Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo risponde alle domande frequenti sulle gestione rete virtuale di Azure.
Generale
Quali aree di Azure supportano gestione rete virtuale di Azure?
Per informazioni aggiornate sul supporto regionale, fare riferimento a Prodotti disponibili in base all'area.
Note
Molte aree Azure supportano zone di disponibilità. Per informazioni sulle aree che supportano le zone di disponibilità, vedere l'elenco Azure aree.
Quali sono i casi d'uso comuni per gestione rete virtuale di Azure?
È possibile creare gruppi di rete per soddisfare i requisiti di sicurezza del proprio ambiente e delle relative funzioni. Ad esempio, è possibile creare gruppi di rete per gli ambienti di produzione e di test per gestire la connettività e le regole di sicurezza su larga scala.
Per le regole di amministrazione della sicurezza, è possibile creare una configurazione di amministratore della sicurezza con due raccolte regole. Ogni raccolta di regole è destinata rispettivamente ai gruppi di rete di produzione e di test. Dopo la distribuzione, questa configurazione applica un set di regole di amministrazione della sicurezza per le risorse di rete per l'ambiente di produzione e un altro set per l'ambiente di test.
È possibile applicare configurazioni di connettività per creare una topologia di rete mesh o hub-and-spoke per un numero elevato di reti virtuali tra le sottoscrizioni dell'organizzazione.
È possibile negare il traffico ad alto rischio. In qualità di amministratore di un'organizzazione, è possibile bloccare protocolli o origini specifici che eseguono l'override di tutte le regole del gruppo di sicurezza di rete che normalmente consentono il traffico.
È possibile forzare l'autorizzazione del traffico. Ad esempio, è possibile consentire a uno specifico scanner di sicurezza di avere sempre la connettività in ingresso a tutte le risorse, anche se le regole del gruppo di sicurezza di rete sono configurate per negare il traffico.
Qual è il costo dell'uso di gestione rete virtuale di Azure?
Gli addebiti di gestione rete virtuale di Azure si basano sul numero di reti virtuali con distribuita una configurazione attiva di programma di traduzione. Ad esempio, se un ambito di programma di traduzione contiene 100 reti virtuali, ma le configurazioni sono state distribuite solo in cinque di queste reti virtuali, verranno addebitati i costi per queste cinque reti virtuali (non tutte le 100). Si noti anche che un addebito per il peering si applica al volume di traffico delle reti virtuali gestite da una configurazione di connettività distribuita (mesh o hub-spoke).
Se in una rete virtuale sono presenti più configurazioni distribuite dalla stessa istanza di programma di traduzione, tale rete virtuale comporta solo una singola tariffa di addebito e non duplicerà gli addebiti. Ad esempio, se un programma di traduzione distribuisce sia una configurazione di connettività che una configurazione di sicurezza amministrativa nello stesso set di cinque reti virtuali, verranno addebitati i costi per tali cinque reti virtuali, ma non verranno addebitati due volte. Questo costo non tiene conto di più configurazioni a meno che le configurazioni provengano da istanze di programma di traduzione diverse.
Prima di febbraio 2025, gli addebiti di gestione rete virtuale di Azure sono stati basati per impostazione predefinita sul numero di sottoscrizioni che contenevano una rete virtuale con una configurazione attiva di programma di traduzione distribuita. Se hai creato l'istanza di programma di traduzione prima di febbraio 2025, puoi scegliere di cambiare il modello di pricing a quello basato sulla rete virtuale.
Gli strumenti di verifica della rete di gestione rete virtuale di Azure addebitano i costi per ogni esecuzione di analisi della raggiungibilità in un'area di lavoro di verifica di gestione rete virtuale di Azure. Questo addebito è separato dagli addebiti gestione rete virtuale di Azure.
