Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące Azure Virtual Network Manager.
Ogólne
Które regiony Azure obsługują Azure Virtual Network Manager?
Aby uzyskać bieżące informacje o obsłudze regionów, zapoznaj się z tematem Produkty dostępne według regionów.
Uwaga
Wiele regionów Azure obsługuje strefy availability. Aby zobaczyć, które regiony obsługują strefy dostępności, zobacz listę regionów Azure.
Jakie są typowe przypadki użycia Azure Virtual Network Manager?
Możesz utworzyć grupy sieciowe, aby spełnić wymagania dotyczące zabezpieczeń środowiska i jego funkcji. Można na przykład utworzyć grupy sieciowe dla środowisk produkcyjnych i testowych, aby zarządzać ich regułami łączności i zabezpieczeń na dużą skalę.
W przypadku reguł administratora zabezpieczeń można utworzyć konfigurację administratora zabezpieczeń z dwiema kolekcjami reguł. Każdy zbiór reguł jest przeznaczony odpowiednio dla grup twojej sieci produkcyjnej i testowej. Po wdrożeniu ta konfiguracja wymusza jeden zestaw reguł administratora zabezpieczeń dla zasobów sieciowych dla środowiska produkcyjnego, a drugi zestaw dla środowiska testowego.
Konfiguracje łączności można zastosować, aby utworzyć topologię sieci piasty i szprych dla dużej liczby sieci wirtualnych w ramach subskrypcji organizacji.
Możesz odmówić ruchu wysokiego ryzyka. Jako administrator przedsiębiorstwa możesz zablokować określone protokoły lub źródła, które zastępują wszystkie reguły sieciowej grupy zabezpieczeń, które normalnie zezwalają na ruch.
Możesz wymusić zezwalanie na ruch. Na przykład można zezwolić na użycie określonego skanera zabezpieczeń, aby zawsze mieć łączność przychodzącą ze wszystkimi zasobami, nawet jeśli reguły sieciowej grupy zabezpieczeń są skonfigurowane pod kątem odmowy ruchu.
Jaki jest koszt korzystania z Azure Virtual Network Manager?
Azure Virtual Network Manager nalicza opłaty na podstawie liczby sieci wirtualnych, które mają wdrożoną aktywną konfigurację Virtual Network Managera. Jeśli na przykład zakres Virtual Network Manager zawiera 100 sieci wirtualnych, ale konfiguracje zostały wdrożone tylko na pięciu z tych sieci wirtualnych, opłata zostanie naliczona za te pięć sieci wirtualnych (nie wszystkie 100). Należy również pamiętać, że opłata za peering ma zastosowanie do ruchu sieci wirtualnych, które są zarządzane w ramach wdrożonych konfiguracji łączności (siatka lub układ piasty i szprych).
Jeśli sieć wirtualna ma wiele konfiguracji wdrożonych na niej przez to samo wystąpienie Menedżera Sieci Wirtualnych, ta sieć wirtualna ponosi tylko jedną opłatę. Opłaty nie zostaną zduplikowane. Jeśli na przykład Virtual Network Manager wdraża zarówno konfigurację łączności, jak i konfigurację administratora zabezpieczeń na tym samym zestawie pięciu sieci wirtualnych, opłaty będą naliczane za te pięć sieci wirtualnych, ale nie są naliczane dwa razy. Ten koszt nie uwzględnia wielu konfiguracji, chyba że konfiguracje pochodzą z różnych wystąpień Virtual Network Manager.
Przed lutym 2025 r. opłaty Azure Virtual Network Manager były domyślnie oparte na liczbie subskrypcji, które zawierały sieć wirtualną z aktywną konfiguracją Virtual Network Manager wdrożona na niej. Jeśli instancja Virtual Network Manager została utworzona przed lutym 2025 r., możesz wybrać opcję zmianę cen na oparte na sieci wirtualnej.
Azure Virtual Network Manager network verifier nalicza opłaty za każde uruchomienie analizy osiągalności w obszarze roboczym weryfikatora Azure Virtual Network Manager. Ta opłata jest oddzielona od opłat Azure Virtual Network Manager.
