Preguntas más frecuentes sobre Azure Virtual Network Manager

  • Artículo

General

Importante

Azure Virtual Network Manager está disponible con carácter general para Virtual Network Manager y configuraciones de conectividad centrales y de radio. Las configuraciones de conectividad de malla permanecen en versión preliminar pública.

Las configuraciones de seguridad con reglas de administración de seguridad están disponibles con carácter general en las siguientes regiones:

  • Centro de Australia
  • Centro de Australia 2
  • Este de Australia
  • Sudeste de Australia
  • Sur de Brasil
  • Sur de Brasil
  • Centro de Canadá
  • Este de Canadá
  • Este de Asia
  • Norte de Europa
  • Centro de Francia
  • Sur de Francia
  • Norte de Alemania
  • Centro-oeste de Alemania
  • India central
  • Sur de India
  • India occidental
  • Centro de Israel
  • Norte de Italia
  • Japón Oriental
  • Japón Occidental
  • JIO del Oeste de la India
  • Centro de Corea del Sur
  • Corea del Sur
  • Este de Noruega
  • Oeste de Noruega
  • Centro de Polonia
  • Centro de Catar
  • Norte de Sudáfrica
  • Oeste de Sudáfrica
  • Centro de Suecia
  • Sur de Suecia
  • Norte de Suiza
  • Oeste de Suiza
  • Centro de Emiratos Árabes Unidos
  • Norte de Emiratos Árabes Unidos
  • Sur de Reino Unido
  • Oeste de Reino Unido
  • Centro de EE. UU.
  • Este de EE. UU.
  • Norte de Reino Unido
  • Oeste de EE. UU.
  • Oeste de EE. UU. 2
  • Oeste de EE. UU. 3
  • Centro-oeste de EE. UU.

Todas las demás regiones permanecen en versión preliminar pública.

Esta versión preliminar se ofrece sin Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.

¿Qué regiones de Azure admiten Azure Virtual Network Manager?

Para obtener soporte técnico de la región actual, consulte los productos disponibles por región.

Nota:

Todas las regiones que tienen Availability Zones, excepto Centro de Francia.

¿Cuáles son los casos de uso comunes para usar Azure Virtual Network Manager?

  • Puede crear grupos de red diferentes para satisfacer los requisitos de seguridad del entorno y sus funciones. Por ejemplo, puede crear grupos de red para entornos de producción y pruebas a fin de administrar sus reglas de conectividad y seguridad a gran escala. En el caso de las reglas de seguridad, crearía una configuración de administrador de seguridad con dos colecciones de reglas de administración de seguridad, cada una de ellas destinada a los grupos de red de producción y prueba, respectivamente. Una vez implementada, esta configuración aplicaría un conjunto de reglas de seguridad para los recursos de red en el entorno de producción y otro conjunto para el entorno de prueba.

  • Puede aplicar configuraciones de conectividad para crear una malla o una topología de red de concentrador y radio para un gran número de redes virtuales en las suscripciones de la organización.

  • Puede denegar el tráfico de alto riesgo: como administrador de una empresa, puede bloquear protocolos u orígenes específicos que invalidarán todas las reglas de NSG que normalmente permitirían el tráfico.

  • Permitir siempre el tráfico: quiere permitir que un analizador de seguridad específico siempre tenga conectividad entrante a todos los recursos, incluso si hay reglas de NSG configuradas para denegar el tráfico.

¿Cuál es el coste de usar Azure Virtual Network Manager?

Los cargos de Azure Virtual Network Manager se basan en el número de suscripciones que contienen una red virtual con una configuración de administrador de red activa implementada en ella. Además, se aplica un cargo de emparejamiento de red virtual al volumen de tráfico de las redes virtuales administradas por una configuración de conectividad implementada (malla o hub-and-spoke).

Los precios actuales de su región se pueden encontrar en la página de precios de Azure Virtual Network Manager.

Requisitos previos técnicos

¿Puede una red virtual pertenecer a varias instancias de Azure Virtual Network Manager?

