Azure Virtual Network Manager FAQ

Allgemein

Wichtig

Azure Virtual Network Manager ist für Virtual Network Manager- und Hub-and-Spoke-Konnektivitätskonfigurationen allgemein verfügbar. Meshkonnektivitätskonfigurationen verbleiben in der öffentlichen Vorschau.

Sicherheitskonfigurationen mit Sicherheitsadministratorregeln sind allgemein in den folgenden Regionen verfügbar:

  • Australien (Osten)
  • Australien, Südosten
  • Brasilien Süd
  • Brazilien, Südosten
  • Asien, Osten
  • Europa, Norden
  • Frankreich, Süden
  • Deutschland, Westen-Mitte
  • Indien, Mitte
  • Indien, Süden
  • Indien, Westen
  • Israel, Mitte
  • Italien, Norden
  • Japan, Osten
  • Jio Indien, Westen
  • Korea, Mitte
  • Norwegen, Osten
  • Norwegen, Westen
  • Polen, Mitte
  • Katar, Mitte
  • Südafrika, Norden
  • Südafrika, Westen
  • Schweden, Mitte
  • Schweden, Süden
  • Schweiz, Norden
  • Vereinigte Arabische Emirate, Norden
  • USA, Osten
  • Vereinigtes Königreich, Norden
  • USA, Westen-Mitte

Alle anderen Regionen verbleiben in der öffentlichen Vorschau.

Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Welche Azure-Regionen unterstützen Azure Virtual Network Manager?

Informationen zur Unterstützung der aktuellen Region finden Sie unter Verfügbare Produkte nach Region.

Hinweis

Alle Regionen haben Verfügbarkeitszonen, außer Frankreich, Mitte.

Was sind häufige Anwendungsfälle für die Verwendung von Azure Virtual Network Manager?

  • Sie können verschiedene Netzwerkgruppen erstellen, um den Sicherheitsanforderungen Ihrer Umgebung und deren Funktionen gerecht zu werden. Sie können beispielsweise Netzwerkgruppen für Produktions- und Testumgebungen erstellen, um deren Konnektivität und Sicherheitsregeln in großem Umfang zu verwalten. Für Sicherheitsregeln erstellen Sie eine Sicherheitsadministratorkonfiguration mit zwei Regelsammlungen des Sicherheitsadministrators, die jeweils auf Ihre Produktions- und Testnetzwerkgruppen ausgerichtet sind. Nach der Bereitstellung erzwingt diese Konfiguration einen Satz mit Sicherheitsregeln für Netzwerkressourcen in Ihrer Produktionsumgebung und einen Satz für die Testumgebung.

  • Sie können Konnektivitätskonfigurationen anwenden, um eine Mesh- oder eine Hub-and-Spoke-Netzwerktopologie für eine große Anzahl von virtuellen Netzwerken in den Abonnements Ihres Unternehmens zu erstellen.

  • Sie können gefährlichen Datenverkehr ablehnen: Als Administrator eines Unternehmens können Sie bestimmte Protokolle oder Quellen blockieren und dabei alle NSG-Regeln außer Kraft setzen, die den Datenverkehr normalerweise zulassen würden.

  • Datenverkehr immer zulassen: Sie möchten einem bestimmten Sicherheitsscanner immer eine eingehende Verbindung zu all Ihren Ressourcen erlauben, auch wenn NSG-Regeln konfiguriert sind, die den Datenverkehr verweigern.

Welche Kosten entstehen durch die Verwendung von Azure Virtual Network Manager?

Gebühren für Azure Virtual Network Manager basieren auf der Anzahl der Abonnements, die ein virtuelles Netzwerk mit einer darauf bereitgestellten aktiven Netzwerk-Manager-Konfiguration enthalten. Außerdem wird eine Gebühr für das Peering virtueller Netzwerke für das Datenverkehrsvolumen virtueller Netzwerke erhoben, die von einer bereitgestellten Verbindungskonfiguration (entweder Mesh oder Hub-and-Spoke) verwaltet werden.

Aktuelle Preise für Ihre Region finden Sie auf der Seite Azure Virtual Network Manager – Preise.

Technisch

Kann ein virtuelles Netzwerk zu mehreren Azure Virtual Network Managern gehören?

Ja, ein virtuelles Netzwerk kann zu mehr als einem Azure Virtual Network Manager gehören.

Was ist eine globale Mesh-Netzwerktopologie?

Ein globales Netz ermöglicht es, dass virtuelle Netze über verschiedene Regionen hinweg miteinander kommunizieren können. Die Auswirkungen sind ähnlich wie beim globalen virtuellen Netz-Peering.

