Domande frequenti su Azure Rete virtuale Manager
Generali
Importante
Azure Rete virtuale Manager è disponibile a livello generale per configurazioni di connettività hub-spoke e configurazioni di sicurezza con regole di amministratore della sicurezza. Le configurazioni di connettività mesh rimangono in anteprima pubblica.
Questa versione di anteprima viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate. Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.
Quali aree di Azure supportano Azure Rete virtuale Manager?
Per il supporto dell'area corrente, fare riferimento ai prodotti disponibili in base all'area geografica.
Nota
Tutte le aree hanno zone di disponibilità, ad eccezione della Francia centrale.
Quali sono i casi d'uso comuni per l'uso di Azure Rete virtuale Manager?
È possibile creare gruppi di rete diversi per soddisfare i requisiti di sicurezza dell'ambiente e le relative funzioni. Ad esempio, è possibile creare gruppi di rete per gli ambienti di produzione e test per gestire la connettività e le regole di sicurezza su larga scala. Per le regole di sicurezza, è necessario creare una configurazione di amministratore della sicurezza con due raccolte di regole di amministrazione della sicurezza, ognuna delle quali è destinata rispettivamente ai gruppi di rete Production e Test. Dopo la distribuzione, questa configurazione applicherebbe un set di regole di sicurezza per le risorse di rete nell'ambiente di produzione e un set per l'ambiente di test.
È possibile applicare configurazioni di connettività per creare una topologia di rete hub-spoke o una topologia di rete hub-spoke per un numero elevato di reti virtuali nelle sottoscrizioni dell'organizzazione.
È possibile negare il traffico ad alto rischio: come amministratore di un'organizzazione, è possibile bloccare protocolli o origini specifiche che eseguono l'override di qualsiasi regola del gruppo di sicurezza di rete che normalmente consenta il traffico.
Consenti sempre il traffico: si vuole consentire a uno specifico scanner di sicurezza di avere sempre la connettività in ingresso a tutte le risorse, anche se sono presenti regole del gruppo di sicurezza di rete configurate per negare il traffico.
Qual è il costo dell'uso di Azure Rete virtuale Manager?
Gli addebiti di Azure Rete virtuale Manager si basano sul numero di sottoscrizioni che contengono una rete virtuale con una configurazione di Gestione rete attiva distribuita. Inoltre, un addebito di peering Rete virtuale si applica al volume di traffico delle reti virtuali gestite da una configurazione di connettività distribuita (Mesh o Hub-and-Spoke).
I prezzi correnti per l'area sono disponibili nella pagina dei prezzi di Azure Rete virtuale Manager.
Formazione
Una rete virtuale può appartenere a più manager Rete virtuale di Azure?
Sì, una rete virtuale può appartenere a più Rete virtuale Manager di Azure.
Che cos'è una topologia di rete mesh globale?
Una mesh globale consente alle reti virtuali tra aree diverse di comunicare tra loro. Gli effetti sono simili al funzionamento del peering di reti virtuali globali.
Esiste un limite al numero di gruppi di rete che è possibile creare?
Non è previsto alcun limite al numero di gruppi di rete che è possibile creare.
Ricerca per categorie rimuovere la distribuzione di tutte le configurazioni applicate?
È necessario distribuire una configurazione None in tutte le aree in cui è stata applicata una configurazione.
È possibile aggiungere reti virtuali da un'altra sottoscrizione non gestita da sola?
Sì, è necessario disporre delle autorizzazioni appropriate per accedere a tali reti virtuali.
Che cos'è l'appartenenza dinamica ai gruppi?
Per altre informazioni, vedere Appartenenza dinamica.
In che modo la distribuzione della configurazione è diversa per l'appartenenza dinamica e l'appartenenza statica?
Per altre informazioni, vedere Distribuzione in base ai tipi di appartenenza.
Ricerca per categorie eliminare un componente di Azure Rete virtuale Manager?
Per altre informazioni, vedere Rimuovere l'elenco di controllo dei componenti.
Azure Rete virtuale Manager archivia i dati dei clienti?
No. Azure Rete virtuale Manager non archivia i dati dei clienti.
È possibile spostare un'istanza di Azure Rete virtuale Manager?
No. Lo spostamento delle risorse non è attualmente supportato. Se è necessario spostarlo, è possibile eliminare l'istanza di Gestione rete virtuale esistente e usare il modello di Resource Manager per crearne un altro in un'altra posizione.
Come è possibile visualizzare le configurazioni applicate per risolvere i problemi?
È possibile visualizzare le impostazioni di Azure Rete virtuale Manager in Gestione rete per una rete virtuale. È possibile visualizzare sia la connettività che la configurazione dell'amministratore della sicurezza applicata. Per altre informazioni, vedere Visualizzare la configurazione applicata.
Cosa accade quando tutte le zone si trovano in un'area con un'istanza di Virtual Network Manager?
Se si verifica un'interruzione a livello di area, tutte le configurazioni applicate alle risorse di rete virtuale gestite correnti rimarranno intatte durante l'interruzione. Non è possibile creare nuove configurazioni o modificare le configurazioni esistenti durante l'interruzione. Una volta risolta l'interruzione, è possibile continuare a gestire le risorse di rete virtuale come prima.
È possibile eseguire il peering di una rete virtuale gestita da Azure Rete virtuale Manager a una rete virtuale non gestita?
Sì, Azure Rete virtuale Manager è completamente compatibile con distribuzioni di topologie di hub e spoke preesistenti usando il peering. Ciò significa che non è necessario eliminare le connessioni peering esistenti tra gli spoke e l'hub. La migrazione si verifica senza tempi di inattività per la rete.