La funzionalità di gestione degli indirizzi IP di gestione rete virtuale di Azure addebita i costi per indirizzo IP attivo gestito in gestione rete virtuale di Azure a una tariffa oraria. Un indirizzo IP attivo viene definito come qualsiasi indirizzo IP associato a un'interfaccia di rete in una rete virtuale associata a un pool IP. Questo addebito è separato dagli addebiti gestione rete virtuale di Azure.
È possibile trovare i prezzi correnti per l'area nella pagina gestione rete virtuale di Azure prezzi.
Come si implementa Azure Virtual Network Gestore?
È possibile distribuire e gestire un'istanza e configurazioni gestione rete virtuale di Azure tramite vari strumenti, tra cui:
- Portale Azure
- interfaccia della riga di comando di Azure
- Azure PowerShell
- Modello ARM
- Terraform
- Bicep
Tecnici
Qual è la differenza tra l'appartenenza a gruppi di rete statici e dinamici?
Un gruppo di rete statico viene popolato manualmente aggiungendo in modo esplicito reti virtuali. Un gruppo di rete dinamico usa regole basate su Criteri di Azure per determinare automaticamente l'appartenenza in base a condizioni quali sottoscrizione, tag o gruppo di risorse. In questo modo, sia le reti virtuali esistenti che le nuove reti virtuali che corrispondono alla regola vengono unite automaticamente al gruppo di rete.
Una rete virtuale può appartenere a più istanze di gestione rete virtuale di Azure?
Sì, una rete virtuale può appartenere a più di un'istanza di gestione rete virtuale di Azure.
Come funziona l'ambito di gestione rete virtuale di Azure: gruppo di gestione vs. sottoscrizione vs. gruppo di risorse?
gestione rete virtuale di Azure supporta gli ambiti a livello di gruppo di gestione e di sottoscrizione. Se si associa un gestore di rete a un gruppo di gestione, gli abbonamenti secondari e le relative risorse vengono inclusi in tale ambito. Se è necessaria una destinazione più stretta, ad esempio un gruppo di risorse specifico, usare le regole di appartenenza ai gruppi di rete per includere solo le reti virtuali che corrispondono alla condizione del gruppo di risorse.
Quando dovrei usare hub-and-spoke oppure mesh, e possono coesistere tra loro?
Sì. Hub-and-spoke e mesh possono coesistere. Hub-and-spoke è utile quando gli spoke necessitano di servizi condivisi nell'hub, ad esempio gateway, firewall o altre infrastrutture centrali. Mesh è utile quando le reti virtuali spoke selezionate richiedono connettività diretta tra loro per motivi di prestazioni o latenza. Una strategia comune consiste nel mantenere una struttura hub-and-spoke per i servizi condivisi, inserendo al contempo un sottoinsieme di spoke in una rete a maglia, in modo che questi possano comunicare direttamente tra loro.
gestione rete virtuale di Azure sostituisce le route definite dall'utente per il routing transitivo tramite un hub del firewall?
No. gestione rete virtuale di Azure non sostituisce automaticamente le route definite dall'utente quando si vuole che il traffico spoke-to-spoke o in uscita fluisca attraverso un firewall o un'appliance virtuale di rete nell'hub. Sono comunque necessarie regole di routing per indirizzare il traffico a tale hop successivo. gestione rete virtuale di Azure consente di gestire tali impostazioni di routing su larga scala applicando una configurazione di routing coerente tra reti virtuali o subnet esistenti e appena create.
Le reti virtuali spoke possono essere connesse a un hub di rete WAN virtuale in una configurazione di connettività mesh in modo che tali reti possano comunicare direttamente?
Sì, le reti virtuali spoke possono connettersi agli hub di rete WAN virtuale quando sono configurate per la connettività mesh. Tali reti virtuali nel gruppo a maglia hanno connettività diretta tra loro.
Importante
L'uso di un hub di rete WAN virtuale di Azure nelle configurazioni di connettività hub-and-spoke di gestione rete virtuale di Azure è attualmente in anteprima. Durante l'anteprima, la funzionalità, la disponibilità e altri aspetti di questa funzionalità potrebbero cambiare in risposta ai commenti e suggerimenti.
