Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se responde a las preguntas más frecuentes sobre Azure Virtual Network Manager.
General
¿Qué regiones de Azure admiten Azure Virtual Network Manager?
Para obtener información actual sobre el soporte técnico de la región, consulte los Productos disponibles por región.
Nota:
Todas las regiones tienen zonas de disponibilidad.
¿Cuáles son los casos de uso comunes para Azure Virtual Network Manager?
Puede crear grupos de red para satisfacer los requisitos de seguridad del entorno y sus funciones. Por ejemplo, puede crear grupos de red para entornos de producción y pruebas a fin de administrar sus reglas de conectividad y seguridad a gran escala.
Para las reglas de administración de seguridad, puede crear una configuración de administrador de seguridad con dos colecciones de reglas. Cada colección de reglas está destinada a los grupos de red de producción y prueba, respectivamente. Después de la implementación, esta configuración aplica un conjunto de reglas de administración de seguridad para los recursos de red para el entorno de producción y otro conjunto para el entorno de prueba.
Puede aplicar configuraciones de conectividad para crear una malla o una topología de red de concentrador y radio para un gran número de redes virtuales en las suscripciones de la organización.
Puede denegar el tráfico de alto riesgo. Como administrador de una empresa, puede bloquear protocolos o orígenes específicos que invaliden cualquier regla de grupo de seguridad de red que normalmente permita el tráfico.
Puede forzar el tráfico. Por ejemplo, puede permitir que un analizador de seguridad específico tenga siempre conectividad entrante a todos los recursos, incluso si las reglas del grupo de seguridad de red están configuradas para denegar el tráfico.
¿Cuál es el coste de usar Azure Virtual Network Manager?
Los cargos de Azure Virtual Network Manager se basan en el número de redes virtuales con una configuración activa de Virtual Network Manager implementada en ella. Por ejemplo, si un ámbito de Virtual Network Manager contiene 100 redes virtuales, pero las configuraciones solo se han implementado en 5 de esas redes virtuales, se le cobrará por esas 5 redes virtuales (no todas las 100). Tenga en cuenta también que un cargo por el emparejamiento se aplica al volumen de tráfico de las redes virtuales administradas por una configuración de conectividad implementada (malla o hub-and-spoke).
Si una red virtual tiene varias configuraciones implementadas en ella por la misma instancia de Virtual Network Manager, esa red virtual solo incurre en una única tasa de cargos; no duplicará los cargos. Por ejemplo, si virtual Network Manager implementa una configuración de conectividad y una configuración de administrador de seguridad en el mismo conjunto de 5 redes virtuales, se le cobrará por esas 5 redes virtuales, pero no se le cobrará dos veces. Este costo no tiene en cuenta varias configuraciones a menos que las configuraciones se originen en distintas instancias de Virtual Network Manager.
Antes de marzo de 2025, los cargos de Azure Virtual Network Manager se basaban de forma predeterminada en el número de suscripciones que contenían una red virtual con una configuración activa de Virtual Network Manager implementada en ella. Si creó la instancia de Virtual Network Manager antes del 1 de marzo de 2025, puede optar por cambiar su tarifa a una basada en la red virtual.
La herramienta de comprobador de red de Azure Virtual Network Manager cobra los cargos por análisis de accesibilidad que se ejecutan en un área de trabajo del comprobador de Azure Virtual Network Manager. Este cargo es independiente de los cargos de Azure Virtual Network Manager.
Puede encontrar los precios actuales de su región en la página Precios de Azure Virtual Network Manager.
¿Cómo implemento Azure Virtual Network Manager?
Puede implementar y administrar una instancia de Azure Virtual Network Manager y las configuraciones mediante una variedad de herramientas, entre las que se incluyen las siguientes:
Requisitos previos técnicos
¿Puede una red virtual pertenecer a varias instancias de Azure Virtual Network Manager?
Sí, una red virtual puede pertenecer a más de una instancia de Azure Virtual Network Manager.
¿Se pueden conectar redes virtuales de radio a un centro de Virtual WAN mientras se encuentra en una configuración de conectividad de malla para que esas redes virtuales radiales puedan comunicarse directamente?
Sí, las redes virtuales de radio pueden conectarse a centros de Conectividad de Virtual WAN mientras se encuentra en la configuración de conectividad de malla. Esas redes virtuales del grupo en malla tienen conectividad directa entre sí.
¿Se propagarán automáticamente las operaciones a los prefijos IP de las redes virtuales que forman parte de la malla de Azure Virtual Network Manager?
Las redes virtuales de la malla se sincronizan automáticamente. Los prefijos IP se actualizarán automáticamente. Esto significa que el tráfico dentro de la malla funcionará incluso después de que haya cambios en los prefijos IP en las redes virtuales de la malla.
¿Cómo puedo comprobar que se aplica una configuración de conectividad de malla según lo previsto?
Consulte la documentación Cómo ver las configuraciones aplicadas. Una configuración de conectividad de malla no conecta redes virtuales con emparejamiento de redes virtuales, por lo que no puede ver la conectividad de malla en hojas de emparejamiento.
