Menedżer usługi Azure Virtual Network Manager — często zadawane pytania
Ogólne
Ważne
Usługa Azure Virtual Network Manager jest ogólnie dostępna dla konfiguracji łączności piasty i szprych oraz konfiguracji zabezpieczeń z regułami administratora zabezpieczeń. Konfiguracje łączności usługi Mesh pozostają w publicznej wersji zapoznawczej.
Ta wersja zapoznawcza nie jest objęta umową dotyczącą poziomu usług i nie zalecamy korzystania z niej w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.
Które regiony platformy Azure obsługują usługę Azure Virtual Network Manager?
Aby uzyskać informacje o bieżącej obsłudze regionów, zapoznaj się z produktami dostępnymi według regionów.
Uwaga
Wszystkie regiony mają Strefy dostępności, z wyjątkiem Francji Środkowej.
Jakie są typowe przypadki użycia usługi Azure Virtual Network Manager?
Możesz utworzyć różne grupy sieciowe, aby spełnić wymagania dotyczące zabezpieczeń środowiska i jego funkcji. Można na przykład utworzyć grupy sieciowe dla środowisk produkcyjnych i testowych, aby zarządzać ich regułami łączności i zabezpieczeń na dużą skalę. W przypadku reguł zabezpieczeń należy utworzyć konfigurację administratora zabezpieczeń z dwoma kolekcjami reguł administratora zabezpieczeń, z których każda jest przeznaczona odpowiednio dla grup sieci produkcyjnych i testowych. Po wdrożeniu ta konfiguracja będzie wymuszać jeden zestaw reguł zabezpieczeń dla zasobów sieciowych w środowisku produkcyjnym i jeden zestaw dla środowiska testowego.
Konfiguracje łączności można zastosować, aby utworzyć topologię sieci piasty i szprych dla dużej liczby sieci wirtualnych w ramach subskrypcji organizacji.
Możesz odmówić ruchu wysokiego ryzyka: jako administrator przedsiębiorstwa możesz zablokować określone protokoły lub źródła, które zastępują wszystkie reguły sieciowej grupy zabezpieczeń, które normalnie zezwalają na ruch.
Zawsze zezwalaj na ruch: chcesz zezwolić określonemu skanerowi zabezpieczeń na zawsze łączność przychodzącą ze wszystkimi zasobami, nawet jeśli istnieją reguły sieciowej grupy zabezpieczeń skonfigurowane do odmowy ruchu.
Jaki jest koszt korzystania z usługi Azure Virtual Network Manager?
Opłaty za usługę Azure Virtual Network Manager zależą od liczby subskrypcji, które zawierają sieć wirtualną z wdrożoną konfiguracją menedżera sieci aktywnej. Ponadto opłata za komunikację równorzędną sieci wirtualnych ma zastosowanie do ruchu sieciowego sieci wirtualnych zarządzanych przez wdrożone konfiguracje łączności (Mesh lub Hub-and-Spoke).
Bieżące ceny dla twojego regionu można znaleźć na stronie cennika usługi Azure Virtual Network Manager.
Techniczne
Czy sieć wirtualna może należeć do wielu menedżerów sieci wirtualnych platformy Azure?
Tak, sieć wirtualna może należeć do więcej niż jednego menedżera sieci wirtualnej platformy Azure.
Co to jest topologia sieci siatki globalnej?
Globalna siatka umożliwia sieciom wirtualnym w różnych regionach komunikowanie się ze sobą. Efekty są podobne do sposobu działania globalnej komunikacji równorzędnej sieci wirtualnych.
Czy istnieje limit liczby grup sieciowych, które można utworzyć?
Nie ma limitu liczby grup sieciowych, które można utworzyć.
Jak mogę usunąć wdrożenie wszystkich zastosowanych konfiguracji?
Należy wdrożyć konfigurację Brak we wszystkich regionach, w których zastosowano konfigurację.
Czy mogę dodać sieci wirtualne z innej subskrypcji, która nie jest zarządzana przez siebie?
Tak, musisz mieć odpowiednie uprawnienia dostępu do tych sieci wirtualnych.
Co to jest członkostwo w grupie dynamicznej?
Aby uzyskać więcej informacji, zobacz członkostwo dynamiczne.
Jak wdrożenie konfiguracji różni się w przypadku członkostwa dynamicznego i członkostwa statycznego?