Questa versione di anteprima viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o possono avere funzionalità limitate. È disponibile solo nelle aree Azure seguenti:
- Stati Uniti centro-occidentali
- Australia Central
- Australia Southeast
- Brazil South
- Canada Central
- North Europe
- France South
- Germania nord-orientale
- Germania centro-occidentale
- Central India
- West India
- Japan East
- Korea Central
- Malesia meridionale
- Malaysia West
- Messico centrale
- Norvegia occidentale
- Qatar Central
- Sudafrica settentrionale
- Sweden Central
- Svizzera occidentale
- Taiwan North
- UAE Central
- East US
- West US
- West US 2 (Regione Ovest degli Stati Uniti 2)
Per ulteriori informazioni, vedere Condizioni supplementari per l'uso delle versioni di anteprima di Microsoft Azure.
Le operazioni sui prefissi IP nelle reti virtuali che fanno parte della mesh gestione rete virtuale di Azure vengono propagate automaticamente?
Le reti virtuali nella mesh vengono sincronizzate automaticamente. I prefissi IP verranno aggiornati automaticamente. Ciò significa che il traffico all'interno della mesh funzionerà anche dopo che sono state apportate modifiche ai prefissi IP nelle reti virtuali nella mesh.
gestione rete virtuale di Azure è in grado di gestire configurazioni hub-and-spoke interregionali o il peering globale?
Sì. gestione rete virtuale di Azure può gestire scenari di connettività tra aree, inclusi i modelli di connettività globali. Le caratteristiche di latenza e costo rimangono uguali a quelle del costrutto di rete Azure sottostante, ad esempio il peering di rete virtuale globale. gestione rete virtuale di Azure centralizza la gestione e l'automazione.
Come posso verificare che una configurazione di connettività mesh sia applicata come pianificato?
Vedere la documentazione Come visualizzare le configurazioni applicate. Una configurazione della connettività mesh non connette le reti virtuali con il peering di reti virtuali, quindi non è possibile visualizzare la connettività mesh nei pannelli di peering.
Cosa accade se l'area in cui viene creato il gestione rete virtuale di Azure è inattivo? Influisce sulle configurazioni distribuite o impedisce solo le modifiche alla configurazione?
Sarà interessata solo la possibilità di modificare le configurazioni. Dopo che gestione rete virtuale di Azure ha programmato la configurazione e hai confermato il commit della configurazione, continuerà a funzionare. Ad esempio, se l'istanza di gestione rete virtuale di Azure viene creata nell'area 1 e la topologia mesh viene stabilita nell'area 2, la mesh nell'area 2 continuerà a funzionare anche se l'area 1 non sarà più disponibile.
In che modo le modifiche alla configurazione vengono propagate alle reti virtuali?
Le configurazioni non diventano effettive finché non vengono distribuite nelle aree di destinazione. Dopo aver creato o aggiornato una configurazione e averla distribuita, gestione rete virtuale di Azure applica la configurazione alle reti virtuali interessate in tali aree geografiche.
Come si esegue il rollback di una configurazione di connettività o sicurezza se si verifica un problema?
È possibile eseguire il rollback tramite il modello di distribuzione. Se una configurazione causa un problema in un'area, rimuovere o modificare la distribuzione per tale area in modo che la configurazione non venga più applicata.
Che cos'è una topologia di rete mesh globale?
Una rete mesh globale consente alle reti virtuali di tutte le aree di comunicare tra loro. Gli effetti sono simili a quelli del peering della rete virtuale globale.
È possibile usare Terraform con gestione rete virtuale di Azure?
Sì. gestione rete virtuale di Azure è supportato tramite il provider Terraform di AzureRM. Sono supportati anche i modelli ARM e Bicep, in modo da poter gestire le risorse e le configurazioni di gestione rete virtuale di Azure tramite flussi di lavoro di infrastruttura come codice.
