Veelgestelde vragen over Azure Virtual Network Manager
In dit artikel vindt u antwoorden op veelgestelde vragen over Azure Virtual Network Manager.
Algemeen
Welke Azure-regio's ondersteunen Azure Virtual Network Manager?
Raadpleeg producten die beschikbaar zijn per regio voor actuele informatie over regio-ondersteuning.
Notitie
Alle regio's hebben beschikbaarheidszones, met uitzondering van Frankrijk - centraal.
Wat zijn veelvoorkomende use cases voor Azure Virtual Network Manager?
U kunt netwerkgroepen maken om te voldoen aan de beveiligingsvereisten van uw omgeving en de bijbehorende functies. U kunt bijvoorbeeld netwerkgroepen maken voor uw productie- en testomgevingen om hun connectiviteits- en beveiligingsregels op schaal te beheren.
Voor beveiligingsregels kunt u een configuratie van een beveiligingsbeheerder maken met twee verzamelingen. Elke verzameling is respectievelijk gericht op uw productie- en testnetwerkgroepen. Na de implementatie dwingt deze configuratie één set beveiligingsregels af voor netwerkbronnen voor uw productieomgeving en één set voor uw testomgeving.
U kunt connectiviteitsconfiguraties toepassen om een mesh- of een hub-and-spoke-netwerktopologie te maken voor een groot aantal virtuele netwerken in de abonnementen van uw organisatie.
U kunt verkeer met een hoog risico weigeren. Als beheerder van een onderneming kunt u specifieke protocollen of bronnen blokkeren die regels voor netwerkbeveiligingsgroepen (NSG's) overschrijven die normaal gesproken het verkeer toestaan.
U kunt altijd verkeer toestaan. U kunt bijvoorbeeld toestaan dat een specifieke beveiligingsscanner altijd binnenkomende connectiviteit met al uw resources heeft, zelfs als NSG-regels zijn geconfigureerd om het verkeer te weigeren.
Wat zijn de kosten voor het gebruik van Azure Virtual Network Manager?
Azure Virtual Network Manager-kosten zijn gebaseerd op het aantal abonnementen dat een virtueel netwerk bevat met een actieve Virtual Network Manager-configuratie die erop is geïmplementeerd. Daarnaast gelden er kosten voor peering voor het verkeersvolume van virtuele netwerken die worden beheerd door een geïmplementeerde connectiviteitsconfiguratie (mesh of hub-and-spoke).
U vindt de huidige prijzen voor uw regio op de pagina met prijzen van Azure Virtual Network Manager.
Hoe kan ik Azure Virtual Network Manager implementeren?
U kunt een Exemplaar en configuratie van Azure Virtual Network Manager implementeren en beheren via verschillende hulpprogramma's, waaronder:
Technisch
Kan een virtueel netwerk deel uitmaken van meerdere Exemplaren van Azure Virtual Network Manager?
Ja, een virtueel netwerk kan deel uitmaken van meer dan één Exemplaar van Azure Virtual Network Manager.
Wat is een wereldwijde mesh-netwerktopologie?
Met een global mesh kunnen virtuele netwerken tussen regio's met elkaar communiceren. De effecten zijn vergelijkbaar met de werking van wereldwijde peering van virtuele netwerken.
Is er een limiet voor het aantal netwerkgroepen dat ik kan maken?
Er is geen limiet voor het aantal netwerkgroepen dat u kunt maken.
Hoe kan ik de implementatie van alle toegepaste configuraties verwijderen?
U moet een None-configuratie implementeren in alle regio's waarop u een configuratie hebt toegepast.
Kan ik virtuele netwerken toevoegen vanuit een ander abonnement dat ik niet beheer?
Ja, als u over de juiste machtigingen beschikt om toegang te krijgen tot deze virtuele netwerken.
Wat is dynamisch groepslidmaatschap?
Hoe verschilt de implementatie van configuratie voor dynamisch lidmaatschap en statisch lidmaatschap?
Zie Configuratie-implementaties in Azure Virtual Network Manager.
Hoe kan ik een Azure Virtual Network Manager-onderdeel verwijderen?
Zie De controlelijst onderdelen van Azure Virtual Network Manager verwijderen en bijwerken.
Worden klantgegevens opgeslagen in Azure Virtual Network Manager?
Nee Azure Virtual Network Manager slaat geen klantgegevens op.