¿Qué ocurre si la región donde se crea Azure Virtual Network Manager está inactiva? ¿Afecta a las configuraciones implementadas o solo impide los cambios de configuración?
Solo se verá afectada la capacidad de cambiar las configuraciones. Una vez que Azure Virtual Network Manager haya programado la configuración después de confirmarla, seguirá funcionando. Por ejemplo, si la instancia de Azure Virtual Network Manager se crea en la región 1 y la topología de malla se establece en la región 2, la malla de la región 2 seguirá funcionando incluso si la región 1 deja de estar disponible.
¿Qué es una topología de red de malla global?
Una malla global permite que las redes virtuales de distintas regiones se comuniquen entre sí. Los efectos son similares a cómo funciona el emparejamiento de redes virtuales globales.
¿Existe un límite en cuanto el número de grupos de red que se pueden crear?
No existe ningún límite en cuanto el número de grupos de red que se pueden crear.
¿Cómo se quita la implementación de todas las configuraciones aplicadas?
Debe implementar una configuración Ninguna en todas las regiones que tengan una configuración aplicada.
¿Se pueden agregar redes virtuales desde otra suscripción que no administre yo personalmente?
Sí, si tiene los permisos adecuados para acceder a esas redes virtuales.
¿Cómo difiere la implementación de la configuración entre grupos de red con miembros agregados manualmente y miembros agregados condicionalmente?
Vea Implementaciones de configuración en Azure Virtual Network Manager.
¿Cómo se elimina un componente de Azure Virtual Network Manager?
¿Almacena Azure Virtual Network Manager datos de clientes?
No. Azure Virtual Network Manager no almacena ningún dato de cliente.
¿Se puede mover una instancia de Azure Virtual Network Manager?
No. Azure Virtual Network Manager no admite actualmente la capacidad de mover su instancia a otra región, grupo de recursos o suscripción. Si necesita mover una instancia, considere la posibilidad de eliminarla y usar la plantilla de Azure Resource Manager para crear otra en la ubicación deseada.
¿Puedo mover una suscripción con Azure Virtual Network Manager a otro inquilino?
Sí, pero hay algunas consideraciones que debe tener en cuenta:
- El inquilino de destino no puede tener creada una instancia de Azure Virtual Network Manager.
- Las redes virtuales radiales del grupo de red pueden perder su referencia al cambiar los inquilinos, lo que pierde la conectividad a la red virtual del concentrador. Para resolver esto, después de mover la suscripción a otro inquilino, debe agregar manualmente las redes virtuales de spoke al grupo de red del Azure Virtual Network Manager.
¿Cómo se puede ver qué configuraciones se aplican para facilitar la solución de problemas?
Puede ver la configuración de Azure Virtual Network Manager en Administrador de redes para una red virtual. Los ajustes muestran las configuraciones que se aplican. Para más información, vea Visualización de las configuraciones aplicadas por Azure Virtual Network Manager.
¿Qué ocurre cuando todas las zonas están inactivas en una región con una instancia de Azure Virtual Network Manager?
Si se produce una interrupción regional, todas las configuraciones aplicadas a los recursos de red virtual administrada actuales permanecerán intactos durante la interrupción. No puede crear nuevas configuraciones ni modificar las configuraciones existentes durante la interrupción. Una vez que se resuelva la interrupción, puede seguir administrando los recursos de red virtual como antes.
¿Se puede emparejar una red virtual administrada por Azure Virtual Network Manager a una red virtual no administrada?
Sí. Azure Virtual Network Manager es totalmente compatible con topologías hub-and-spoke preexistentes creadas con peering manual. No es necesario eliminar ninguna conexión emparejada existente entre las redes virtuales hub y spoke. La migración se produce sin tiempo de inactividad en la red.
¿Puedo migrar una topología en estrella tipo hub-and-spoke existente a Azure Virtual Network Manager?
Sí. La migración de redes virtuales existentes a la topología en estrella tipo hub-and-spoke en Azure Virtual Network Manager es sencilla. Puede crear una configuración de conectividad de topología de red en estrella tipo hub-and-spoke. Al implementar esta configuración, Azure Virtual Network Manager crea automáticamente los emparejamientos necesarios. Los emparejamientos preexistentes permanecen intactos, por lo que no hay tiempo de inactividad.
¿En qué se diferencian los grupos conectados del emparejamiento de red virtual con respecto al establecimiento de la conectividad entre redes virtuales?
En Azure, el emparejamiento de redes virtuales y los grupos conectados son dos métodos para establecer la conectividad entre redes virtuales. El emparejamiento de redes virtuales funciona mediante la creación de una correspondencia uno a uno entre redes virtuales, mientras que los grupos conectados usan un nuevo enfoque que establece la conectividad sin dicha correspondencia.
