Partilhar via


Compreender e trabalhar com os escopos do Azure Virtual Network Manager

Neste artigo, você aprenderá como os escopos permitem que grupos de gerenciamento ou assinaturas usem determinados recursos do Gerenciador de Rede Virtual do Azure. Você também aprende sobre o conceito de hierarquia e como ele pode afetar os usuários do Azure Virtual Network Manager.

Recursos do Virtual Network Manager

Uma instância do Azure Virtual Network Manager inclui os seguintes recursos:

  • Grupos de rede: um grupo de rede é um contêiner lógico onde você pode aplicar políticas de configuração para rede.

  • Configurações: o Azure Virtual Network Manager fornece dois tipos de configurações:

    • Use configurações de conectividade para criar topologias de rede.
    • Use configurações de segurança para criar uma coleção de regras que você pode aplicar em redes virtuais.
  • Regras: Você pode definir regras de segurança de rede que podem permitir ou negar o tráfego de rede em nível global para suas redes virtuais.

Âmbito

Um escopo no Gerenciador de Rede Virtual do Azure representa o nível de acesso concedido para gerenciar recursos. O valor para o escopo pode estar no nível do grupo de gerenciamento ou no nível da assinatura . Para saber como gerenciar sua hierarquia de recursos, consulte Grupos de gerenciamento do Azure. Quando você seleciona um grupo de gerenciamento como escopo, todos os recursos filho são incluídos no escopo.

Nota

Não é possível criar várias instâncias do Azure Virtual Network Manager com um escopo sobreposto da mesma hierarquia e os mesmos recursos selecionados.

Ao especificar um escopo no nível do grupo de gerenciamento, você precisa registrar o provedor de Rede Virtual do Azure no escopo do grupo de gerenciamento antes de implantar uma instância do Gerenciador de Rede Virtual. Esse processo é incluído como parte da criação de uma instância do Virtual Network Manager no portal do Azure, mas não com métodos programáticos como a CLI do Azure e o Azure PowerShell. Saiba mais sobre como registrar provedores no escopo do grupo de gerenciamento.

Aplicabilidade do âmbito

Quando você implanta configurações, a instância do Virtual Network Manager aplica recursos somente aos recursos dentro de seu escopo. Se você tentar adicionar um recurso a um grupo de rede que está fora do escopo, ele será adicionado ao grupo para representar sua intenção. Mas a instância do Virtual Network Manager não aplica as alterações às configurações.

Você pode atualizar o escopo da instância do Virtual Network Manager. As atualizações acionam uma reavaliação automática de todo o escopo e potencialmente adicionam recursos com uma adição de escopo ou removem recursos com uma remoção de escopo.

Escopo entre locatários

O escopo de uma instância do Virtual Network Manager pode abranger locatários, embora um fluxo de aprovação separado seja necessário para estabelecer esse escopo.

Primeiro, adicione uma intenção para o escopo desejado de dentro da instância do Virtual Network Manager usando o recurso Scope Connection . Em segundo lugar, adicione uma intenção para o gerenciamento da instância do Virtual Network Manager a partir do escopo (assinatura ou grupo de gerenciamento) usando o recurso Network Manager Connection . Esses recursos contêm um estado para representar se o escopo associado foi adicionado ao escopo da instância do Virtual Network Manager.

Funcionalidades

Os recursos são o acesso ao escopo que você permite que o Azure Virtual Network Manager gerencie. O Azure Virtual Network Manager atualmente tem dois escopos de recurso: conectividade e administrador de segurança. Você pode habilitar ambos os escopos de recurso na mesma instância do Virtual Network Manager.

Hierarquia

O Azure Virtual Network Manager permite a gestão dos seus recursos de rede numa hierarquia. Uma hierarquia significa que você pode fazer com que várias instâncias do Virtual Network Manager gerenciem escopos sobrepostos, e as configurações dentro de cada instância do Virtual Network Manager também podem se sobrepor.

Por exemplo, você pode ter o grupo de gerenciamento de nível superior como o escopo para uma instância do Virtual Network Manager e ter um grupo de gerenciamento filho como o escopo para uma instância diferente do Virtual Network Manager. Quando você tem um conflito de configuração entre instâncias do Virtual Network Manager que contêm o mesmo recurso, a configuração da instância do Virtual Network Manager que tem o escopo mais alto é a aplicada.

Próximos passos

  • Saiba como criar uma instância do Azure Virtual Network Manager.
  • Saiba mais sobre grupos de rede.