Preguntas más frecuentes sobre Azure Virtual Network Manager
En este artículo se responde a las preguntas más frecuentes sobre Azure Virtual Network Manager.
General
¿Qué regiones de Azure admiten Azure Virtual Network Manager?
Para obtener información actual sobre el soporte técnico de la región, consulte los Productos disponibles por región.
Nota:
Todas las regiones tienen zonas de disponibilidad, excepto Centro de Francia.
¿Cuáles son los casos de uso comunes para Azure Virtual Network Manager?
Puede crear grupos de red para satisfacer los requisitos de seguridad del entorno y sus funciones. Por ejemplo, puede crear grupos de red para entornos de producción y pruebas a fin de administrar sus reglas de conectividad y seguridad a gran escala.
En el caso de las reglas de seguridad, puede crear una configuración de administrador de seguridad con dos colecciones. Cada recopilación está destinada a los grupos de red de producción y prueba, respectivamente. Después de la implementación, esta configuración aplica un conjunto de reglas de seguridad para los recursos de red del entorno de producción y otro conjunto para el entorno de prueba.
Puede aplicar configuraciones de conectividad para crear una malla o una topología de red de concentrador y radio para un gran número de redes virtuales en las suscripciones de la organización.
Puede denegar el tráfico de alto riesgo. Como administrador de una empresa, puede bloquear protocolos u orígenes específicos que invalidan todas las reglas de grupo de seguridad de red (NSG) que normalmente permitirían el tráfico.
Siempre puede permitir el tráfico. Por ejemplo, es posible que quiera que un analizador de seguridad específico siempre tenga conectividad entrante a todos los recursos, incluso si hay reglas de NSG configuradas para denegar el tráfico.
¿Cuál es el coste de usar Azure Virtual Network Manager?
Los cargos de Azure Virtual Network Manager se basan en el número de suscripciones que contienen una red virtual con una configuración de Virtual Network Manager activa implementada en ella. Además, se aplica un cargo de emparejamiento al volumen de tráfico de las redes virtuales administradas por una configuración de conectividad implementada (ya sea de malla o de tipo hub-and-spoke).
Puede encontrar los precios actuales de su región en la página Precios de Azure Virtual Network Manager.
¿Cómo implemento Azure Virtual Network Manager?
Puede implementar y administrar una instancia de Azure Virtual Network Manager y las configuraciones mediante una variedad de herramientas, entre las que se incluyen las siguientes:
Requisitos previos técnicos
¿Puede una red virtual pertenecer a varias instancias de Azure Virtual Network Manager?
Sí, una red virtual puede pertenecer a más de una instancia de Azure Virtual Network Manager.
¿Qué es una topología de red de malla global?
Una malla global permite que las redes virtuales de distintas regiones se comuniquen entre sí. Los efectos son similares a cómo funciona el emparejamiento de redes virtuales globales.
¿Existe un límite en cuanto el número de grupos de red que se pueden crear?
No existe ningún límite en cuanto el número de grupos de red que se pueden crear.
¿Cómo se quita la implementación de todas las configuraciones aplicadas?
Debe implementar una configuración Ninguna en todas las regiones que tengan una configuración aplicada.
¿Se pueden agregar redes virtuales desde otra suscripción que no administre yo personalmente?
Sí, si tiene los permisos adecuados para acceder a esas redes virtuales.
¿Qué es la pertenencia dinámica a grupos?
Vea Pertenencia dinámica.
¿En qué se diferencia la implementación de la configuración para la pertenencia dinámica y la pertenencia estática?
Vea Implementaciones de configuración en Azure Virtual Network Manager.
¿Cómo se elimina un componente de Azure Virtual Network Manager?
¿Almacena Azure Virtual Network Manager datos de clientes?
No. Azure Virtual Network Manager no almacena ningún dato de cliente.
¿Se puede mover una instancia de Azure Virtual Network Manager?
No. Azure Virtual Network Manager no admite actualmente esa funcionalidad. Si tiene que mover una instancia, puede considerar la posibilidad de eliminarla y usar la plantilla de Azure Resource Manager para crear otra en otra ubicación.
¿Cómo se puede ver qué configuraciones se aplican para facilitar la solución de problemas?
Puede ver la configuración de Azure Virtual Network Manager en Administrador de redes para una red virtual. Los valores muestran las la configuraciones de administración de seguridad y conectividad que se aplican. Para más información, vea Visualización de las configuraciones aplicadas por Azure Virtual Network Manager.
¿Qué ocurre cuando todas las zonas están inactivas en una región con una instancia de Virtual Network Manager?
Si se produce una interrupción regional, todas las configuraciones aplicadas a los recursos de red virtual administrada actuales permanecerán intactos durante la interrupción. No puede crear nuevas configuraciones ni modificar las configuraciones existentes durante la interrupción. Una vez que se resuelva la interrupción, puede seguir administrando los recursos de red virtual como antes.
¿Se puede emparejar una red virtual administrada por Azure Virtual Network Manager a una red virtual no administrada?
Sí. Azure Virtual Network Manager es totalmente compatible con implementaciones de topología en estrella tipo hub-and-spoke preexistentes en las que se usa el emparejamiento. No tiene que eliminar ninguna conexión emparejada existente entre los radios y el centro. La migración se produce sin tiempo de inactividad en la red.
¿Puedo migrar una topología en estrella tipo hub-and-spoke existente a Azure Virtual Network Manager?