Gibt es eine Grenze für die Anzahl der Netzwerkgruppen, die erstellt werden können?

Die Anzahl der Netzwerkgruppen, die erstellt werden können, ist unbegrenzt.

Gewusst wie kann ich die Bereitstellung aller angewendeten Konfigurationen aufheben?

Sie müssen eine None-Konfiguration für alle Regionen bereitstellen, auf die Sie eine Konfiguration angewendet haben.

Kann ich virtuelle Netzwerke von einem anderen, nicht von mir verwalteten Abonnement hinzufügen?

Ja, Sie müssen über die entsprechenden Berechtigungen verfügen, um auf diese virtuellen Netzwerke zugreifen zu können.

Was bedeutet dynamische Gruppenmitgliedschaft?

Für weitere Informationen siehe dynamische Mitgliedschaft.

Wie ist die Bereitstellung der Konfiguration bei dynamischer Mitgliedschaft und statischer Mitgliedschaft unterschiedlich?

Weitere Informationen finden Sie unter Einsatz gegen Mitgliedschaftsarten.

Wie kann ich eine Azure Virtual Network Manager-Komponente löschen?

Weitere Informationen finden Sie in der Checkliste Komponenten entfernen.

Speichert Azure Virtual Network Manager Kundendaten?

Nein. Azure Virtual Network Manager speichert keine Kundendaten.

Kann eine Azure Virtual Network Manager-Instanz verschoben werden?

Nein. Das Verschieben von Ressourcen wird derzeit nicht unterstützt. Wenn Sie ein Element verschieben müssen, können Sie die vorhandene Instanz des Virtual Network Managers löschen und die ARM-Vorlage verwenden, um eine andere Instanz an einem anderen Speicherort zu erstellen.

Wie kann ich sehen, welche Konfigurationen angewendet werden, um mir bei der Fehlersuche zu helfen?

Sie können die Einstellungen des Azure Virtual Network Manager unter Netzwerkmanager für ein virtuelles Netzwerk einsehen. Sie können sowohl die Konnektivitäts- als auch die Sicherheitsverwaltungskonfiguration sehen, die angewendet werden. Weitere Informationen finden Sie unter Ansicht der angewandten Konfiguration.

Was geschieht, wenn alle Zonen in einer Region mit einer Instanz des Virtual Network Managers ausgefallen sind?

Sollte ein regionaler Ausfall auftreten, werden alle Konfigurationen, die auf aktuelle verwaltete virtuelle Netzwerkressourcen angewendet werden, während des Ausfalls wieder intakt Standard. Sie können keine neuen Konfigurationen erstellen oder vorhandene Konfigurationen während des Ausfalls ändern. Sobald der Ausfall behoben ist, können Sie ihre virtuellen Netzwerkressourcen wie zuvor verwalten.

Kann ein virtuelles Netzwerk, das von Azure Virtual Network Manager verwaltet wird, in ein nicht verwaltetes virtuelles Netzwerk eingesehen werden?

Ja, Azure Virtual Network Manager ist vollständig mit vorhandenen Bereitstellungen mit Hub-and-Spoke-Topologie kompatibel, die Peering verwenden. Dies bedeutet auch, dass Sie keine vorhandenen Peeringverbindungen zwischen den Spokes und dem Hub löschen müssen. Die Migration erfolgt ohne Ausfallzeiten in Ihrem Netzwerk.

Lässt sich eine vorhandene Hub-and-Spoke-Topologie zu Azure Virtual Network Manager migrieren?

Ja, das Migrieren vorhandener VNets zur Hub-and-Spoke-Topologie von AVNM ist einfach und bedingt keine Ausfallzeit. Kunden können eine Verbindungskonfiguration für Hub-and-Spoke-Topologie für die gewünschte Topologie erstellen. Bei der tatsächlichen Bereitstellung dieser Konfiguration erstellt der Virtual Network Manager die erforderlichen Peerings automatisch. Alle bereits vorhandenen Peerings, die von Benutzern eingerichtet wurden, bleiben intakt, wodurch sichergestellt wird, dass keine Ausfallzeiten auftreten.

Wie unterscheiden sich verbundene Gruppen vom Peering virtueller Netzwerke im Hinblick auf die Herstellung von Verbindungen zwischen virtuellen Netzwerken?

