Veelgestelde vragen over Azure Virtual Network Manager
Algemeen
Belangrijk
Azure Virtual Network Manager is algemeen beschikbaar voor Virtual Network Manager, hub-and-spoke-connectiviteitsconfiguraties en beveiligingsconfiguraties met beveiligingsbeheerdersregels. Mesh-connectiviteitsconfiguraties blijven in openbare preview.
Deze preview-versie wordt aangeboden zonder service level agreement en wordt niet aanbevolen voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.
Welke Azure-regio's ondersteunen Azure Virtual Network Manager?
Raadpleeg voor de huidige regio-ondersteuning producten die beschikbaar zijn per regio.
Notitie
Alle regio's hebben Beschikbaarheidszones, behalve Frankrijk - centraal.
Wat zijn veelvoorkomende gebruiksvoorbeelden voor het gebruik van Azure Virtual Network Manager?
U kunt verschillende netwerkgroepen maken om te voldoen aan de beveiligingsvereisten van uw omgeving en de bijbehorende functies. U kunt bijvoorbeeld netwerkgroepen maken voor uw productie- en testomgevingen om hun connectiviteits- en beveiligingsregels op schaal te beheren. Voor beveiligingsregels maakt u een configuratie van een beveiligingsbeheerder met twee verzamelingen beveiligingsbeheerdersregels, elk gericht op respectievelijk uw productie- en testnetwerkgroepen. Zodra deze configuratie is geïmplementeerd, dwingt deze configuratie één set beveiligingsregels af voor netwerkbronnen in uw productieomgeving en één set voor testomgeving.
U kunt connectiviteitsconfiguraties toepassen om een mesh- of een hub-and-spoke-netwerktopologie te maken voor een groot aantal virtuele netwerken in de abonnementen van uw organisatie.
U kunt verkeer met een hoog risico weigeren: als beheerder van een onderneming kunt u specifieke protocollen of bronnen blokkeren die eventuele NSG-regels overschrijven die normaal gesproken het verkeer toestaan.
Verkeer altijd toestaan: u wilt een specifieke beveiligingsscanner toestaan dat er altijd binnenkomende connectiviteit met al uw resources is, zelfs als er NSG-regels zijn geconfigureerd om het verkeer te weigeren.
Wat zijn de kosten voor het gebruik van Azure Virtual Network Manager?
Azure Virtual Network Manager-kosten zijn gebaseerd op het aantal abonnementen dat een virtueel netwerk bevat met een actieve netwerkbeheerderconfiguratie die erop is geïmplementeerd. Daarnaast gelden er kosten voor peering van virtuele netwerken voor virtuele netwerken die worden beheerd door een geïmplementeerde connectiviteitsconfiguratie (Mesh of Hub-and-Spoke).
De huidige prijzen voor uw regio vindt u op de pagina met prijzen van Azure Virtual Network Manager.
Technisch
Kan een virtueel netwerk deel uitmaken van meerdere Azure Virtual Network Managers?
Ja, een virtueel netwerk kan deel uitmaken van meer dan één Azure Virtual Network Manager.
Wat is een wereldwijde mesh-netwerktopologie?
Met een global mesh kunnen virtuele netwerken in verschillende regio's met elkaar communiceren. De effecten zijn vergelijkbaar met de werking van wereldwijde peering van virtuele netwerken.
Is er een limiet voor het aantal netwerkgroepen dat kan worden gemaakt?
Er is geen limiet voor het aantal netwerkgroepen dat kan worden gemaakt.
Hoe kan ik de implementatie van alle toegepaste configuraties verwijderen?
U moet een None-configuratie implementeren voor alle regio's waarop u een configuratie hebt toegepast.
Kan ik virtuele netwerken toevoegen vanuit een ander abonnement dat niet door mezelf wordt beheerd?
Ja, u moet over de juiste machtigingen beschikken om toegang te krijgen tot deze virtuele netwerken.
Wat is dynamisch groepslidmaatschap?
Zie dynamisch lidmaatschap voor meer informatie.
Hoe verschilt de implementatie van configuratie voor dynamisch lidmaatschap en statisch lidmaatschap?