En un grupo conectado, todas las redes virtuales están conectadas sin relaciones de emparejamiento individuales. Por ejemplo, si tres redes virtuales forman parte del mismo grupo conectado, la conectividad se habilita entre cada red virtual sin necesidad de relaciones de emparejamiento individuales.
El efecto de cada método es el mismo, donde se establece la conectividad bidireccional entre redes virtuales. Sin embargo, los grupos conectados simplifican la administración de la conectividad, ya que permiten administrar varias redes virtuales como una sola entidad y le permiten lograr una mayor escala de conectividad más allá de los límites de emparejamiento.
Al administrar redes virtuales mediante el emparejamiento de redes virtuales, ¿esto da lugar a cargos de emparejamiento de red virtual dos veces con Azure Virtual Network Manager?
No hay ningún segundo o doble cargo para el emparejamiento. El administrador de red virtual respeta todos los emparejamientos de red virtual creados anteriormente y migra esas conexiones. Todos los recursos de emparejamiento, ya sean creados dentro de un administrador de red virtual o fuera, con un solo cargo de emparejamiento.
¿Se pueden crear excepciones a las reglas del administrador de seguridad?
Normalmente, se definen reglas del administrador de seguridad para bloquear el tráfico entre redes virtuales. Pero hay ocasiones en las que determinadas redes virtuales y sus recursos tienen que permitir el tráfico para la administración u otros procesos. En estos escenarios, puede crear excepciones cuando sea necesario. Obtenga información sobre cómo bloquear puertos de alto riesgo con excepciones para estos tipos de escenarios.
¿Cómo se pueden implementar varias configuraciones del administrador de seguridad en una región?
Solo puede implementar una configuración de administración de seguridad en una región. Sin embargo, pueden existir varias configuraciones de conectividad en una región si crea varias colecciones de reglas en una configuración de administrador de seguridad.
¿Se aplican reglas de administración de seguridad a los puntos de conexión privados de Azure?
Actualmente, las reglas de administración de seguridad no se aplican a los puntos de conexión privados de Azure que se encuentran en el ámbito de una red virtual administrada por Azure Virtual Network Manager.
Reglas de salida
| Port | Protocolo | Source | Destination | Acción |
|---|---|---|---|---|
| 443, 12000 | TCP | VirtualNetwork |
AzureCloud |
Allow |
| Cualquiera | Cualquiera | VirtualNetwork |
VirtualNetwork |
Allow |
¿Un centro de Azure Virtual WAN puede formar parte de un grupo de red?
No, en este momento, un centro de Azure Virtual WAN no puede estar en un grupo de red.
¿Puedo usar una instancia de Azure Virtual WAN como centro en una configuración de conectividad en estrella tipo hub-and-spoke de Azure Virtual Network Manager?
No, en este momento no se admite un centro de conectividad de Azure Virtual WAN como centro en una topología en estrella tipo hub-and-spoke.
Mi red virtual no recibe las configuraciones que espero. ¿Cómo soluciono el problema?
Use las preguntas siguientes para obtener posibles soluciones.
¿Ha implementado la configuración en la región de la red virtual?
Las configuraciones de Azure Virtual Network Manager no surten efecto hasta que se implementan. Realice una implementación en la región de la red virtual con las configuraciones adecuadas.
¿Está su red virtual dentro del ámbito?
Un administrador de red solo tiene acceso delegado suficiente para aplicar configuraciones a redes virtuales dentro del ámbito. Si un recurso pertenece al grupo de red pero se encuentra fuera del ámbito, no recibe ninguna configuración.
¿Va a aplicar reglas de seguridad a una red virtual que contiene instancias administradas?
Azure SQL Managed Instance tiene algunos requisitos de red. Estos requisitos se aplican mediante directivas de intención de red de alta prioridad, cuya finalidad entra en conflicto con las reglas de administración de seguridad. De manera predeterminada, la aplicación de regla de administración se omite en redes virtuales que contienen cualquiera de estas directivas de intención. Como las reglas Permitir no suponen ningún riesgo de conflicto, puede optar por aplicar reglas Permitir solo si establece AllowRulesOnly en securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
¿Va a aplicar reglas de seguridad a una red virtual o subred que contiene servicios que bloquean las reglas de configuración de seguridad?
Algunos servicios exigen requisitos de red específicos para funcionar correctamente. Estos servicios incluyen Azure SQL Managed Instance, Azure Databricks y Azure Application Gateway. De manera predeterminada, se omite la aplicación de reglas de administración de seguridad en redes virtuales y subredes que contienen cualquiera de estos servicios. Como las reglas Permitir no suponen ningún riesgo de conflicto, puede optar por aplicar reglas Permitir solo si establece el campo AllowRulesOnly de la clase securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices de .NET de las configuraciones de seguridad.
Límites
¿Qué limitaciones tiene el servicio de Azure Virtual Network Manager?
Para obtener la información más actual, vea Limitaciones con Azure Virtual Network Manager.
Pasos siguientes
- Creación de instancias de Azure Virtual Network Manager con Azure Portal.