Azure Virtual Network Manager funkcja zarządzania adresami IP nalicza opłaty za każdy aktywny adres IP zarządzany przez narzędzie Azure Virtual Network Manager do zarządzania adresami IP, według godzinowej stawki. Aktywny adres IP jest definiowany jako dowolny adres IP skojarzony z interfejsem sieciowym w sieci wirtualnej skojarzonej z pulą adresów IP. Ta opłata jest oddzielona od opłat Azure Virtual Network Manager.
Bieżące ceny dla regionu można znaleźć na stronie cennika Azure Virtual Network Manager.
Jak wdrożyć Azure Virtual Network Manager?
Możesz wdrożyć wystąpienie i konfiguracje Azure Virtual Network Manager oraz zarządzać nimi za pomocą różnych narzędzi, w tym:
Techniczne
Jaka jest różnica między członkostwem w grupie sieci statycznej i dynamicznej?
Statyczna grupa sieci jest wypełniana ręcznie przez jawne dodawanie sieci wirtualnych. Dynamiczna grupa sieci używa reguł opartych na Azure Policy do automatycznego określania członkostwa na podstawie warunków, takich jak subskrypcja, tagi lub grupa zasobów. Dzięki temu zarówno istniejące, jak i nowo utworzone sieci wirtualne pasujące do reguły automatycznie dołączają do grupy sieciowej.
Czy sieć wirtualna może należeć do wielu instancji Azure Virtual Network Manager?
Tak, sieć wirtualna może należeć do więcej niż jednego wystąpienia Azure Virtual Network Manager.
Jak działa zakres w Azure Virtual Network Manager: grupa zarządzania kontra subskrypcja kontra grupa zasobów?
Azure Virtual Network Manager obsługuje zakresy na poziomach grupy zarządzania i subskrypcji. Jeśli ustawisz zakres menedżera sieci na grupę zarządzania, subskrypcje podrzędne i ich zasoby będą objęte tym zakresem. Jeśli potrzebujesz węższego miejsca docelowego, takiego jak określona grupa zasobów, użyj reguł członkostwa w grupach sieciowych, aby uwzględnić tylko sieci wirtualne zgodne z warunkiem grupy zasobów.
Kiedy należy używać piasty i szprych w porównaniu z siatką i czy mogą współistnieć?
Tak. Piasta i szprycha i siatka mogą współistnieć. Architektura piasty i szprych jest przydatna, gdy szprychy wymagają współdzielonych usług w piaście, takich jak bramy sieciowe, zapory lub inna centralna infrastruktura. Topologia mesh jest przydatna, gdy wybrane sieci wirtualne typu spoke wymagają bezpośredniej łączności między sobą ze względu na wymagania dotyczące wydajności lub opóźnień. Typowym wzorcem jest zachowanie architektury hub-and-spoke dla usług współdzielonych, przy jednoczesnym umieszczeniu części połączeń typu spoke w topologii mesh, aby mogły komunikować się bezpośrednio.
Czy usługa Azure Virtual Network Manager zastępuje trasy zdefiniowane przez użytkownika do routingu tranzytowego przez centralę z zaporą?
Nr Azure Virtual Network Manager nie zastępuje automatycznie tras zdefiniowanych przez użytkownika, gdy chcesz, aby ruch szprychowy lub wychodzący przepływał przez zaporę lub wirtualne urządzenie sieciowe w centrum. Nadal potrzebujesz reguł routingu, aby kierować ruch do następnego przeskoku. Azure Virtual Network Manager może pomóc w zarządzaniu tymi ustawieniami routingu na dużą skalę, stosując spójną konfigurację routingu w istniejących i nowo utworzonych sieciach wirtualnych lub podsieciach.
Czy sieci wirtualne szprych mogą być połączone z węzłem Virtual WAN w konfiguracji połączeń siatki, aby mogły komunikować się bezpośrednio?
Tak, sieci wirtualne typu "szprycha" mogą łączyć się z koncentratorami Virtual WAN w konfiguracji łączności siatki. Te sieci wirtualne w grupie siatki mają bezpośrednią łączność ze sobą.
Czy operacje na prefiksach IP w sieciach wirtualnych, które są częścią siatki Azure Virtual Network Manager są propagowane automatycznie?