Zie de implementatie voor lidmaatschapstypen voor meer informatie.
Hoe kan ik een Azure Virtual Network Manager-onderdeel verwijderen?
Zie de controlelijst voor onderdelen verwijderen voor meer informatie.
Worden klantgegevens opgeslagen in Azure Virtual Network Manager?
Nee Azure Virtual Network Manager slaat geen klantgegevens op.
Kan een Exemplaar van Azure Virtual Network Manager worden verplaatst?
Nee Het verplaatsen van resources wordt momenteel niet ondersteund. Als u deze wilt verplaatsen, kunt u overwegen om het bestaande exemplaar van virtual network manager te verwijderen en de ARM-sjabloon te gebruiken om er een te maken op een andere locatie.
Hoe kan ik zien welke configuraties worden toegepast om me te helpen bij het oplossen van problemen?
U kunt azure Virtual Network Manager-instellingen bekijken onder Netwerkbeheer voor een virtueel netwerk. U kunt zowel de connectiviteits- als de configuratie van de beveiligingsbeheerder zien die worden toegepast. Zie toegepaste configuratie weergeven voor meer informatie.
Wat gebeurt er wanneer alle zones zich in een regio bevinden met een exemplaar van een virtueel netwerkbeheer?
Als er een regionale storing optreedt, blijven alle configuraties die worden toegepast op huidige beheerde virtuele netwerkbronnen intact tijdens de storing. U kunt geen nieuwe configuraties maken of bestaande configuraties wijzigen tijdens de storing. Zodra de storing is opgelost, kunt u uw virtuele netwerkbronnen blijven beheren zoals voorheen.
Kan een virtueel netwerk dat wordt beheerd door Azure Virtual Network Manager worden gekoppeld aan een niet-beheerd virtueel netwerk?
Ja, Azure Virtual Network Manager is volledig compatibel met bestaande hub- en spoke-topologie-implementaties met behulp van peering. Dit betekent dat u geen bestaande peeringverbindingen tussen de spokes en de hub hoeft te verwijderen. De migratie vindt plaats zonder downtime voor uw netwerk.
Kan ik een bestaande hub- en spoke-topologie migreren naar Azure Virtual Network Manager?
Ja, het migreren van bestaande VNets naar de hub- en spoke-topologie van AVNM is eenvoudig en vereist geen uitvalttijd. Klanten kunnen een connectiviteitsconfiguratie voor hub- en spoke-topologie van de gewenste topologie maken. Wanneer de implementatie van deze configuratie wordt geïmplementeerd, maakt virtual network manager automatisch de benodigde peerings. Alle bestaande peerings die door gebruikers zijn ingesteld, blijven intact, zodat er geen downtime is.
Hoe verschillen verbonden groepen van peering van virtuele netwerken met betrekking tot het tot stand brengen van connectiviteit tussen virtuele netwerken?
In Azure zijn peering van virtuele netwerken en verbonden groepen twee methoden voor het tot stand brengen van connectiviteit tussen virtuele netwerken (VNets). Hoewel peering van virtuele netwerken werkt door een 1:1-toewijzing te maken tussen elk gekoppeld virtueel netwerk, maken verbonden groepen gebruik van een nieuwe constructie die connectiviteit tot stand brengt zonder een dergelijke toewijzing. In een verbonden groep zijn alle virtuele netwerken verbonden zonder afzonderlijke peeringrelaties. Als VNetA, VNetB en VNetC bijvoorbeeld deel uitmaken van dezelfde verbonden groep, wordt de verbinding tussen elk virtueel netwerk ingeschakeld zonder dat er afzonderlijke peeringrelaties nodig zijn.
Kan ik uitzonderingen maken op beveiligingsbeheerdersregels?
Normaal gesproken worden beveiligingsbeheerdersregels gedefinieerd om verkeer tussen virtuele netwerken te blokkeren. Er zijn echter momenten waarop bepaalde virtuele netwerken en hun resources verkeer moeten toestaan voor beheer of andere processen. Voor deze scenario's kunt u waar nodig uitzonderingen maken. Meer informatie over het blokkeren van poorten met een hoog risico met uitzonderingen voor dit soort scenario's.
