Partilhar via

Suporte entre locatários no Azure Virtual Network Manager

  • Artigo

Neste artigo, você aprenderá sobre o suporte entre locatários no Gerenciador de Rede Virtual do Azure. O suporte entre locatários permite que as organizações usem uma instância central do Network Manager para gerenciar redes virtuais em diferentes locatários e assinaturas.

Importante

O Azure Virtual Network Manager está geralmente disponível para configurações de conectividade hub-and-spoke e configurações de segurança com regras de administração de segurança. As configurações de conectividade de malha permanecem na visualização.

Esta versão de pré-visualização é fornecida sem um contrato de nível de serviço e não a recomendamos para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.

Visão geral do locatário cruzado

O suporte entre inquilinos no Azure Virtual Network Manager permite-lhe adicionar subscrições ou grupos de gestão de outros inquilinos ao seu gestor de rede. Isso é feito estabelecendo uma conexão bidirecional entre o gerente de rede e os locatários de destino. Uma vez conectado, o gerente central pode implantar regras de administração de conectividade e/ou segurança em redes virtuais nessas assinaturas conectadas ou grupos de gerenciamento. Esse suporte auxilia as organizações que se encaixam nos seguintes cenários:

  • Aquisições – Nos casos em que as organizações se fundem por meio de aquisição e têm vários locatários, o suporte entre locatários permite que um gerente de rede central gerencie redes virtuais entre os locatários.

  • Provedor de serviços gerenciados – Em cenários de provedor de serviços gerenciados, uma organização pode gerenciar os recursos de outras organizações. O suporte entre locatários permite o gerenciamento central de redes virtuais por um provedor de serviços central para vários clientes.

Conexão entre locatários

O estabelecimento de suporte entre locatários começa com a criação de uma conexão entre locatários entre dois locatários. O suporte entre locatários requer consentimento bidirecional - um do gerenciador de rede, o outro do hub do gerenciador de rede virtual do locatário de destino. As conexões são as seguintes:

  • Conexão do gerenciador de rede - Você cria uma conexão entre locatários a partir do seu gerenciador de rede. A conexão inclui o escopo exato das assinaturas ou grupos de gerenciamento do locatário para gerenciar em seu gerenciador de rede.
  • Conexão de hub do gerenciador de rede virtual - o locatário cria uma conexão entre locatários a partir de seu hub de gerenciador de rede virtual. Esta ligação inclui o âmbito das subscrições ou grupos de gestão a gerir pelo gestor central da rede.

Quando ambas as conexões entre locatários existem e os escopos são exatamente os mesmos, uma conexão verdadeira é estabelecida. Os administradores podem usar seu gerenciador de rede para adicionar recursos entre locatários aos seus grupos de rede e para gerenciar redes virtuais incluídas no escopo da conexão. As regras de administração de conectividade e/ou segurança existentes são aplicadas aos recursos com base nas configurações existentes.

Uma conexão entre locatários só pode ser estabelecida e mantida quando ambos os objetos de cada parte existirem. Quando uma das conexões é removida, a conexão entre locatários é interrompida. Se precisar excluir uma conexão entre locatários, execute o seguinte:

  • Remova a conexão entre locatários do lado do gerenciador de rede por meio das configurações de conexões entre locatários no portal do Azure.
  • Remova a conexão entre locatários do lado do locatário por meio das configurações de conexões entre locatários do hub do gerenciador de rede virtual no portal do Azure.

Nota

Depois que uma conexão for removida de ambos os lados, o gerente de rede não poderá mais visualizar ou gerenciar os recursos do locatário sob o escopo da conexão anterior.

Estados de conexão

Os recursos necessários para criar a conexão entre locatários contêm um estado, que representa se o escopo associado foi adicionado ao escopo do Network Manager. Os valores de estado possíveis incluem:

  • Conectado: Existem os recursos Conexão de Escopo e Conexão do Gerenciador de Rede. O escopo foi adicionado ao escopo do Network Manager.
  • Pendente: Um dos dois recursos de aprovação não foi criado. O escopo ainda não foi adicionado ao escopo do Network Manager.
  • Conflito: já existe um gestor de rede com esta subscrição ou grupo de gestão definido no seu âmbito. Dois gerentes de rede com o mesmo acesso ao escopo não podem gerenciar diretamente o mesmo escopo, portanto, esse grupo de assinatura/gerenciamento não pode ser adicionado ao escopo do Network Manager. Para resolver o conflito, remova o escopo do escopo do gerenciador de rede conflitante e recrie o recurso de conexão.
  • Revogado: O escopo foi adicionado ao escopo do Network Manager, mas a remoção de um recurso de aprovação fez com que ele fosse revogado.

O único estado que representa o escopo foi adicionado ao escopo do Network Manager é 'Conectado'.

Permissões obrigatórias

Para usar a conexão entre locatários no Gerenciador de Rede Virtual do Azure, os usuários precisam das seguintes permissões:

  • O administrador do locatário de gerenciamento central tem conta de convidado no locatário gerenciado de destino.

  • A conta de convidado administrador tem permissões de Colaborador de Rede aplicadas no nível de escopo apropriado (Grupo de gerenciamento, assinatura ou rede virtual).

Precisa de ajuda para configurar permissões? Confira como adicionar usuários convidados no portal do Azure e como atribuir funções de usuário a recursos no portal do Azure

Limitações conhecidas

Atualmente, as redes virtuais entre locatários só podem ser adicionadas manualmente aos grupos de rede. Adicionar redes virtuais entre locatários a grupos de rede dinamicamente por meio da Política do Azure é um recurso futuro.

Próximos passos