In Azure stellen das Peering virtueller Netzwerke und verbundene Gruppen zwei Methoden zur Schaffung von Konnektivität zwischen virtuellen Netzwerken (VNets) dar. Während das Peering virtueller Netzwerke durch die Schaffung einer Eins-zu-Eins-Zuordnung zwischen den einzelnen Netzwerken mit Peering funktioniert, verwenden verbundene Gruppen ein neues Konstrukt, das die Konnektivität ohne eine solche Zuordnung herstellt. In einer verbundenen Gruppe sind alle virtuellen Netzwerke ohne einzelne Peeringbeziehungen miteinander verbunden. Wenn beispielsweise VNetA, VNetB und VNetC Teil der gleichen verbundenen Gruppe sind, ist zwischen den einzelnen virtuellen Netzwerken Konnektivität hergestellt, ohne die Notwendigkeit einzelner Peeringbeziehungen.

Kann ich Ausnahmen für Sicherheitsadministratorregeln erstellen?

Normalerweise werden Sicherheitsadministratorregeln definiert, um datenverkehrsübergreifend über virtuelle Netzwerke zu blockieren. Es gibt jedoch Zeiten, in denen bestimmte virtuelle Netzwerke und ihre Ressourcen Datenverkehr für die Verwaltung oder andere Prozesse zulassen müssen. Für diese Szenarien können Sie bei Bedarf Ausnahmen erstellen. Erfahren Sie, wie Sie für diese Szenarien Ports mit hohem Risiko über Ausnahmen blockieren.

Wie kann ich mehrere Sicherheitsadministratorkonfigurationen in einer Region bereitstellen?

Nur eine Sicherheitsadministratorkonfiguration kann in einer Region bereitgestellt werden. Mehrere Verbindungskonfigurationen können jedoch in einer Region vorhanden sein. Um mehrere Sicherheitsadministratorkonfigurationen in einer Region bereitzustellen, können Sie stattdessen mehrere Regelsammlungen in einer Sicherheitskonfiguration erstellen.

Gelten Sicherheitsadministratorregeln für private Azure-Endpunkte?

Derzeit gelten Sicherheitsadministratorregeln nicht für private Azure-Endpunkte, die unter den Bereich eines virtuellen Netzwerks fallen, das von Azure Virtual Network Manager verwaltet wird.

Ausgangsregeln

Port Protokoll Quelle Ziel Aktion
443, 12000 TCP VirtualNetwork AzureCloud Allow
Any Any VirtualNetwork VirtualNetwork Zulassen

Kann ein Azure Virtual WAN-Hub Teil einer Netzwerkgruppe sein?

Nein, ein Azure Virtual WAN-Hub kann sich aktuell nicht in einer Netzwerkgruppe befinden.

Kann ein Azure Virtual WAN als Hub in einer Hub-and-Spoke-Topologiekonfiguration des Virtual Network Managers verwendet werden?

Nein, ein Azure-Virtual WAN-Hub wird aktuell nicht als Hub in einer Hub-and-Spoke-Topologie unterstützt.

Meine Virtual Network-Instanz erhält nicht die erwarteten Konfigurationen. Wie führe ich eine Problembehandlung durch?

Haben Sie Ihre Konfiguration in der Region des virtuellen Netzwerks bereitgestellt?

Konfigurationen in Azure Virtual Network Manager werden erst wirksam, wenn sie bereitgestellt werden. Führen Sie in der Region des virtuellen Netzwerks eine Bereitstellung mit den entsprechenden Konfigurationen durch.

Sind neue Konfigurationen für Ihr virtuelles Netzwerk vorgesehen?

Netzwerkmanager*innen erhalten nur so viele Zugriffsberechtigungen, um Konfigurationen auf die von Ihnen vorgesehenen virtuellen Netzwerke anzuwenden. Selbst, wenn sich eine Ressource in Ihrer Netzwerkgruppe, aber außerhalb des Bereichs befindet, erhält sie keine Konfigurationen.

Wenden Sie Sicherheitsregeln auf ein virtuelles Netzwerk an, das Azure SQL Managed Instances enthält?

Azure SQL Managed Instance weist einige Netzwerkanforderungen auf. Diese werden durch Netzwerkabsichtsrichtlinien mit hoher Priorität erzwungen, deren Zweck mit Sicherheitsverwaltungsregeln in Konflikt steht. Standardmäßig wird die Anwendung von Administratorregeln in VNets übersprungen, die eine dieser Absichtsrichtlinien enthalten. Da Zulassen-Regeln keine Konfliktgefahr mit sich bringen, können Sie sich für die Anwendung von Nur Zulassen-Regeln entscheiden. Wenn Sie nur Zulassungsregeln verwenden möchten, können Sie AllowRulesOnly auf securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices festlegen.

Wenden Sie Sicherheitsregeln auf ein virtuelles Netzwerk oder Subnetz an, das Dienste enthält, die Sicherheitskonfigurationsregeln blockieren?

