Komponenten entfernen.
Speichert Azure Virtual Network Manager Kundendaten?
Nein. Azure Virtual Network Manager speichert keine Kundendaten.
Kann eine Azure Virtual Network Manager-Instanz verschoben werden?
Nein. Ressourcenverschiebungen werden derzeit nicht unterstützt. Wenn Sie sie verschieben müssen, können Sie die vorhandene Instanz des virtuellen Netzwerk-Managers löschen und die ARM-Vorlage verwenden, um eine weitere Instanz an einem anderen Speicherort zu erstellen.
Wie kann ich sehen, welche Konfigurationen angewendet werden, um mir bei der Fehlersuche zu helfen?
Sie können die Einstellungen des Azure Virtual Network Manager unter Netzwerkmanager für ein virtuelles Netzwerk einsehen. Sie können sowohl die Konnektivitäts- als auch die Sicherheitsverwaltungskonfiguration sehen, die angewendet werden. Weitere Informationen finden Sie unter Ansicht der angewandten Konfiguration.
Was geschieht, wenn alle Zonen in einer Region mit einer Instanz des virtuellen Netzwerk-Managers ausgefallen sind?
Wenn ein regionaler Ausfall auftritt, bleiben alle Konfigurationen, die auf die aktuell verwalteten Ressourcen angewendet werden, beibehalten, und Sie können keine vorhandenen Konfigurationen ändern oder eine neue Konfiguration erstellen.
Kann ein virtuelles Netzwerk, das von Azure Virtual Network Manager verwaltet wird, in ein nicht verwaltetes virtuelles Netzwerk eingesehen werden?
Ja. Sie können ein bestehendes Peering wahlweise außer Kraft setzen und löschen oder es mit den von Azure Virtual Network Manager erstellten koexistieren lassen.
Wie kann ich Azure SQL Managed Instance-Datenverkehr explizit zulassen, bevor die Ablehnungsregeln greifen?
Azure SQL Managed Instance weist einige Netzwerkanforderungen auf. Wenn Ihre Sicherheitsadministratorregeln die Netzwerkanforderungen blockieren können, können Sie die folgenden Beispielregeln verwenden, um SQLMI-Datenverkehr mit einer höheren Priorität als die der Regeln zum Verweigern zu ermöglichen, die den Datenverkehr von SQL Managed Instance blockieren können.
Eingangsregeln
Port | Protocol | `Source` | Destination | Aktion |
---|---|---|---|---|
9000, 9003, 1438, 1440, 1452 | TCP | SqlManagement | VirtualNetwork | Allow |
9000, 9003 | TCP | CorpnetSaw | VirtualNetwork | Allow |
9000, 9003 | TCP | CorpnetPublic | VirtualNetwork | Allow |
Any | Any | VirtualNetwork | VirtualNetwork | Allow |
Any | Any | AzureLoadBalancer | VirtualNetwork | Zulassen |
Ausgangsregeln
Port | Protocol | `Source` | Destination | Aktion |
---|---|---|---|---|
443, 12000 | TCP | VirtualNetwork | AzureCloud | Allow |
Any | Any | VirtualNetwork | VirtualNetwork | Zulassen |
Kann ein Azure Virtual WAN-Hub Teil einer Netzwerkgruppe sein?
Nein, ein Azure Virtual WAN-Hub kann sich aktuell nicht in einer Netzwerkgruppe befinden.
Kann ein Azure-Virtual WAN als Hub in der Konfiguration der Hub-and-Spoke-Topologie des virtuellen Netzwerk-Managers verwendet werden?
Nein, ein Azure-Virtual WAN-Hub wird aktuell nicht als Hub in einer Hub-and-Spoke-Topologie unterstützt.
Meine Virtual Network-Instanz erhält nicht die erwarteten Konfigurationen. Wie führe ich eine Problembehandlung durch?
Haben Sie Ihre Konfiguration in der Region des VNET bereitgestellt?
Konfigurationen in Azure Virtual Network Manager werden erst wirksam, wenn sie bereitgestellt werden. Führen Sie in der Region des virtuellen Netzwerks eine Bereitstellung mit den entsprechenden Konfigurationen durch.
Sind neue Konfigurationen für Ihr virtuelles Netzwerk vorgesehen?
Netzwerkmanager*innen erhalten nur so viele Zugriffsberechtigungen, um Konfigurationen auf die von Ihnen vorgesehenen virtuellen Netzwerke anzuwenden. Selbst wenn sich eine Ressource in Ihrer Netzwerkgruppe befindet, aber außerhalb des Gültigkeitsbereichs liegt, erhält sie keine Konfigurationen.
