Perguntas frequentes sobre o Gerenciador de Rede Virtual do Azure
Geral
Importante
O Gerenciador de Rede Virtual do Azure geralmente está disponível para o Gerenciador de Rede Virtual, configurações de conectividade hub e spoke e configurações de segurança com regras de administrador de segurança. As configurações de conectividade de malha permanecem em versão prévia pública.
Essa versão prévia é fornecida sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.
Quais regiões do Azure dão suporte ao Gerenciador de Rede Virtual do Azure?
Para obter suporte à região atual, consulte os produtos disponíveis por região.
Observação
Todas as regiões têm Zonas de Disponibilidade, exceto a França Central.
Quais são os casos de uso comuns para usar o Gerenciador de Rede Virtual do Azure?
Você pode criar grupos de rede diferentes para atender aos requisitos de segurança do seu ambiente e suas respectivas funções. Por exemplo, você pode criar grupos de rede para seus ambientes de Produção e de Teste para gerenciar as regras de conectividade e segurança desses grupos em escala. No caso de regras de segurança, você criaria uma configuração de administrador de segurança com duas coleções de regras de administrador de segurança, cada uma direcionada a seus grupos de rede de Produção e Teste, respectivamente. Depois de implantada, essa configuração imporá um conjunto de regras de segurança para recursos de rede em seu ambiente de produção e um conjunto para o ambiente de teste.
Você pode aplicar configurações de conectividade para criar uma malha ou uma topologia de rede hub e spoke para um grande número de redes virtuais nas assinaturas da sua organização.
É possível negar o tráfego de alto risco: como administrador de uma empresa, você pode bloquear fontes ou protocolos específicos que substituem as regras de NSG que normalmente permitiriam o tráfego.
Sempre permitir tráfego: você quer permitir que um verificador de segurança específico sempre tenha conectividade de entrada para todos os seus recursos, mesmo se houver regras NSG configuradas para negar o tráfego.
Qual é o custo de usar o Gerenciador de Rede Virtual do Azure?
Os encargos do Gerenciador de Rede Virtual do Azure são baseados no número de assinaturas que contêm uma rede virtual com uma configuração de gerenciador de rede ativa implantada nela. Além disso, uma cobrança de Emparelhamento de Rede Virtual se aplica ao volume de tráfego de redes virtuais gerenciadas por uma configuração de conectividade implantada (Malha ou Hub e Spoke).
Os preços atuais da sua região podem ser encontrados na página de preços do Gerenciador de Rede Virtual do Azure.
Técnico
Uma rede virtual pode pertencer a vários Gerenciadores de Rede Virtual do Azure?
Sim, uma rede virtual pode pertencer a mais de um Gerenciador de Rede Virtual do Azure.
O que é uma topologia de rede de malha global?
Uma malha global permite que redes virtuais em diferentes regiões se comuniquem entre si. Os efeitos são semelhantes ao modo como o emparelhamento de rede virtual global funciona.
Há um limite para quantos grupos de rede podem ser criados?
Não há limites para o número de grupos de rede que podem ser criados.
Como remover a implantação de todas as configurações aplicadas?
Você precisa implantar uma configuração None em todas as regiões que têm uma configuração aplicada.
Posso adicionar redes virtuais de outra assinatura não gerenciada por mim?
Sim, mas você precisa ter as permissões apropriadas para acessar essas redes virtuais.
O que é a associação de grupo dinâmica?
Para saber mais, confira associação dinâmica.
Como a implantação da configuração difere da associação dinâmica e da associação estática?
Para obter mais informações, consulte implantação de acordo com os tipos de associação.
Como excluir um componente do Gerenciador de Rede Virtual do Azure?
Para saber mais, consulte a lista de verificação de remoção de componentes.
O Gerenciador de Rede Virtual do Azure armazena dados do cliente?
Não. O Gerenciador de Rede Virtual do Azure não armazena dados do cliente.
É possível mover uma instância do Gerenciador de Rede Virtual do Azure?
Não. Atualmente não há suporte para a movimentação de recursos. Se você precisar movê-lo, considere excluir a instância existente do gerenciador de rede virtual e usar o modelo do ARM para criar outra em outro local.
Como posso ver quais configurações são aplicadas para me ajudar a solucionar problemas?
Você pode exibir as configurações do Gerenciador de Rede Virtual do Azure para uma rede virtual específica em Gerenciador de Rede. É possível exibir a configuração do administrador aplicada tanto para conectividade quanto para segurança. Para obter mais informações, confira exibir configuração aplicada.
O que acontece quando todas as zonas estão inoperantes em uma região com uma instância do gerenciador de rede virtual?
Caso ocorra uma interrupção regional, todas as configurações aplicadas aos atuais recursos de rede virtual gerenciados permanecerão intactas durante a interrupção. Não é possível criar novas configurações nem modificar configurações existentes durante a interrupção. Depois que a interrupção for resolvida, você poderá continuar gerenciando os recursos da rede virtual como antes.
Uma rede virtual gerenciada pelo Gerenciador de Rede Virtual do Azure pode ser emparelhada a uma rede virtual não gerenciada?
Sim, o Gerenciador de Rede Virtual do Azure é totalmente compatível com implantações de topologia de hub e spoke pré-existentes usando emparelhamento. Isso significa que você não precisará excluir nenhuma conexão emparelhada existente entre os spokes e o hub. A migração ocorre sem nenhum tempo de inatividade para sua rede.
