Share via

Obsługa między dzierżawami w usłudze Azure Virtual Network Manager

  • Artykuł

Z tego artykułu dowiesz się więcej o obsłudze między dzierżawami w usłudze Azure Virtual Network Manager. Obsługa międzydostępami umożliwia organizacjom korzystanie z centralnego wystąpienia usługi Network Manager do zarządzania sieciami wirtualnymi w różnych dzierżawach i subskrypcjach.

Ważne

Usługa Azure Virtual Network Manager jest ogólnie dostępna dla konfiguracji łączności piasty i szprych oraz konfiguracji zabezpieczeń z regułami administratora zabezpieczeń. Konfiguracje łączności usługi Mesh pozostają w wersji zapoznawczej.

Ta wersja zapoznawcza jest udostępniana bez umowy dotyczącej poziomu usług i nie zalecamy korzystania z niej w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.

Omówienie dzierżawy między dzierżawami

Obsługa między dzierżawami w usłudze Azure Virtual Network Manager umożliwia dodawanie subskrypcji lub grup zarządzania z innych dzierżaw do menedżera sieci. Odbywa się to przez ustanowienie dwukierunkowego połączenia między menedżerem sieci i dzierżawami docelowymi. Po nawiązaniu połączenia menedżer centralny może wdrożyć reguły łączności i/lub administratora zabezpieczeń w sieciach wirtualnych w tych połączonych subskrypcjach lub grupach zarządzania. Ta pomoc techniczna pomaga organizacjom, które pasują do następujących scenariuszy:

  • Pozyskiwanie — w przypadkach, w których organizacje scalają się za pośrednictwem pozyskiwania i mają wiele dzierżaw, obsługa wielu dzierżaw umożliwia centralnemu menedżerowi sieci zarządzanie sieciami wirtualnymi w dzierżawach.

  • Dostawca usług zarządzanych — w scenariuszach dostawcy usług zarządzanych organizacja może zarządzać zasobami innych organizacji. Obsługa wielu dzierżaw umożliwia centralne zarządzanie sieciami wirtualnymi przez centralnego dostawcę usług dla wielu klientów.

Połączenie między dzierżawami

Ustanawianie obsługi między dzierżawami rozpoczyna się od utworzenia połączenia między dzierżawami między dwiema dzierżawami. Obsługa wielu dzierżaw wymaga dwukierunkowej zgody — jednego z menedżera sieci, drugiego z centrum menedżera sieci wirtualnej dzierżawy docelowej. Połączenia są następujące:

  • Połączenie menedżera sieci — połączenie między dzierżawami jest tworzone z poziomu menedżera sieci. Połączenie obejmuje dokładny zakres subskrypcji dzierżawy lub grup zarządzania do zarządzania w menedżerze sieci.
  • Połączenie koncentratora menedżera sieci wirtualnej — dzierżawa tworzy połączenie między dzierżawami na podstawie centrum menedżera sieci wirtualnej. To połączenie obejmuje zakres subskrypcji lub grup zarządzania, które mają być zarządzane przez centralnego menedżera sieci.

Gdy oba połączenia między dzierżawami istnieją, a zakresy są dokładnie takie same, zostanie nawiązane prawdziwe połączenie. Administracja istratorzy mogą używać menedżera sieci do dodawania zasobów między dzierżawami do grup sieciowych i zarządzania sieciami wirtualnymi zawartymi w zakresie połączenia. Istniejące reguły łączności i/lub administratora zabezpieczeń są stosowane do zasobów na podstawie istniejących konfiguracji.

Połączenie między dzierżawami można ustanowić i utrzymywać tylko wtedy, gdy oba obiekty z każdej strony istnieją. Po usunięciu jednego z połączeń połączenie między dzierżawami zostanie przerwane. Jeśli musisz usunąć połączenie między dzierżawami, wykonaj następujące czynności:

  • Usuń połączenie między dzierżawami po stronie menedżera sieci za pośrednictwem ustawień połączeń między dzierżawami w witrynie Azure Portal.
  • Usuń połączenie między dzierżawami po stronie dzierżawy za pośrednictwem ustawień połączeń między dzierżawami w witrynie Azure Portal za pośrednictwem centrum sieci wirtualnej między dzierżawami.

Uwaga

Po usunięciu połączenia po obu stronach menedżer sieci nie będzie już mógł wyświetlać zasobów dzierżawy ani zarządzać nimi w zakresie tego poprzedniego połączenia.

Stany Połączenie ion

Zasoby wymagane do utworzenia połączenia między dzierżawami zawierają stan, który reprezentuje, czy skojarzony zakres został dodany do zakresu Menedżera sieci. Możliwe wartości stanu to:

  • Połączenie: istnieją zasoby Połączenie ion zakresu Połączenie i Menedżera sieci. Zakres został dodany do zakresu menedżera sieci.
  • Oczekujące: jeden z dwóch zasobów zatwierdzania nie został utworzony. Zakres nie został jeszcze dodany do zakresu menedżera sieci.
  • Konflikt: Istnieje już menedżer sieci z tą subskrypcją lub grupą zarządzania zdefiniowaną w swoim zakresie. Dwóch menedżerów sieci z tym samym dostępem do zakresu nie może bezpośrednio zarządzać tym samym zakresem, dlatego nie można dodać tej grupy subskrypcji/zarządzania do zakresu Menedżera sieci. Aby rozwiązać konflikt, usuń zakres z zakresu menedżera sieci powodującego konflikt i utwórz ponownie zasób połączenia.
  • Odwołano: zakres został jednocześnie dodany do zakresu Menedżera sieci, ale usunięcie zasobu zatwierdzenia spowodowało jego odwołanie.

Jedynym stanem reprezentującym zakres został dodany do zakresu Menedżera sieci jest "Połączenie ed".

Wymagane uprawnienia

Aby korzystać z połączenia między dzierżawami w usłudze Azure Virtual Network Manager, użytkownicy muszą mieć następujące uprawnienia:

  • Administracja istrator dzierżawy zarządzania centralnego ma konto gościa w docelowej dzierżawie zarządzanej.

  • Konto gościa Administracja istratora Uprawnienia współautora sieci stosowane na odpowiednim poziomie zakresu (grupa zarządzania, subskrypcja lub sieć wirtualna).

Potrzebujesz pomocy dotyczącej konfigurowania uprawnień? Dowiedz się, jak dodawać użytkowników-gości w witrynie Azure Portal oraz jak przypisywać role użytkowników do zasobów w witrynie Azure Portal

Znane ograniczenia

Obecnie sieci wirtualne między dzierżawami można dodawać tylko ręcznie do grup sieciowych. Dynamiczne dodawanie sieci wirtualnych między dzierżawami do grup sieciowych za pomocą usługi Azure Policy to przyszłe możliwości.

Następne kroki