Aby uzyskać więcej informacji, zobacz wdrażanie względem typów członkostwa.
Jak mogę usunąć składnik usługi Azure Virtual Network Manager?
Aby uzyskać więcej informacji, zobacz usuwanie listy kontrolnej składników.
Czy usługa Azure Virtual Network Manager przechowuje dane klientów?
L.p. Usługa Azure Virtual Network Manager nie przechowuje żadnych danych klientów.
Czy można przenieść wystąpienie usługi Azure Virtual Network Manager?
L.p. Przenoszenie zasobów nie jest obecnie obsługiwane. Jeśli chcesz go przenieść, możesz rozważyć usunięcie istniejącego wystąpienia menedżera sieci wirtualnej i użycie szablonu usługi ARM do utworzenia innej lokalizacji.
Jak sprawdzić, jakie konfiguracje są stosowane, aby ułatwić mi rozwiązywanie problemów?
Ustawienia usługi Azure Virtual Network Manager można wyświetlić w obszarze Menedżer sieci dla sieci wirtualnej. Zobaczysz zarówno łączność, jak i konfigurację administratora zabezpieczeń, które są stosowane. Aby uzyskać więcej informacji, zobacz wyświetlanie zastosowanej konfiguracji.
Co się stanie, gdy wszystkie strefy nie działają w regionie z wystąpieniem menedżera sieci wirtualnej?
Jeśli wystąpi awaria regionalna, wszystkie konfiguracje zastosowane do bieżących zarządzanych zasobów sieci wirtualnej pozostaną nienaruszone podczas awarii. Podczas awarii nie można tworzyć nowych konfiguracji ani modyfikować istniejących konfiguracji. Po rozwiązaniu awarii możesz nadal zarządzać zasobami sieci wirtualnej tak jak wcześniej.
Czy sieć wirtualna zarządzana przez usługę Azure Virtual Network Manager może być równorzędna z niezarządzaną siecią wirtualną?
Tak, usługa Azure Virtual Network Manager jest w pełni zgodna z istniejącymi wdrożeniami topologii piasty i szprych przy użyciu komunikacji równorzędnej. Oznacza to, że nie trzeba usuwać żadnych istniejących połączeń równorzędnych między szprychami a piastą. Migracja odbywa się bez żadnych przestojów w sieci.
Czy mogę migrować istniejącą topologię piasty i szprych do usługi Azure Virtual Network Manager?
Tak, migrowanie istniejących sieci wirtualnych do topologii piasty i szprych AVNM jest łatwe i nie wymaga czasu. Klienci mogą utworzyć konfigurację łączności topologii piasty i szprych żądanej topologii. Po wdrożeniu tej konfiguracji menedżer sieci wirtualnej automatycznie utworzy niezbędne komunikacje równorzędne. Wszelkie wstępnie istniejące komunikacje równorzędne skonfigurowane przez użytkowników pozostają nienaruszone, zapewniając brak przestojów.
Jak połączone grupy różnią się od komunikacji równorzędnej sieci wirtualnych w zakresie nawiązywania łączności między sieciami wirtualnymi?
Na platformie Azure komunikacja równorzędna sieci wirtualnych i połączone grupy to dwie metody nawiązywania łączności między sieciami wirtualnymi. Chociaż komunikacja równorzędna sieci wirtualnych działa przez utworzenie mapowania 1:1 między każdą równorzędną siecią wirtualną, połączone grupy używają nowej konstrukcji, która ustanawia łączność bez takiego mapowania. W połączonej grupie wszystkie sieci wirtualne są połączone bez poszczególnych relacji komunikacji równorzędnej. Jeśli na przykład sieci VNetA, VNetB i VNetC są częścią tej samej połączonej grupy, łączność jest włączona między każdą siecią wirtualną bez konieczności tworzenia poszczególnych relacji komunikacji równorzędnej.
Czy mogę utworzyć wyjątki od reguł administratora zabezpieczeń?
Zwykle reguły administratora zabezpieczeń będą definiowane w celu blokowania ruchu między sieciami wirtualnymi. Jednak czasami niektóre sieci wirtualne i ich zasoby muszą zezwalać na ruch do zarządzania lub innych procesów. W tych scenariuszach można tworzyć wyjątki tam, gdzie jest to konieczne. Dowiedz się, jak blokować porty wysokiego ryzyka z wyjątkami dla tego typu scenariuszy.