Wenden Sie Sicherheitsregeln auf ein VNET an, das Instanzen von Azure SQL Managed Instance enthält?
Azure SQL Managed Instance weist einige Netzwerkanforderungen auf. Diese werden durch Netzwerkabsichtsrichtlinien mit hoher Priorität erzwungen, deren Zweck mit Sicherheitsverwaltungsregeln in Konflikt steht. Standardmäßig wird Admin Regelanwendung auf VNETs übersprungen, die eine dieser Absichtsrichtlinien enthalten. Da Allow-Regeln kein Konfliktrisiko darstellen, können Sie Regeln nur zulassen anwenden. Wenn Sie nur Zulassen-Regeln verwenden möchten, können Sie AllowOnlyRules auf securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
festlegen.
Einschränkungen
Welche Serviceeinschränkungen hat Azure Virtual Network Manager?
Eine verbundene Gruppe kann bis zu 250 virtuelle Netzwerke aufweisen. Virtuelle Netzwerke in einer Meshtopologie befinden sich in einer verbundenen Gruppe, daher hat eine Meshkonfiguration ein Limit von 250 virtuellen Netzwerken.
Sie können Netzwerkgruppen mit oder ohne direkte Konnektivität in derselben Hub-and-Spoke-Konfiguration aktiviert haben, solange die Gesamtzahl der virtuellen Netzwerke, die mit dem Hub verbunden sind, 500 virtuelle Netzwerke nicht überschreitet.
- Wenn für die mit dem Hub verknüpfte Netzwerkgruppe direkte Konnektivität aktiviert ist, befinden sich diese virtuellen Netzwerke in einer verbundenen Gruppe. Daher hat die Netzwerkgruppe ein Limit von 250 virtuellen Netzwerken.
- Wenn die mit dem Hub verknüpfte Netzwerkgruppe direkte Konnektivität nicht aktiviert hat, kann die Netzwerkgruppe das Gesamtlimit für eine Hub-and-Spoke-Topologie nutzen.
Ein virtuelles Netzwerk kann Teil von bis zu zwei verbundenen Gruppen sein.
Beispiel:
- Ein virtuelles Netzwerk kann Teil von zwei Meshkonfigurationen sein.
- Ein virtuelles Netzwerk kann Teil einer Meshtopologie und einer Netzwerkgruppe sein, für die direkte Konnektivität in einer Hub-and-Spoke-Topologie aktiviert ist.
- Ein virtuelles Netzwerk kann Teil von zwei Netzwerkgruppen sein, für die direkte Konnektivität in der gleichen oder einer anderen Hub-and-Spoke-Konfiguration aktiviert ist.
Sie können virtuelle Netzwerke mit überlappenden IP-Bereichen in derselben verbundenen Gruppe haben. Die Kommunikation mit einer überlappenden IP-Adresse wird jedoch gelöscht.
Die maximale Anzahl der IP-Präfixe in allen Verwaltungsregeln zusammen beträgt 1000.
Die maximale Anzahl von Verwaltungsregeln in einer Ebene von Azure Virtual Network Manager beträgt 100.
Azure Virtual Network Manager bietet in der öffentlichen Vorschau keine mandantenübergreifende Unterstützung.
Kunden mit mehr als 15.000 Azure-Abonnements können Azure Virtual Network-Richtlinien nur auf Abonnement- und Ressourcengruppenebene anwenden. Verwaltungsgruppen können nicht über das Abonnementlimit von 15 k angewendet werden.
- Wenn dies Ihr Szenario ist, müssten Sie Zuweisungen im Verwaltungsgruppenbereich auf niedrigerer Ebene erstellen, die weniger als 15.000 Abonnements aufweisen.
Virtuelle Netzwerke können keiner Netzwerkgruppe hinzugefügt werden, wenn das benutzerdefinierte Richtlinienelement
enforcementMode
für Azure Virtual Network Manager aufDisabled
festgelegt ist.Azure Virtual Network Manager-Richtlinien unterstützen den Standardauswertungszyklus für Richtlinienkonformität nicht. Weitere Informationen finden Sie unter Auswertungsauslöser.
Die aktuelle Vorschau der verbundenen Gruppe weist eine Einschränkung auf, bei der Datenverkehr von einer verbundenen Gruppe nicht mit einem privaten Endpunkt in dieser verbundenen Gruppe kommunizieren kann, wenn die NSG aktiviert ist. Diese Einschränkung wird jedoch entfernt, sobald das Feature allgemein verfügbar ist.
Nächste Schritte
Erstellen Sie eine Azure Virtual Network Manager-Instanz über das Azure-Portal.