Hoe kan ik meerdere configuraties voor beveiligingsbeheerders implementeren in een regio?
Er kan slechts één configuratie van een beveiligingsbeheerder worden geïmplementeerd in een regio. Er kunnen echter meerdere connectiviteitsconfiguraties bestaan in een regio. Als u meerdere configuraties voor beveiligingsbeheerders in een regio wilt implementeren, kunt u in plaats daarvan meerdere regelverzamelingen maken in een beveiligingsconfiguratie.
Zijn beveiligingsbeheerdersregels van toepassing op Privé-eindpunten van Azure?
Momenteel zijn beveiligingsbeheerdersregels niet van toepassing op Privé-eindpunten van Azure die vallen onder het bereik van een virtueel netwerk dat wordt beheerd door Azure Virtual Network Manager.
Uitgaande regels
| Poort | Protocol | Bron | Doel | Actie |
|---|---|---|---|---|
| 443, 12000 | TCP | VirtualNetwork | AzureCloud | Toestaan |
| Alle | Alle | VirtualNetwork | VirtualNetwork | Toestaan |
Kan een Azure Virtual WAN-hub deel uitmaken van een netwerkgroep?
Nee, op dit moment kan een Azure Virtual WAN-hub zich niet in een netwerkgroep bevinden.
Kan een Azure Virtual WAN worden gebruikt als de hub in de hub- en spoke-topologieconfiguratie van de virtuele netwerkbeheerder?
Nee, een Azure Virtual WAN-hub wordt momenteel niet ondersteund als de hub in een hub- en spoke-topologie.
Mijn virtuele netwerk krijgt niet de configuraties die ik verwacht. Hoe kan ik problemen oplossen?
Hebt u uw configuratie geïmplementeerd in de regio van het virtuele netwerk?
Configuraties in Azure Virtual Network Manager worden pas van kracht nadat ze zijn geïmplementeerd. Maak een implementatie naar de regio van de virtuele netwerken met de juiste configuraties.
Is uw virtuele netwerk binnen het bereik?
Een netwerkbeheerder heeft alleen voldoende toegang om configuraties toe te passen op virtuele netwerken binnen uw bereik. Zelfs als een resource zich in uw netwerkgroep bevindt, maar buiten het bereik valt, ontvangt deze geen configuraties.
Past u beveiligingsregels toe op een virtueel netwerk met Azure SQL Managed Instances?
Azure SQL Managed Instance heeft enkele netwerkvereisten. Deze worden afgedwongen via beleid voor netwerkintentie met hoge prioriteit, waarvan het doel conflicteert met beveiligings- Beheer regels. Standaard wordt Beheer regeltoepassing overgeslagen op VNets die een van deze intentiebeleidsregels bevatten. Aangezien regels voor toestaan geen conflict opleveren, kunt u ervoor kiezen om regels voor alleen toestaan toe te passen. Als u alleen regels voor toestaan wilt gebruiken, kunt u AllowRulesOnly instellen op securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Past u beveiligingsregels toe op een virtueel netwerk of subnet dat services bevat die beveiligingsconfiguratieregels blokkeren?
Voor bepaalde services, zoals Azure SQL Managed Instance, Azure Databricks en Azure-toepassing Gateway, zijn specifieke netwerkvereisten vereist om goed te functioneren. Standaard wordt de toepassing voor beveiligingsbeheerdersregels overgeslagen op VNets en subnetten die een van deze services bevatten. Aangezien regels voor toestaan geen conflict opleveren, kunt u ervoor kiezen om regels voor alleen toestaan toe te passen door het veld beveiligingsconfiguraties AllowRulesOnlyin te stellen op securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET-klasse.
Limieten
Wat zijn de servicebeperkingen van Azure Virtual Network Manager?
Zie Beperkingen voor Azure Virtual Network Manager voor de meest recente beperkingen.
Volgende stappen
Maak een Exemplaar van Azure Virtual Network Manager met behulp van Azure Portal.