Bestimmte Dienste wie Azure SQL verwaltete Instanz, Azure Databricks und Azure-App lication Gateway erfordern bestimmte Netzwerkanforderungen, um ordnungsgemäß zu funktionieren. Standardmäßig wird die Anwendung von Sicherheitsadministratorregeln in VNets und Subnetzen, die einen dieser Dienste enthalten, übersprungen. Da Zulassen-Regeln keine Konfliktgefahr mit sich bringen, können Sie sich entscheiden, Nur Zulassen-Regeln anzuwenden, indem Sie das Feld AllowRulesOnly der Sicherheitskonfiguration für die .NET-Klasse securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices festlegen.

Grenzwerte

Welche Serviceeinschränkungen hat Azure Virtual Network Manager?

  • Eine verbundene Gruppe kann bis zu 250 virtuelle Netzwerke aufweisen. Virtuelle Netzwerke in einer Meshtopologie befinden sich in einer verbundenen Gruppe, daher hat eine Meshkonfiguration ein Limit von 250 virtuellen Netzwerken.

  • Sie können Netzwerkgruppen mit oder ohne direkte Konnektivität in derselben Hub-and-Spoke-Konfiguration aktiviert haben, solange die Gesamtzahl der virtuellen Netzwerke, die mit dem Hub verbunden sind, 500 virtuelle Netzwerke nicht überschreitet.

    • Wenn für die mit dem Hub verknüpfte Netzwerkgruppe direkte Konnektivität aktiviert ist, befinden sich diese virtuellen Netzwerke in einer verbundenen Gruppe. Daher hat die Netzwerkgruppe ein Limit von 250 virtuellen Netzwerken.
    • Wenn die mit dem Hub verknüpfte Netzwerkgruppe direkte Konnektivität nicht aktiviert hat, kann die Netzwerkgruppe das Gesamtlimit für eine Hub-and-Spoke-Topologie nutzen.
  • Ein virtuelles Netzwerk kann Teil von bis zu zwei verbundenen Gruppen sein.

    Beispiel:

    • Ein virtuelles Netzwerk kann Teil von zwei Meshkonfigurationen sein.
    • Ein virtuelles Netzwerk kann Teil einer Meshtopologie und einer Netzwerkgruppe sein, für die direkte Konnektivität in einer Hub-and-Spoke-Topologie aktiviert ist.
    • Ein virtuelles Netzwerk kann Teil von zwei Netzwerkgruppen sein, für die direkte Konnektivität in der gleichen oder einer anderen Hub-and-Spoke-Konfiguration aktiviert ist.
  • Sie können virtuelle Netzwerke mit überlappenden IP-Bereichen in derselben verbundenen Gruppe haben. Kommunikation mit einer sich überschneidenden IP-Adresse wird jedoch verworfen.

  • Die maximale Anzahl der IP-Präfixe in allen Verwaltungsregeln zusammen beträgt 1000.

  • Die maximale Anzahl von Verwaltungsregeln in einer Ebene von Azure Virtual Network Manager beträgt 100.

  • Azure Virtual Network Manager bietet in der öffentlichen Vorschau keine mandantenübergreifende Unterstützung.

  • Kunden mit mehr als 15.000 Azure-Abonnements können Azure Virtual Network-Richtlinien nur auf Abonnement- und Ressourcengruppenebene anwenden. Verwaltungsgruppen können nicht über die Abonnementgrenze von 15.000 hinaus angewendet werden.

    • Wenn dies Ihr Szenario ist, müssen Sie Zuweisungen auf niedrigeren Ebenen des Verwaltungsgruppenbereichs erstellen, die weniger als 15.000 Abonnements aufweisen.
  • Virtuelle Netzwerke können keiner Netzwerkgruppe hinzugefügt werden, wenn das benutzerdefinierte Richtlinienelement enforcementMode für Azure Virtual Network Manager auf Disabled festgelegt ist.

  • Azure Virtual Network Manager-Richtlinien unterstützen den Standardauswertungszyklus für Richtlinienkonformität nicht. Weitere Informationen finden Sie unter Auswertungsauslöser.

  • Die aktuelle Vorschau der verbundenen Gruppe weist eine Einschränkung auf, bei der der Datenverkehr von einer verbundenen Gruppe nicht mit einem privaten Endpunkt in dieser verbundenen Gruppe kommunizieren kann, wenn für diesen eine Netzwerksicherheitsgruppe aktiviert ist. Diese Einschränkung wird jedoch entfernt, sobald dieses Feature allgemein verfügbar ist.

Nächste Schritte

Erstellen Sie eine Azure Virtual Network Manager-Instanz über das Azure-Portal.