Sieci wirtualne w siatkach są automatycznie synchronizowane. Prefiksy adresów IP zostaną automatycznie zaktualizowane. Oznacza to, że ruch w obrębie mesh będzie działać nawet po wprowadzeniu zmian w prefiksach adresów IP w sieciach wirtualnych wewnątrz mesh.
Czy Azure Virtual Network Manager może zarządzać topologią hub-and-spoke obejmującą wiele regionów lub globalnym peeringiem?
Tak. Azure Virtual Network Manager może zarządzać scenariuszami łączności między regionami, w tym globalnymi wzorcami łączności. Właściwości opóźnienia i kosztów pozostają takie same jak podstawowa konstrukcja sieci Azure, taka jak globalna komunikacja równorzędna sieci wirtualnych. Azure Virtual Network Manager centralizuje zarządzanie i automatyzację.
Jak sprawdzić, czy konfiguracja łączności siatki jest stosowana zgodnie z oczekiwaniami?
Zapoznaj się z dokumentacją Jak wyświetlić zastosowane konfiguracje. Konfiguracja łączności siatki nie łączy sieci wirtualnych przy użyciu peeringu, więc nie widać łączności siatki w ostrzach peeringu.
Co się stanie, jeśli region, w którym jest tworzony Azure Virtual Network Manager, nie działa? Czy ma to wpływ na wdrożone konfiguracje, czy tylko zapobiega zmianom konfiguracji?
Będzie to miało wpływ tylko na możliwość zmiany konfiguracji. Gdy Menedżer Sieci Wirtualnej Azure zaprogramuje konfigurację po jej zatwierdzeniu, będzie nadal działać. Jeśli na przykład wystąpienie Azure Virtual Network Manager zostanie utworzone w regionie 1, a topologia siatki zostanie ustanowiona w regionie 2, siatka w regionie 2 będzie nadal działać, nawet jeśli region 1 stanie się niedostępny.
Jak zmiany konfiguracji są propagowane do sieci wirtualnych?
Konfiguracje nie będą obowiązywać, dopóki nie zostaną wdrożone w regionach docelowych. Po utworzeniu lub zaktualizowaniu konfiguracji i wdrożeniu jej usługa Azure Virtual Network Manager stosuje tę konfigurację do sieci wirtualnych objętych jej zakresem w tych regionach.
Jak wycofać konfigurację łączności lub zabezpieczeń, jeśli powoduje to problem?
Możesz cofnąć zmiany za pomocą modelu wdrażania. Jeśli konfiguracja powoduje problem w regionie, usuń lub zmień wdrożenie dla tego regionu, aby konfiguracja nie była już tam stosowana.
Co to jest topologia sieci siatki globalnej?
Globalna siatka umożliwia sieciom wirtualnym w różnych regionach komunikowanie się ze sobą. Efekty są podobne do działania globalne peering sieci wirtualnych.
Czy można używać narzędzia Terraform z Azure Virtual Network Manager?
Tak. Usługa Azure Virtual Network Manager jest obsługiwana przez dostawcę AzureRM dla narzędzia Terraform. Obsługiwane są również szablony ARM i Bicep, dzięki czemu można zarządzać zasobami i konfiguracjami usługi Azure Virtual Network Manager w ramach przepływów pracy typu infrastruktura jako kod.
Jak Azure Virtual Network Manager integruje się z monitorowaniem i diagnostyką?
Narzędzia do monitorowania Azure umożliwiają obserwowanie Azure Virtual Network Manager zachowania i rozwiązywanie problemów z nimi. Network Watcher może pomóc w analizie ruchu i rozwiązywaniu problemów, czy ruch jest blokowany przez regułę. Dzienniki przepływu mogą pomagać w analizowaniu schematów ruchu, a usługa Azure Monitor Logs oraz ustawienia diagnostyczne mogą rejestrować zdarzenia związane z konfiguracją i działaniem.
Jak mogę sprawdzić, kto zmienił zasoby lub konfiguracje usługi Azure Virtual Network Manager?
Użyj Azure dziennika aktywności. Rejestruje ona operacje płaszczyzny sterowania, w tym osoby wykonujące akcję, jaką operację wykonano i kiedy wystąpiła.