Jak wdrożyć wiele konfiguracji administratora zabezpieczeń w regionie?
W regionie można wdrożyć tylko jedną konfigurację administratora zabezpieczeń. Jednak w regionie może istnieć wiele konfiguracji łączności. Aby wdrożyć wiele konfiguracji administratora zabezpieczeń w regionie, zamiast tego można utworzyć wiele kolekcji reguł w konfiguracji zabezpieczeń.
Czy reguły administratora zabezpieczeń mają zastosowanie do prywatnych punktów końcowych platformy Azure?
Obecnie reguły administratora zabezpieczeń nie mają zastosowania do prywatnych punktów końcowych platformy Azure, które należą do zakresu sieci wirtualnej zarządzanej przez usługę Azure Virtual Network Manager.
Reguły ruchu wychodzącego
| Port | Protokół | Element źródłowy | Element docelowy | Akcja |
|---|---|---|---|---|
| 443, 12000 | TCP | Sieć wirtualna | AzureCloud | Zezwalaj |
| Dowolne | Dowolne | Sieć wirtualna | Sieć wirtualna | Zezwalaj |
Czy koncentrator usługi Azure Virtual WAN może być częścią grupy sieci?
Nie, centrum Azure Virtual WAN nie może być w tej chwili w grupie sieciowej.
Czy usługa Azure Virtual WAN może być używana jako koncentrator w konfiguracji topologii piasty i szprych menedżera sieci wirtualnej?
Nie, koncentrator usługi Azure Virtual WAN nie jest obecnie obsługiwany jako koncentrator w topologii piasty i szprych.
Moja sieć wirtualna nie otrzymuje oczekiwanych konfiguracji. Jak mogę rozwiązywanie problemów?
Czy konfiguracja została wdrożona w regionie sieci wirtualnej?
Konfiguracje w usłudze Azure Virtual Network Manager nie będą obowiązywać do momentu ich wdrożenia. Utwórz wdrożenie w regionie sieci wirtualnych przy użyciu odpowiednich konfiguracji.
Czy sieć wirtualna jest w zakresie?
Menedżer sieci jest delegowany tylko wystarczająco dużo dostępu, aby zastosować konfiguracje do sieci wirtualnych w twoim zakresie. Nawet jeśli zasób znajduje się w grupie sieciowej, ale poza zakresem, nie otrzymuje żadnych konfiguracji.
Czy stosujesz reguły zabezpieczeń do sieci wirtualnej zawierającej usługi Azure SQL Managed Instances?
Usługa Azure SQL Managed Instance ma pewne wymagania dotyczące sieci. Są one wymuszane za pomocą zasad intencji sieci o wysokim priorytcie, których cel powoduje konflikt z regułami Administracja zabezpieczeń. Domyślnie aplikacja reguły Administracja jest pomijana w sieciach wirtualnych zawierających dowolne z tych zasad intencji. Ponieważ reguły Zezwalaj nie stanowią ryzyka konfliktu, możesz zdecydować się na zastosowanie reguł Zezwalaj tylko . Jeśli chcesz używać tylko reguł zezwalania, możesz ustawić ustawienie AllowRulesOnly na .securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
Czy stosujesz reguły zabezpieczeń do sieci wirtualnej lub podsieci zawierającej usługi blokujące reguły konfiguracji zabezpieczeń?
Niektóre usługi, takie jak Azure SQL Managed Instance, Azure Databricks i aplikacja systemu Azure Gateway, wymagają określonych wymagań sieciowych, aby działały prawidłowo. Domyślnie aplikacja reguły administratora zabezpieczeń jest pomijana w sieciach wirtualnych i podsieciach zawierających dowolną z tych usług. Ponieważ reguły Zezwalaj nie stanowią ryzyka konfliktu, możesz zdecydować się na zastosowanie reguł Zezwalaj tylko , ustawiając pole konfiguracji AllowRulesOnlyzabezpieczeń w securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices klasie .NET.
Limity
Jakie są ograniczenia usługi usługi Azure Virtual Network Manager?
Aby uzyskać najbardziej aktualne ograniczenia, zobacz Ograniczenia dotyczące usługi Azure Virtual Network Manager.
Następne kroki
Utwórz wystąpienie usługi Azure Virtual Network Manager przy użyciu witryny Azure Portal.