Sí, una red virtual puede pertenecer a más de una instancia de Azure Virtual Network Manager.

¿Qué es una topología de red de malla global?

Una malla global permite que las redes virtuales de distintas regiones se comuniquen entre sí. Los efectos son similares a cómo funciona el emparejamiento de redes virtuales globales.

¿Existe un límite en cuanto el número de grupos de red que se pueden crear?

No existe ningún límite en cuanto el número de grupos de red que se pueden crear.

¿Cómo se quita la implementación de todas las configuraciones aplicadas?

Tendrá que implementar la configuración Ninguna en todas las regiones que tengan una configuración aplicada.

¿Se pueden agregar redes virtuales desde otra suscripción que no administre yo personalmente?

Sí, deberá tener los permisos adecuados para acceder a esas redes virtuales.

¿Qué es la pertenencia dinámica a grupos?

Para más información, vea pertenencia dinámica.

¿En qué se diferencia la implementación de la configuración para la pertenencia dinámica y la pertenencia estática?

Para más información, vea Implementación en tipos de pertenencia.

¿Cómo se elimina un componente de Azure Virtual Network Manager?

Para más información, vea lista de comprobación de eliminación de componentes.

¿Almacena Azure Virtual Network Manager datos de clientes?

No. Azure Virtual Network Manager no almacena ningún dato de cliente.

¿Se puede mover una instancia de Azure Virtual Network Manager?

No. Actualmente no se admite el movimiento de recursos. Si tiene que moverla, puede considerar la posibilidad de eliminar la instancia de administrador de red virtual existente y usar la plantilla de ARM para crear otra en otra ubicación.

¿Cómo se puede ver qué configuraciones se aplican para facilitar la solución de problemas?

Puede ver la configuración de Azure Virtual Network Manager en Administrador de redes para una red virtual. Puede ver la configuración de administración de seguridad y conectividad que se aplica. Para más información, vea visualización de la configuración aplicada.

¿Qué ocurre cuando todas las zonas están inactivas en una región con una instancia de Virtual Network Manager?

Si se produce una interrupción regional, todas las configuraciones aplicadas a los recursos de red virtual administrada actuales permanecerán intactas durante la interrupción. No puede crear nuevas configuraciones ni modificar las configuraciones existentes durante la interrupción. Una vez resuelta la interrupción, puede seguir administrando los recursos de red virtual como antes.

¿Se puede emparejar una red virtual administrada por Azure Virtual Network Manager a una red virtual no administrada?

Sí, Azure Virtual Network Manager es totalmente compatible con implementaciones de topología en estrella tipo hub-and-spoke preexistentes mediante el emparejamiento. Esto significa que no tendrá que eliminar ninguna conexión emparejada existente entre los radios y el centro. La migración se produce sin tiempo de inactividad en la red.

¿Puedo migrar una topología de concentrador y radio existente a Azure Virtual Network Manager?

Sí, migrar redes virtuales existentes a la topología en estrella tipo hub-and-spoke de AVNM es fácil y no requiere tiempo de inactividad. Los clientes pueden crear una configuración de conectividad de topología en estrella tipo hub-and-spoke de la topología deseada. Cuando se implemente la implementación de esta configuración, el administrador de redes virtuales creará automáticamente los emparejamientos necesarios. Los emparejamientos preexistentes configurados por los usuarios permanecen intactos, lo que garantiza que no haya ningún tiempo de inactividad.

¿Cómo difieren los grupos conectados del emparejamiento de red virtual con respecto al establecimiento de la conectividad entre redes virtuales?

En Azure, el emparejamiento de redes virtuales y los grupos conectados son dos métodos para establecer la conectividad entre redes virtuales (VNet). Aunque el emparejamiento de redes virtuales funciona mediante la creación de una asignación individual entre cada red virtual emparejada, los grupos conectados usan una nueva construcción que establece la conectividad sin dicha asignación. En un grupo conectado, todas las redes virtuales están conectadas sin relaciones de emparejamiento individuales. Por ejemplo, si VNetA, VNetB y VNetC forman parte del mismo grupo conectado, la conectividad se habilita entre cada red virtual sin necesidad de relaciones de emparejamiento individuales.