Czy Azure Virtual Network Manager automatycznie kieruje ruch szprych przez Azure Firewall w centrum?
Nr Azure Virtual Network Manager nie kieruje automatycznie ruchu z sieci szprychowych przez usługę Azure Firewall tylko z tego powodu, że w centralnym węźle istnieje zapora. Aby kierować ruch przez zaporę, skonfiguruj routing, aby żądane prefiksy używały zapory jako następnego przeskoku, a następnie użyj Azure Virtual Network Manager, aby zastosować ten wzorzec routingu na dużą skalę.
Jak usługa Azure Virtual Network Manager współpracuje z bramami ExpressRoute lub bramami sieci VPN w sieci centralnej?
W topologii piasty i szprych można skonfigurować szprychy do korzystania z bramy zdalnej koncentratora. Po włączeniu tej opcji sieci wirtualne typu spoke mogą używać bramy ExpressRoute lub bramy sieci VPN w sieci centralnej.
Czy istnieje limit liczby grup sieciowych, które można utworzyć?
Nie ma limitu liczby grup sieciowych, które można utworzyć.
Jak reguły administratora zabezpieczeń współdziałają z sieciowymi grupami zabezpieczeń?
Reguły administratora zabezpieczeń są oceniane przed regułami sieciowej grupy zabezpieczeń. Jeśli reguła administratora zabezpieczeń sieci odrzuca ruch, jest on blokowany, zanim zostanie poddany ocenie przez sieciową grupę zabezpieczeń. Oznacza to, że reguły administratora zabezpieczeń mogą blokować ruch dozwolony przez sieciową grupę zabezpieczeń.
Jak obsługiwać wyjątki dla reguł administratora zabezpieczeń dla całej organizacji?
Użyj oddzielnej grupy sieciowej dla zakresu wyjątków i zastosuj do tej grupy regułę administratora zabezpieczeń o wyższym priorytcie. Na przykład możesz odmówić przychodzącego protokołu SSH z Internetu dla szerokiej grupy sieciowej, a następnie utworzyć mniejszą grupę sieci wyjątków dla określonego zespołu obciążenia i zastosować regułę zezwalania na wyższy priorytet dla protokołu SSH do tej grupy.
Jak mogę usunąć wdrożenie wszystkich zastosowanych konfiguracji?
Należy wdrożyć konfigurację Brak we wszystkich regionach, w których zastosowano konfigurację.
Czy mogę dodać sieci wirtualne z innej subskrypcji, którą nie zarządzam?
Tak, jeśli masz odpowiednie uprawnienia dostępu do tych sieci wirtualnych.
W jaki sposób wdrożenie konfiguracji różni się między grupami sieciowymi z ręcznie dodanymi członkami i warunkowo dodanymi członkami?
Zobacz Wdrożenia konfiguracji w Azure Virtual Network Manager.
Jak usunąć składnik Azure Virtual Network Manager?
Zobacz Usuń i zaktualizuj listę kontrolną składników Azure Virtual Network Manager.
Czy Azure Virtual Network Manager przechowuje dane klientów?
Nr Azure Virtual Network Manager nie przechowuje żadnych danych klientów.
Czy można przenieść wystąpienie Azure Virtual Network Manager?
Nr Azure Virtual Network Manager nie obsługuje obecnie możliwości przenoszenia swoich instancji do innego regionu, grupy zasobów ani subskrypcji. Jeśli musisz przenieść wystąpienie, rozważ jego usunięcie i użycie szablonu Azure Resource Manager w celu utworzenia innego wystąpienia w żądanej lokalizacji.
Czy mogę przenieść subskrypcję z Azure Virtual Network Manager do innej dzierżawy?
Nie, przeniesienie subskrypcji, w której istnieje wystąpienie Azure Virtual Network Manager do innej dzierżawy, nie jest obsługiwane. Aby uzyskać więcej informacji, zobacz "Ograniczenia w menedżerze sieci wirtualnej Azure".
Jak sprawdzić, jakie konfiguracje są stosowane, aby ułatwić mi rozwiązywanie problemów?