In che modo gestione rete virtuale di Azure si integra con il monitoraggio e la diagnostica?
È possibile usare Azure strumenti di monitoraggio per osservare e risolvere i problemi gestione rete virtuale di Azure comportamento. Network Watcher consente di analizzare il traffico e risolvere i problemi relativi al blocco del traffico da parte di una regola. I log dei flussi consentono di esaminare i modelli di traffico e Monitoraggio di Azure log più le impostazioni di diagnostica possono acquisire eventi operativi e di configurazione.
Come è possibile controllare chi ha modificato gestione rete virtuale di Azure risorse o configurazioni?
Utilizza il Registro attività di Azure. Registra le operazioni del piano di controllo, tra cui chi ha eseguito l'azione, l'operazione eseguita e quando si è verificato.
gestione rete virtuale di Azure instrada automaticamente il traffico spoke attraverso Firewall di Azure nell'hub?
No. gestione rete virtuale di Azure non invia automaticamente traffico spoke attraverso Firewall di Azure solo perché esiste un firewall nell'hub. Per instradare il traffico attraverso il firewall, configurare il routing in modo che i prefissi desiderati usino il firewall come hop successivo e usare gestione rete virtuale di Azure per applicare tale modello di routing su larga scala.
Come funziona gestione rete virtuale di Azure con i gateway ExpressRoute o VPN nell'hub?
In una topologia hub-and-spoke, è possibile configurare gli spoke in modo che utilizzino il gateway remoto dell'hub. Quando questa opzione è abilitata, le reti virtuali spoke possono usare il gateway ExpressRoute o VPN nell'hub.
Esiste un limite al numero di gruppi di rete che è possibile creare?
Non esiste alcun limite al numero di gruppi di rete che è possibile creare.
In che modo le regole di amministrazione della sicurezza interagiscono con i gruppi di sicurezza di rete?
Le regole di amministrazione della sicurezza vengono valutate prima delle regole del gruppo di sicurezza di rete. Se una regola di amministrazione della sicurezza nega il traffico, il traffico viene bloccato prima che venga valutato il gruppo di sicurezza di rete. Ciò significa che le regole di amministrazione della sicurezza possono bloccare il traffico che un gruppo di sicurezza di rete altrimenti consentirebbe.
Come si gestiscono le eccezioni alle regole di amministrazione della sicurezza a livello di organizzazione?
Usare un gruppo di rete separato per l'ambito dell'eccezione e applicare una regola di amministrazione della sicurezza con priorità più alta a tale gruppo. Ad esempio, è possibile negare SSH in ingresso da Internet per un gruppo di rete generale, quindi creare un gruppo di rete di eccezioni più piccolo per un team del carico di lavoro specifico e applicare una regola di autorizzazione con priorità più alta per SSH a tale gruppo.
Come si rimuove la distribuzione di tutte le configurazioni applicate?
È necessario distribuire una configurazione Nessuna in tutte le aree in cui è stata applicata una configurazione.
È possibile aggiungere reti virtuali da un'altra sottoscrizione non gestita?
Sì, se si dispone delle autorizzazioni appropriate per accedere a tali reti virtuali.
In che modo la distribuzione della configurazione differisce tra gruppi di rete con membri aggiunti manualmente e membri aggiunti in modo condizionale?
Consultare Distribuzioni di configurazione in Gestione rete virtuale di Azure.
Come posso eliminare un componente di gestione rete virtuale di Azure?
gestione rete virtuale di Azure archivia i dati dei clienti?
No. gestione rete virtuale di Azure non archivia i dati dei clienti.
È possibile spostare un'istanza di gestione rete virtuale di Azure?
No. gestione rete virtuale di Azure attualmente non supporta la possibilità di spostare l'istanza in un'altra area, in un gruppo di risorse o in una sottoscrizione diversa. Se è necessario spostare un'istanza, è consigliabile eliminarla e usare il modello di Azure Resource Manager per crearne un altro nella posizione desiderata.