Posso migrar uma topologia de hub e spoke existente para o Gerenciador de Rede Virtual do Azure?
Sim, migrar as VNets existentes para a topologia de hub e spoke do AVNM é fácil e não requer tempo de inatividade. Os clientes podem criar uma configuração de conectividade de topologia de hub e spoke da topologia desejada. Quando a implantação dessa configuração for efetuada, o gerenciador de rede virtual criará automaticamente os emparelhamentos necessários. Todos os emparelhamentos pré-existentes configurados pelos usuários permanecem intactos, garantindo que não haja tempo de inatividade.
Como os grupos conectados diferem do emparelhamento de rede virtual em relação ao estabelecimento de conectividade entre redes virtuais?
No Azure, o emparelhamento de rede virtual e os grupos conectados são dois métodos de estabelecer conectividade entre redes virtuais (VNets). Embora o emparelhamento de rede virtual funcione criando um mapeamento 1:1 entre cada rede virtual emparelhada, os grupos conectados usam um novo constructo que estabelece a conectividade sem esse mapeamento. Em um grupo conectado, todas as redes virtuais são conectadas sem relações de emparelhamento individuais. Por exemplo, se VNetA, VNetB e VNetC fizerem parte do mesmo grupo conectado, a conectividade será habilitada entre cada rede virtual sem a necessidade de relações de emparelhamento individuais.
Posso criar exceções às regras administrativas de segurança?
Normalmente, as regras de administração de segurança serão definidas para bloquear o tráfego nas redes virtuais. No entanto, há momentos em que determinadas redes virtuais e seus recursos precisam permitir o tráfego para gerenciamento ou outros processos. Para esses cenários, você pode criar exceções quando necessário. Saiba como bloquear portas de alto risco com exceções para esses tipos de cenários.
Como posso implantar diversas configurações de administração de segurança em uma região?
Somente uma configuração de administrador de segurança pode ser implantada em uma região. No entanto, podem existir várias configurações de conectividade em uma região. Para implantar diversas configurações de administração de segurança em uma região, você pode criar diversas coleções de regras em uma configuração de segurança.
As regras de administrador de segurança se aplicam aos pontos de extremidade privados do Azure?
Atualmente, as regras de administrador de segurança não se aplicam aos Pontos de Extremidade Privados do Azure que se enquadram no escopo de uma rede virtual gerenciada pelo Gerenciador de Rede Virtual do Azure.
Regras de saída
| Porta | Protocolo | Origem | Destino | Ação |
|---|---|---|---|---|
| 443, 12000 | TCP | VirtualNetwork | AzureCloud | Allow |
| Qualquer | Qualquer | VirtualNetwork | VirtualNetwork | Permitir |
Um hub da WAN Virtual do Azure pode fazer parte de um grupo de rede?
Não, um hub da WAN Virtual do Azure não pode estar em um grupo de rede no momento.
Uma WAN Virtual do Azure pode ser usada como o hub na configuração da topologia de hub e spoke do gerenciador de rede virtual?
Não há suporte para usar um hub da WAN Virtual do Azure como o hub em uma topologia de hub e spoke no momento.
Minha Rede Virtual não está recebendo as configurações que estou esperando. Como solucionar isso?
Você implantou sua configuração na região da rede virtual?
As configurações no Gerenciador de Rede Virtual do Azure não entram em vigor até que sejam implantadas. Faça uma implantação na região de redes virtuais com as configurações apropriadas.
Sua rede virtual está no escopo?
Um gerenciador de rede só é delegado a acesso suficiente para aplicar configurações a redes virtuais dentro de seu escopo. Mesmo que um recurso esteja em seu grupo de rede, mas fora do escopo, ele não recebe nenhuma configuração.
Você está aplicando regras de segurança a uma rede virtual que contém Instâncias Gerenciadas de SQL do Azure?
A Instância Gerenciada de SQL do Azure tem alguns requisitos de rede. Eles são impostos por meio de Políticas de Intenção de Rede de alta prioridade, cuja finalidade entra em conflito com as Regras de Administração de Segurança. Por padrão, o aplicativo de regra de administrador é ignorado em VNets que contêm qualquer uma dessas Políticas de Intenção. Como as regras Permitir não representam nenhum risco de conflito, você pode optar por aplicar as regras Permitir Somente. Se você quiser usar apenas regras Permitir, poderá definir AllowRulesOnly em securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Você está aplicando regras de segurança a uma rede virtual ou sub-rede que contém serviços bloqueando regras de configuração de segurança?
Certos serviços, como a Instância Gerenciada de SQL do Azure, o Azure Databricks e o Gateway de Aplicativo do Azure, exigem requisitos de rede específicos para funcionar corretamente. Por padrão, o aplicativo de regra de administrador de segurança é ignorado em VNets e sub-redes que contêm qualquer um desses serviços. Como as regras Permitir não representam nenhum risco de conflito, você pode optar por aplicar as regras Permitir Somente definindo o AllowRulesOnlycampo das configurações de segurançasecurityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices na classe .NET.
Limites
Quais são as limitações de serviço do Gerenciador de Rede Virtual do Azure?
Para as limitações mais atuais, veja Limitações com o Gerenciador de Rede Virtual do Azure.
Próximas etapas
Crie uma instância do Gerenciador de Rede Virtual do Azure usando o portal do Azure.