Ustawienia Azure Virtual Network Manager można wyświetlić w obszarze Network Manager dla sieci wirtualnej. Ustawienia pokazują konfiguracje, które są stosowane. Aby uzyskać więcej informacji, zobacz Pokaż konfiguracje zastosowane przez Azure Virtual Network Manager.
Co się stanie, gdy wszystkie strefy nie działają w regionie z wystąpieniem Azure Virtual Network Manager?
Jeśli wystąpi awaria regionalna, wszystkie konfiguracje zastosowane do bieżących zarządzanych zasobów sieci wirtualnej pozostaną nienaruszone podczas awarii. Podczas awarii nie można tworzyć nowych konfiguracji ani modyfikować istniejących konfiguracji. Po rozwiązaniu awarii można nadal zarządzać zasobami sieci wirtualnej tak jak wcześniej.
Czy sieć wirtualna zarządzana przez Azure Virtual Network Manager może być połączona równolegle z niezarządzaną siecią wirtualną?
Tak. Azure Virtual Network Manager jest w pełni zgodna z wcześniej istniejących topologii piasty i szprych utworzonych za pomocą ręcznej komunikacji równorzędnej. Nie musisz usuwać żadnych połączeń równorzędnych, które już istnieją, między sieciami wirtualnymi centrali i szprych. Migracja odbywa się bez żadnych przestojów w sieci.
Czy mogę przeprowadzić migrację istniejącej topologii piasty i szprych do Azure Virtual Network Manager?
Tak. Migrowanie istniejących sieci wirtualnych do topologii piasty i szprych w Azure Virtual Network Manager jest proste. Możesz utworzyć konfigurację łączności topologii piasty i szprych. Podczas wdrażania tej konfiguracji Azure Virtual Network Manager automatycznie tworzy niezbędne połączenia równorzędne. Wszelkie istniejące połączenia równorzędne pozostają bez zmian, więc nie ma przestojów.
W jaki sposób grupy połączone różnią się od peeringu sieci wirtualnych w nawiązywaniu łączności między sieciami wirtualnymi?
W Azure komunikacja równorzędna sieci wirtualnych i połączone grupy to dwie metody ustanawiania łączności między sieciami wirtualnymi. Peering sieci wirtualnych działa poprzez utworzenie mapowania jeden do jednego między sieciami wirtualnymi, natomiast połączone grupy używają nowego rozwiązania, które ustanawia łączność bez takiego mapowania.
W połączonej grupie wszystkie sieci wirtualne są połączone bez indywidualnych połączeń peeringowych. Jeśli na przykład trzy sieci wirtualne są częścią tej samej połączonej grupy, połączenie jest aktywne między sieciami wirtualnymi bez konieczności obsługi poszczególnych relacji peeringowych.
Efekt każdej metody jest taki sam, w którym jest ustanowiona dwukierunkowa łączność między sieciami wirtualnymi. Jednak połączone grupy upraszczają zarządzanie łącznością, pozwalając na zarządzanie wieloma sieciami wirtualnymi jako pojedynczą jednostką i osiąganie większej skali łączności poza limitami peeringu.
Czy podczas zarządzania sieciami wirtualnymi z użyciem peeringu sieci wirtualnych powoduje to dwukrotne płacenie opłat za peering sieci wirtualnych w Azure Virtual Network Manager?
Nie ma drugiej ani podwójnej opłaty za peering. Menedżer sieci wirtualnej uwzględnia wszystkie utworzone wcześniej komunikacje równorzędne sieci wirtualnych i migruje te połączenia. Wszystkie zasoby peeringu, niezależnie od tego, czy zostały utworzone w menedżerze sieci wirtualnej, czy na zewnątrz, podlegają jednej opłacie za peering.
Czy mogę utworzyć wyjątki od reguł administratora zabezpieczeń?
Zwykle reguły administratora zabezpieczeń są definiowane w celu blokowania ruchu między sieciami wirtualnymi. Jednak czasami niektóre sieci wirtualne i ich zasoby muszą zezwalać na ruch do zarządzania lub innych procesów. W tych scenariuszach można utworzyć wyjątki w razie potrzeby. Dowiedz się, jak blokować porty wysokiego ryzyka z wyjątkami dla tych scenariuszy.
Jak wdrożyć wiele konfiguracji administratora zabezpieczeń w regionie?