Sí. La migración de redes virtuales existentes a la topología en estrella tipo hub-and-spoke en Azure Virtual Network Manager es sencilla. Puede crear una configuración de conectividad de topología de red en estrella tipo hub-and-spoke. Al implementar esta configuración, Virtual Network Manager crea automáticamente los emparejamientos necesarios. Los emparejamientos preexistentes permanecen intactos, lo que garantiza que no haya tiempo de inactividad.
¿En qué se diferencian los grupos conectados del emparejamiento de red virtual con respecto al establecimiento de la conectividad entre redes virtuales?
En Azure, el emparejamiento de redes virtuales y los grupos conectados son dos métodos para establecer la conectividad entre redes virtuales. El emparejamiento de redes virtuales funciona mediante la creación de una asignación individual entre redes virtuales, mientras que los grupos conectados usan una nueva construcción que establece la conectividad sin esa asignación.
En un grupo conectado, todas las redes virtuales están conectadas sin relaciones de emparejamiento individuales. Por ejemplo, si tres redes virtuales forman parte del mismo grupo conectado, la conectividad se habilita entre cada red virtual sin necesidad de relaciones de emparejamiento individuales.
Cuando se administran redes virtuales que actualmente utilizan emparejamiento de VNET, ¿resulta esto en pagar dos veces los cargos de emparejamiento de VNET con Azure Virtual Network Manager?
No hay ningún segundo o doble cargo para el emparejamiento. El administrador de redes virtuales respeta todos los emparejamientos de red virtual (VNet) creados anteriormente y migra esas conexiones. Todos los recursos de emparejamiento, ya sean creados dentro de un administrador de red virtual o fuera, con un solo cargo de emparejamiento.
¿Se pueden crear excepciones a las reglas del administrador de seguridad?
Normalmente, se definen reglas del administrador de seguridad para bloquear el tráfico entre redes virtuales. Pero hay ocasiones en las que determinadas redes virtuales y sus recursos tienen que permitir el tráfico para la administración u otros procesos. En estos escenarios, puede crear excepciones cuando sea necesario. Obtenga información sobre cómo bloquear puertos de alto riesgo con excepciones para estos tipos de escenarios.
¿Cómo se pueden implementar varias configuraciones del administrador de seguridad en una región?
Solo puede implementar una configuración de administración de seguridad en una región. Pero pueden existir varias configuraciones de conectividad en una región si crea varias colecciones de reglas en una configuración de seguridad.
¿Se aplican reglas de administración de seguridad a los puntos de conexión privados de Azure?
Actualmente, las reglas de administración de seguridad no se aplican a los puntos de conexión privados de Azure que se encuentran en el ámbito de una red virtual administrada por Azure Virtual Network Manager.
Reglas de salida
Puerto | Protocolo | Origen | Destino | Acción |
---|---|---|---|---|
443, 12000 | TCP | VirtualNetwork |
AzureCloud |
Allow |
Any | Any | VirtualNetwork |
VirtualNetwork |
Allow |
¿Un centro de Azure Virtual WAN puede formar parte de un grupo de red?
No, en este momento, un centro de Azure Virtual WAN no puede estar en un grupo de red.
¿Se puede utilizar una instancia de Azure Virtual WAN como centro en la configuración de topología hub-and-spoke de Virtual Network Manager?
No, en este momento no se admite un centro de conectividad de Azure Virtual WAN como centro en una topología en estrella tipo hub-and-spoke.
Mi red virtual no recibe las configuraciones deseadas. ¿Cómo soluciono el problema?
Use las preguntas siguientes para obtener posibles soluciones.
¿Ha implementado la configuración en la región de la red virtual?
Las configuraciones de Azure Virtual Network Manager no surten efecto hasta que se implementan. Realice una implementación en la región de la red virtual con las configuraciones adecuadas.
¿Está su red virtual dentro del ámbito?
Un administrador de red solo tiene acceso delegado suficiente para aplicar configuraciones a redes virtuales dentro del ámbito. Si un recurso pertenece al grupo de red pero se encuentra fuera del ámbito, no recibe ninguna configuración.
¿Va a aplicar reglas de seguridad a una red virtual que contiene instancias administradas?
Azure SQL Managed Instance tiene algunos requisitos de red. Estos requisitos se aplican mediante directivas de intención de red de alta prioridad, cuya finalidad entra en conflicto con las reglas de administración de seguridad. De manera predeterminada, la aplicación de regla de administración se omite en redes virtuales que contienen cualquiera de estas directivas de intención. Como las reglas Permitir no suponen ningún riesgo de conflicto, puede optar por aplicar reglas Permitir solo si establece AllowRulesOnly
en securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
.
¿Va a aplicar reglas de seguridad a una red virtual o subred que contiene servicios que bloquean las reglas de configuración de seguridad?
Algunos servicios exigen requisitos de red específicos para funcionar correctamente. Estos servicios incluyen Azure SQL Managed Instance, Azure Databricks y Azure Application Gateway. De manera predeterminada, se omite la aplicación de reglas de administración de seguridad en redes virtuales y subredes que contienen cualquiera de estos servicios. Como las reglas Permitir no suponen ningún riesgo de conflicto, puede optar por aplicar reglas Permitir solo si establece el campo AllowRulesOnly
de la clase securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
de .NET de las configuraciones de seguridad.
Límites
¿Qué limitaciones tiene el servicio de Azure Virtual Network Manager?
Para obtener la información más actual, vea Limitaciones con Azure Virtual Network Manager.
Pasos siguientes
- Cree una instancia de Azure Virtual Network Manager mediante Azure Portal.