È possibile eseguire la migrazione di una topologia hub-spoke esistente ad Azure Rete virtuale Manager?
Sì, la migrazione di reti virtuali esistenti alla topologia hub e spoke di AVNM è semplice e non richiede tempi di inattività. I clienti possono creare una configurazione di connettività della topologia hub-spoke della topologia desiderata. Quando viene distribuita la distribuzione di questa configurazione, Gestione rete virtuale creerà automaticamente i peering necessari. Tutti i peering preesistenti configurati dagli utenti rimangono intatti, assicurandosi che non ci siano tempi di inattività.
In che modo i gruppi connessi differiscono dal peering di rete virtuale per stabilire la connettività tra reti virtuali?
In Azure il peering di rete virtuale e i gruppi connessi sono due metodi per stabilire la connettività tra reti virtuali. Mentre il peering di rete virtuale funziona creando un mapping 1:1 tra ogni rete virtuale con peering, i gruppi connessi usano un nuovo costrutto che stabilisce la connettività senza tale mapping. In un gruppo connesso tutte le reti virtuali sono connesse senza relazioni di peering individuali. Ad esempio, se VNetA, VNetB e VNetC fanno parte dello stesso gruppo connesso, la connettività è abilitata tra ogni rete virtuale senza la necessità di singole relazioni di peering.
È possibile creare eccezioni alle regole di amministrazione della sicurezza?
In genere, le regole di amministrazione della sicurezza verranno definite per bloccare il traffico tra reti virtuali. Tuttavia, in alcuni casi alcune reti virtuali e le relative risorse devono consentire il traffico per la gestione o altri processi. Per questi scenari, è possibile creare eccezioni , se necessario. Informazioni su come bloccare le porte ad alto rischio con eccezioni per questi tipi di scenari.
Come è possibile distribuire più configurazioni di amministratore della sicurezza in un'area?
È possibile distribuire una sola configurazione di amministratore della sicurezza in un'area. Tuttavia, in un'area possono esistere più configurazioni di connettività. Per distribuire più configurazioni di amministratore della sicurezza in un'area, è invece possibile creare più raccolte regole in una configurazione di sicurezza.
Le regole di amministrazione della sicurezza si applicano agli endpoint privati di Azure?
Attualmente, le regole di amministrazione della sicurezza non si applicano agli endpoint privati di Azure che rientrano nell'ambito di una rete virtuale gestita da Azure Rete virtuale Manager.
Regole in uscita
| Porta | Protocollo | Source (Sorgente) | Destination | Azione |
|---|---|---|---|---|
| 443, 12000 | TCP | VirtualNetwork | AzureCloud | Consenti |
| Qualsiasi | Qualsiasi | VirtualNetwork | VirtualNetwork | Allow |
Un hub rete WAN virtuale di Azure può far parte di un gruppo di rete?
No, un hub rete WAN virtuale di Azure non può trovarsi in un gruppo di rete al momento.
Un'rete WAN virtuale di Azure può essere usata come hub nella configurazione della topologia hub e spoke di Virtual Network Manager?
No, un hub rete WAN virtuale di Azure non è supportato come hub in una topologia hub-spoke.
Il mio Rete virtuale non riceve le configurazioni che mi aspetto. Ricerca per categorie risolvere i problemi?
La configurazione è stata distribuita nell'area della rete virtuale?
Le configurazioni in Azure Rete virtuale Manager non diventano effettive fino a quando non vengono distribuite. Creare una distribuzione nell'area delle reti virtuali con le configurazioni appropriate.
La rete virtuale è nell'ambito?
Un gestore di rete è delegato solo a un accesso sufficiente per applicare configurazioni alle reti virtuali all'interno dell'ambito. Anche se una risorsa si trova nel gruppo di rete ma non rientra nell'ambito, non riceve alcuna configurazione.
Si applicano regole di sicurezza a una rete virtuale contenente Istanza gestita di SQL di Azure?
Istanza gestita di SQL di Azure presenta alcuni requisiti di rete. Questi vengono applicati tramite criteri di finalità di rete con priorità alta, i cui scopi sono in conflitto con le regole di sicurezza Amministrazione. Per impostazione predefinita, Amministrazione'applicazione regola viene ignorata nelle reti virtuali contenenti uno di questi criteri di finalità. Poiché le regole Consenti non comportano alcun rischio di conflitto, è possibile scegliere di applicare le regole Consenti solo . Se si desidera usare solo le regole Consenti, è possibile impostare AllowRulesOnly su securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Si applicano regole di sicurezza a una rete virtuale o a una subnet che contiene servizi che bloccano le regole di configurazione della sicurezza?
Alcuni servizi, ad esempio Istanza gestita di SQL di Azure, Azure Databricks e app Azure lication Gateway richiedono requisiti di rete specifici per funzionare correttamente. Per impostazione predefinita, l'applicazione della regola di amministrazione della sicurezza viene ignorata nelle reti virtuali e nelle subnet contenenti uno di questi servizi. Poiché le regole consenti non comportano alcun rischio di conflitto, è possibile scegliere di applicare le regole Consenti solo impostando il campo delle AllowRulesOnlyconfigurazioni di sicurezza nella securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices classe .NET.
Limiti
Quali sono le limitazioni del servizio di Azure Rete virtuale Manager?
Per le limitazioni più aggiornate, vedere Limitazioni con Azure Rete virtuale Manager.
Passaggi successivi
Creare un'istanza di Azure Rete virtuale Manager usando il portale di Azure.