W regionie można wdrożyć tylko jedną konfigurację administratora zabezpieczeń. Jednak w regionie może istnieć wiele konfiguracji łączności. Aby wdrożyć wiele zestawów reguł administratora zabezpieczeń w regionie, utwórz wiele kolekcji reguł w konfiguracji administratora zabezpieczeń.
Czy reguły administratora zabezpieczeń mają zastosowanie do Azure prywatnych punktów końcowych?
Obecnie reguły administratora zabezpieczeń nie mają zastosowania do Azure prywatnych punktów końcowych, które należą do zakresu sieci wirtualnej zarządzanej przez Azure Virtual Network Manager.
Czy centrum Azure Virtual WAN może być częścią grupy sieciowej?
Nie, w tej chwili centrum Azure Virtual WAN nie może znajdować się w grupie sieciowej.
Czy mogę użyć instancji Azure Virtual WAN jako koncentratora w konfiguracji łączności hub-and-spoke Azure Virtual Network Manager?
Nie, węzeł Azure Virtual WAN nie jest na razie obsługiwany jako węzeł w topologii węzła i szprych.
Moja sieć wirtualna nie otrzymuje oczekiwanych konfiguracji. Jak mogę rozwiązywać problemy?
Skorzystaj z poniższych pytań, aby uzyskać możliwe rozwiązania.
Czy konfiguracja została wdrożona w regionie sieci wirtualnej?
Konfiguracje w Azure Virtual Network Manager nie będą obowiązywać do momentu ich wdrożenia. Utwórz wdrożenie w regionie sieci wirtualnej przy użyciu odpowiednich konfiguracji.
Czy Twoja sieć wirtualna jest uwzględniona?
Menedżer sieci jest delegowany tylko wystarczająco dużo dostępu, aby zastosować konfiguracje do sieci wirtualnych w twoim zakresie. Jeśli zasób znajduje się w grupie sieciowej, ale jest poza zakresem, nie jest objęty żadną konfiguracją.
Czy stosujesz reguły zabezpieczeń do sieci wirtualnej zawierającej wystąpienia zarządzane?
Azure SQL Managed Instance ma pewne wymagania dotyczące sieci. Te wymagania są wymuszane za pomocą zasad intencji sieci o wysokim priorytcie, których cel powoduje konflikt z regułami administratora zabezpieczeń. Domyślnie aplikacja reguły administratora jest pomijana w sieciach wirtualnych, które zawierają dowolne z tych polityk intencyjnych. Ze względu na to, że reguły Zezwalaj nie stanowią ryzyka konfliktu, możesz zdecydować się na zastosowanie reguł Zezwalaj tylko, ustawiając wartość AllowRulesOnly na .securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
Czy stosujesz reguły zabezpieczeń do sieci wirtualnej lub podsieci zawierającej usługi blokujące reguły konfiguracji zabezpieczeń?
Niektóre usługi wymagają określonych wymagań sieciowych, aby działały prawidłowo. Domyślnie reguły administratora zabezpieczeń nie są stosowane do sieci wirtualnych zawierających Azure SQL Managed Instance lub Azure Databricks. Ponadto reguły administratora zabezpieczeń nie są stosowane na poziomie podsieci dla usług, takich jak Azure Application Gateway, Azure Bastion, Azure Firewall, Azure Route Server, Azure VPN Gateway, Azure Virtual WAN i brama Azure ExpressRoute. Aby uzyskać pełną listę, zobacz Nonapplication of security admin rules (Niezastosowanie reguł administratora zabezpieczeń). W przypadku niezastosowania reguł na poziomie sieci wirtualnej, ponieważ reguły Allow nie stanowią ryzyka konfliktu, można zdecydować się na zastosowanie wyłącznie reguł Allow Only, poprzez ustawienie pola konfiguracji zabezpieczeń AllowRulesOnly w klasie .NET securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Limity
Jakie są ograniczenia usługi Azure Virtual Network Manager?
Aby uzyskać najbardziej aktualne informacje, zobacz Limitations with Azure Virtual Network Manager.
Następne kroki
- Utwórz wystąpienie Azure Virtual Network Manager za pomocą portalu Azure.