¿Se pueden crear excepciones a las reglas del administrador de seguridad?

Normalmente, las reglas del administrador de seguridad se definirán para bloquear el tráfico entre redes virtuales. Pero hay ocasiones en las que determinadas redes virtuales y sus recursos tienen que permitir el tráfico para la administración u otros procesos. En estos escenarios, puede crear excepciones cuando sea necesario. Obtenga información sobre cómo bloquear puertos de alto riesgo con excepciones para estos tipos de escenarios.

¿Cómo se pueden implementar varias configuraciones del administrador de seguridad en una región?

Solo se puede implementar una configuración del administrador de seguridad en una región. Sin embargo, pueden existir varias configuraciones de conectividad en una región. Para implementar varias configuraciones del administrador de seguridad en una región, puede crear varias colecciones de reglas en una configuración de seguridad en su lugar.

¿Se aplican reglas de administración de seguridad a los puntos de conexión privados de Azure?

Actualmente, las reglas de administración de seguridad no se aplican a los puntos de conexión privados de Azure que se encuentran en el ámbito de una red virtual administrada por Azure Virtual Network Manager.

Reglas de salida

Puerto Protocolo Origen Destino Acción
443, 12000 TCP VirtualNetwork AzureCloud Allow
Any Any VirtualNetwork VirtualNetwork Permitir

¿Un centro de Azure Virtual WAN puede formar parte de un grupo de red?

No, en este momento, un centro de Azure Virtual WAN no puede estar en un grupo de red.

¿Se puede utilizar una WAN virtual de Azure como centro en la configuración de topología hub-and-spoke del administrador de red virtual?

No, en este momento no se admite un centro de conectividad de Azure Virtual WAN como centro en una topología en estrella tipo hub-and-spoke.

Mi instancia de Virtual Network no aplica las configuraciones deseadas. ¿Cómo soluciono el problema?

¿Ha implementado la configuración en la región de la red virtual?

Las configuraciones de Azure Virtual Network Manager no surten efecto hasta que se implementan. Lleve a cabo una implementación en la región de redes virtuales con las configuraciones adecuadas.

¿Está su red virtual dentro del ámbito?

Un administrador de red solo tiene acceso delegado suficiente para aplicar configuraciones a redes virtuales dentro del ámbito. Si un recurso pertenece al grupo de red pero se encuentra fuera del ámbito, no recibirá ninguna configuración.

¿Va a aplicar reglas de seguridad a una red virtual que contiene instancias de Azure SQL Managed Instance?

Azure SQL Managed Instance tiene algunos requisitos de red. Este servicio se aplica a través de directivas de intención de red de alta prioridad, cuya finalidad entra en conflicto con las reglas de administrador de seguridad. De forma predeterminada, la aplicación de regla de administración se omite en redes virtuales que contienen cualquiera de estas directivas de intención. Dado que las reglas Allow no suponen ningún riesgo de conflicto, puede optar por aplicar reglas Allow only. Si solo desea usar reglas Allow, puede establecer AllowRulesOnly en securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.

¿Va a aplicar reglas de seguridad a una red virtual o subred que contiene servicios que bloquean las reglas de configuración de seguridad?

Algunos servicios, como Azure SQL Managed Instance, Azure Databricks y Azure Application Gateway requieren requisitos de red específicos para funcionar correctamente. De forma predeterminada, la aplicación de reglas de administración de seguridad se omite en redes virtuales y subredes que contienen cualquiera de estos servicios. Dado que las reglas Allow no suponen ningún riesgo de conflicto, puede optar por aplicar reglas Allow Only estableciendo el campo de las configuraciones AllowRulesOnlyde seguridad en la clase .NETsecurityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.

Límites

¿Qué limitaciones tiene el servicio de Azure Virtual Network Manager?

Para conocer las limitaciones más actuales, consulte Limitaciones con Azure Virtual Network Manager.

Pasos siguientes

Cree una instancia de Azure Virtual Network Manager con Azure Portal.