È possibile spostare una sottoscrizione con un gestione rete virtuale di Azure in un altro tenant?
No, lo spostamento della sottoscrizione in cui l'istanza di gestione rete virtuale di Azure esiste in un altro tenant non è supportata. Per altre informazioni, vedere Limitations con gestione rete virtuale di Azure.
Come è possibile visualizzare le configurazioni applicate per favorire la risoluzione dei problemi?
È possibile visualizzare le impostazioni di gestione rete virtuale di Azure in Network Manager per una rete virtuale. Le impostazioni mostrano le configurazioni applicate. Per altre informazioni, vedere configurazioni di View applicate da gestione rete virtuale di Azure.
Cosa accade quando tutte le zone si trovano in un'area con un'istanza di gestione rete virtuale di Azure?
Se si verifica un'interruzione a livello di area, tutte le configurazioni applicate alle risorse di rete virtuali gestite correnti rimangono intatte durante l'interruzione. Durante l'interruzione non è possibile creare nuove configurazioni o modificare quelle esistenti. Dopo aver risolto l'interruzione, è possibile continuare a gestire le risorse di rete virtuale come prima.
È possibile eseguire il peering di una rete virtuale gestita da gestione rete virtuale di Azure a una rete virtuale non gestita?
Sì. gestione rete virtuale di Azure è completamente compatibile con topologie hub-spoke preesistenti create con peering manuale. Non è necessario eliminare connessioni con peering esistenti tra le reti virtuali del gruppo a ruota. La migrazione avviene senza alcun tempo di inattività della rete.
È possibile eseguire la migrazione di una topologia hub-spoke esistente a gestione rete virtuale di Azure?
Sì. La migrazione di reti virtuali esistenti alla topologia hub-spoke in gestione rete virtuale di Azure è semplice. È possibile creare una configurazione di connettività con topologia hub-and-spoke. Quando si distribuisce questa configurazione, gestione rete virtuale di Azure crea automaticamente i peering necessari. Tutti i peering preesistenti rimangono intatti, quindi non c'è tempo di inattività.
In che modo i gruppi connessi differiscono dal peering di rete virtuale per stabilire la connettività tra reti virtuali?
In Azure, il peering di rete virtuale e i gruppi connessi sono due metodi per stabilire la connettività tra reti virtuali. Il peering di rete virtuale funziona creando una corrispondenza uno-a-uno tra reti virtuali, mentre i gruppi connessi utilizzano un nuovo sistema che permette la connettività senza tale corrispondenza.
In un gruppo connesso, tutte le reti virtuali sono connesse senza relazioni di peering individuali. Ad esempio, se tre reti virtuali fanno parte dello stesso gruppo connesso, la connettività viene abilitata tra ogni rete virtuale senza la necessità di relazioni di peering individuali.
L'effetto di ogni metodo è lo stesso, in cui viene stabilita la connettività bidirezionale tra reti virtuali. Tuttavia, i gruppi connessi semplificano la gestione della connettività consentendo di gestire più reti virtuali come singola entità e di ottenere una scalabilità più elevata della connettività oltre i limiti di peering.
Quando si gestiscono reti virtuali tramite il peering di rete virtuale, si finisce per pagare due volte le spese per il peering con gestione rete virtuale di Azure?
Non è previsto alcun secondo o doppio addebito per il peering. Il tuo gestore della rete virtuale rispetta tutti i peering delle reti virtuali creati in precedenza ed esegue la migrazione di tali connessioni. Tutte le risorse di peering, create all'interno di un gestore di rete virtuale o all'esterno, comportano un singolo addebito di peering.
È possibile creare eccezioni alle regole di amministratore della sicurezza?
In genere, le regole di amministratore della sicurezza vengono definite per bloccare il traffico tra reti virtuali. Tuttavia, in alcuni casi determinate reti virtuali e le relative risorse devono consentire il traffico per la gestione o altri processi. Per questi scenari, è possibile creare eccezioni dove necessario. Informazioni su come bloccare le porte ad alto rischio con eccezioni per questi scenari.