Kan een Exemplaar van Azure Virtual Network Manager worden verplaatst?
Nee Azure Virtual Network Manager biedt momenteel geen ondersteuning voor deze mogelijkheid. Als u een exemplaar wilt verplaatsen, kunt u overwegen deze te verwijderen en de Azure Resource Manager-sjabloon te gebruiken om een exemplaar op een andere locatie te maken.
Kan ik een abonnement met Azure Virtual Network Manager verplaatsen naar een andere tenant?
Ja, maar er zijn enkele overwegingen waarmee u rekening moet houden:
- De doeltenant kan geen Azure Virtual Network Manager hebben gemaakt.
- Virtuele spokes-netwerken in de netwerkgroep kunnen hun verwijzing verliezen bij het wijzigen van tenants, waardoor de connectiviteit met het hub-vnet verloren gaat. U kunt dit oplossen door na het verplaatsen van het abonnement naar een andere tenant handmatig de spokes vets toe te voegen aan de netwerkgroep van Azure Virtual Network Manager.
Hoe kan ik zien welke configuraties worden toegepast om me te helpen bij het oplossen van problemen?
U kunt azure Virtual Network Manager-instellingen bekijken onder Netwerkbeheer voor een virtueel netwerk. De instellingen tonen zowel connectiviteits- als beveiligingsbeheerdersconfiguraties die worden toegepast. Zie Configuraties weergeven die zijn toegepast door Azure Virtual Network Manager voor meer informatie.
Wat gebeurt er wanneer alle zones zich in een regio met een Virtual Network Manager-exemplaar bevinden?
Als er een regionale storing optreedt, blijven alle configuraties die worden toegepast op huidige beheerde virtuele netwerkbronnen intact tijdens de storing. U kunt geen nieuwe configuraties maken of bestaande configuraties wijzigen tijdens de storing. Nadat de storing is opgelost, kunt u uw virtuele netwerkbronnen blijven beheren zoals voorheen.
Kan een virtueel netwerk dat wordt beheerd door Azure Virtual Network Manager, worden gekoppeld aan een onbeheerd virtueel netwerk?
Ja. Azure Virtual Network Manager is volledig compatibel met bestaande hub-and-spoke-topologie-implementaties die gebruikmaken van peering. U hoeft geen bestaande peeringverbindingen tussen de spokes en de hub te verwijderen. De migratie vindt plaats zonder downtime voor uw netwerk.
Kan ik een bestaande hub-and-spoke-topologie migreren naar Azure Virtual Network Manager?
Ja. Het migreren van bestaande virtuele netwerken naar de hub-and-spoke-topologie in Azure Virtual Network Manager is eenvoudig. U kunt een connectiviteitsconfiguratie voor hub-and-spoke-topologie maken. Wanneer u deze configuratie implementeert, maakt Virtual Network Manager automatisch de benodigde peerings. Alle bestaande peerings blijven intact, dus er is geen downtime.
Hoe verschillen verbonden groepen van peering van virtuele netwerken bij het tot stand brengen van connectiviteit tussen virtuele netwerken?
In Azure zijn peering van virtuele netwerken en verbonden groepen twee methoden om connectiviteit tussen virtuele netwerken tot stand te brengen. Peering werkt door een een-op-een-toewijzing tussen virtuele netwerken te maken, terwijl verbonden groepen een nieuwe constructie gebruiken die connectiviteit tot stand brengt zonder een dergelijke toewijzing.
In een verbonden groep zijn alle virtuele netwerken verbonden zonder afzonderlijke peeringrelaties. Als bijvoorbeeld drie virtuele netwerken deel uitmaken van dezelfde verbonden groep, wordt de connectiviteit tussen elk virtueel netwerk ingeschakeld zonder dat er afzonderlijke peeringrelaties nodig zijn.
Als u virtuele netwerken beheert die momenteel gebruikmaken van VNet-peering, leidt dit ertoe dat er tweemaal kosten voor VNet-peering in rekening worden gebracht met Azure Virtual Network Manager?
Er worden geen tweede of dubbele kosten in rekening gebracht voor peering. Uw virtuele netwerkbeheerder respecteert alle eerder gemaakte VNet-peerings en migreert deze verbindingen. Alle peering-resources, ongeacht of deze zijn gemaakt binnen een virtuele netwerkbeheerder of buiten, met één peeringkosten.
Kan ik uitzonderingen maken op beveiligingsbeheerdersregels?
Normaal gesproken worden beveiligingsbeheerdersregels gedefinieerd om verkeer tussen virtuele netwerken te blokkeren. Er zijn echter momenten waarop bepaalde virtuele netwerken en hun resources verkeer moeten toestaan voor beheer of andere processen. Voor deze scenario's kunt u waar nodig uitzonderingen maken. Meer informatie over het blokkeren van poorten met een hoog risico met uitzonderingen voor deze scenario's.
Hoe kan ik meerdere configuraties voor beveiligingsbeheerders implementeren in een regio?
U kunt slechts één configuratie van een beveiligingsbeheerder implementeren in een regio. Er kunnen echter meerdere connectiviteitsconfiguraties bestaan in een regio als u meerdere regelverzamelingen in een beveiligingsconfiguratie maakt.
Zijn beveiligingsbeheerdersregels van toepassing op privé-eindpunten van Azure?
Op dit moment zijn beveiligingsbeheerdersregels niet van toepassing op privé-Azure-eindpunten die vallen onder het bereik van een virtueel netwerk dat wordt beheerd door Azure Virtual Network Manager.
Uitgaande regels
Poort | Protocol | Bron | Doel | Actie |
---|---|---|---|---|
443, 12000 | TCP | VirtualNetwork |
AzureCloud |
Toestaan |
Alle | Alle | VirtualNetwork |
VirtualNetwork |
Toestaan |
Kan een Azure Virtual WAN-hub deel uitmaken van een netwerkgroep?
Nee, op dit moment kan een Azure Virtual WAN-hub zich niet in een netwerkgroep bevinden.
Kan ik een Azure Virtual WAN-exemplaar gebruiken als de hub in een hub-en-spoke-topologieconfiguratie van Virtual Network Manager?
Nee, op dit moment wordt een Azure Virtual WAN-hub niet ondersteund als de hub in een hub-and-spoke-topologie.
Mijn virtuele netwerk krijgt niet de configuraties die ik verwacht. Hoe kan ik problemen oplossen?
Gebruik de volgende vragen voor mogelijke oplossingen.
Hebt u uw configuratie geïmplementeerd in de regio van het virtuele netwerk?
Configuraties in Azure Virtual Network Manager worden pas van kracht nadat ze zijn geïmplementeerd. Maak een implementatie naar de regio van het virtuele netwerk met de juiste configuraties.
Is uw virtuele netwerk binnen het bereik?
Een netwerkbeheerder is slechts voldoende toegang gedelegeerd om configuraties toe te passen op virtuele netwerken binnen uw bereik. Als een resource zich in uw netwerkgroep bevindt, maar buiten het bereik valt, ontvangt deze geen configuraties.
Past u beveiligingsregels toe op een virtueel netwerk dat beheerde exemplaren bevat?
Azure SQL Managed Instance heeft enkele netwerkvereisten. Deze vereisten worden afgedwongen via beleid voor netwerkintentie met hoge prioriteit waarvan het doel strijdig is met regels voor beveiligingsbeheerders. De toepassing voor beheerdersregels wordt standaard overgeslagen in virtuele netwerken die een van deze intentiebeleidsregels bevatten. Omdat regels voor toestaan geen conflict opleveren, kunt u ervoor kiezen om regels alleen toestaan toe te passen door de instelling in te stellen AllowRulesOnly
securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
.
Past u beveiligingsregels toe op een virtueel netwerk of subnet dat services bevat die beveiligingsconfiguratieregels blokkeren?
Voor bepaalde services zijn specifieke netwerkvereisten vereist om goed te functioneren. Deze services omvatten Azure SQL Managed Instance, Azure Databricks en Azure-toepassing Gateway. Standaard wordt de toepassing van beveiligingsbeheerdersregels overgeslagen op virtuele netwerken en subnetten die een van deze services bevatten. Omdat regels voor toestaan geen conflict opleveren, kunt u ervoor kiezen om regels voor alleen toestaan toe te passen door het veld beveiligingsconfiguraties AllowRulesOnly
in te stellen op de securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
.NET-klasse.
Limieten
Wat zijn de servicebeperkingen van Azure Virtual Network Manager?
Zie Beperkingen met Azure Virtual Network Manager voor de meest recente informatie.
Volgende stappen
- Maak een Exemplaar van Azure Virtual Network Manager met behulp van Azure Portal.