Come è possibile distribuire più configurazioni di amministratore della sicurezza in un'area?
È possibile distribuire una sola configurazione di amministratore della sicurezza in un'area. Tuttavia, in un'area possono esistere più configurazioni di connettività. Per distribuire più set di regole di amministrazione della sicurezza in un'area, creare più raccolte di regole in una configurazione dell'amministratore della sicurezza.
Le regole di amministratore della sicurezza si applicano agli endpoint privati Azure?
Attualmente, le regole di amministratore della sicurezza non si applicano a Azure endpoint privati che rientrano nell'ambito di una rete virtuale gestita da gestione rete virtuale di Azure.
Un hub rete WAN virtuale di Azure può far parte di un gruppo di rete?
No, un hub rete WAN virtuale di Azure non può trovarsi in un gruppo di rete al momento.
È possibile usare un'istanza di rete WAN virtuale di Azure come hub in una configurazione di connettività hub-spoke gestione rete virtuale di Azure?
Sì. È possibile usare un hub rete WAN virtuale di Azure come hub in una configurazione di connettività hub-spoke gestione rete virtuale di Azure. Per i passaggi, vedere Usare un hub rete WAN virtuale come hub.
La rete virtuale non riceve le configurazioni previste. Come si risolvono i problemi?
Usare le seguenti domande per trovare possibili soluzioni.
La configurazione è stata distribuita nell'area della rete virtuale?
Le configurazioni in gestione rete virtuale di Azure non diventano effettive finché non vengono distribuite. Creare una distribuzione nell'area della rete virtuale con le configurazioni appropriate.
La rete virtuale rientra nell'ambito?
A un gestore di rete viene delegato solo l'accesso necessario per applicare le configurazioni alle reti virtuali all'interno del proprio ambito. Se una risorsa si trova nel gruppo di rete ma non rientra nell'ambito, non riceve alcuna configurazione.
Si applicano regole di sicurezza a una rete virtuale che contiene istanze gestite?
Istanza gestita di SQL di Azure presenta alcuni requisiti di rete. Questi requisiti vengono applicati tramite criteri di finalità di rete ad alta priorità i cui scopi sono in conflitto con le regole di amministratore della sicurezza. Per impostazione predefinita, l'applicazione della regola di amministrazione viene ignorata nelle reti virtuali che contengono uno qualsiasi di questi criteri di finalità. Poiché le regole Consenti non comportano alcun rischio di conflitto, è possibile scegliere di applicare le regole Consenti solo impostando AllowRulesOnly su securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Si applicano regole di sicurezza a una rete virtuale o a una subnet che contiene servizi che bloccano le regole di configurazione della sicurezza?
Alcuni servizi richiedono requisiti di rete specifici per funzionare correttamente. Per impostazione predefinita, le regole di amministrazione della sicurezza non vengono applicate alle reti virtuali contenenti Istanza gestita di SQL di Azure o Azure Databricks. Inoltre, le regole di amministratore della sicurezza non vengono applicate a livello di subnet per servizi come gateway applicazione di Azure, Azure Bastion, Firewall di Azure, Server di route Azure, Gateway VPN di Azure, rete WAN virtuale di Azure e Azure ExpressRoute Gateway. Per l'elenco completo, vedere Nonapplicazione delle regole di amministrazione della sicurezza. Per la mancata applicazione a livello di rete virtuale, poiché Allow regole non comportano rischi di conflitto, è possibile scegliere di applicare Allow Only impostando il campo AllowRulesOnly delle configurazioni di sicurezza nella classe securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET.
Limiti
Quali sono le limitazioni del servizio di gestione rete virtuale di Azure?
Per informazioni più aggiornate, vedere Limitations con gestione rete virtuale di Azure.
Passaggi successivi
- Creare un'istanza gestione rete virtuale di Azure usando il portale di Azure.