Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo responde a perguntas frequentes sobre o Azure Virtual Network Manager.
Geral
Quais regiões do Azure oferecem suporte ao Gerenciador de Rede Virtual do Azure?
Para obter informações atuais sobre o suporte à região, consulte Produtos disponíveis por região.
Nota
Todas as regiões têm zonas de disponibilidade, exceto France Central.
Quais são os casos de uso comuns do Azure Virtual Network Manager?
Você pode criar grupos de rede para atender aos requisitos de segurança do seu ambiente e suas funções. Por exemplo, você pode criar grupos de rede para seus ambientes de produção e teste para gerenciar suas regras de conectividade e segurança em escala.
Para regras de segurança, você pode criar uma configuração de administrador de segurança com duas coleções. Cada coleção está focada nos seus grupos de rede de produção e teste, respetivamente. Após a implantação, essa configuração impõe um conjunto de regras de segurança para recursos de rede para seu ambiente de produção e um conjunto para seu ambiente de teste.
Você pode aplicar configurações de conectividade para criar uma topologia em malha ou de estilo hub-and-spoke para um grande número de redes virtuais nas subscrições da sua organização.
Você pode negar tráfego de alto risco. Como administrador de uma empresa, você pode bloquear protocolos ou fontes específicos que substituam quaisquer regras de NSG (grupo de segurança de rede) que normalmente permitiriam o tráfego.
Você sempre pode permitir o tráfego. Por exemplo, você pode permitir que um verificador de segurança específico sempre tenha conectividade de entrada com todos os seus recursos, mesmo que as regras do NSG estejam configuradas para negar o tráfego.
Qual é o custo de usar o Gerenciador de Rede Virtual do Azure?
As cobranças do Gerenciador de Rede Virtual do Azure são baseadas no número de redes virtuais com uma configuração ativa do Gerenciador de Rede Virtual implantada nela. Por exemplo, se um escopo do Gerenciador de Rede Virtual contiver 100 redes virtuais, mas as configurações só tiverem sido implantadas em 5 dessas redes virtuais, você será cobrado por essas 5 redes virtuais (não todas as 100). Tenha também em atenção que uma cobrança por emparelhamento se aplica ao volume de tráfego das redes virtuais geridas por uma configuração de conectividade implantada (malha ou hub-and-spoke).
Se uma rede virtual tiver várias configurações implantadas nela pela mesma instância do Virtual Network Manager, essa rede virtual incorrerá apenas em uma única taxa de cobrança; não duplicará as cobranças. Por exemplo, se um Virtual Network Manager implantar uma configuração de conectividade e uma configuração de administrador de segurança no mesmo conjunto de 5 redes virtuais, você será cobrado por essas 5 redes virtuais, mas não cobrado duas vezes. Esse custo não leva em conta várias configurações, a menos que as configurações sejam originadas de diferentes instâncias do Virtual Network Manager.
Antes de março de 2025, as cobranças do Gerenciador de Rede Virtual do Azure eram baseadas por padrão no número de assinaturas que continham uma rede virtual com uma configuração ativa do Gerenciador de Rede Virtual implantada nela. Se você criou sua instância do Virtual Network Manager antes de março de 2025, poderá optar por mudar seu preço para o preço baseado em rede virtual.
A ferramenta de verificação de rede do Azure Virtual Network Manager cobra por análise de acessibilidade executada em um espaço de trabalho de verificador do Azure Virtual Network Manager. Esta cobrança é separada das taxas do Azure Virtual Network Manager.
Pode encontrar os preços atuais da sua região na página de preços do Azure Virtual Network Manager.
Como implantar o Gerenciador de Rede Virtual do Azure?
Você pode implantar e gerenciar uma instância e configurações do Azure Virtual Network Manager por meio de várias ferramentas, incluindo:
Técnico
Uma rede virtual pode pertencer a várias instâncias do Azure Virtual Network Manager?
Sim, uma rede virtual pode pertencer a mais de uma instância do Azure Virtual Network Manager.
As VNets spoke podem ser conectadas a um hub VWAN enquanto estiverem em uma topologia de malha para que essas VNets spoke possam se comunicar diretamente?
Sim, as VNets spoke podem se conectar a hubs VWAN enquanto estiverem no grupo mesh. Essas VNets no grupo de malha têm conectividade direta.
As operações nos prefixos IP em VNETs que estão na malha do Azure Virtual Network Manager se propagarão automaticamente?
As redes virtuais em malha estão automaticamente sincronizadas. Os prefixos IP estarão atualizados automaticamente. Isso significa que o tráfego dentro da malha funcionará mesmo depois que houver alterações nos prefixos IP em VNets na malha.
Como verifico se uma topologia de malha está configurada e aplicada?
Consulte a documentação Como visualizar as configurações aplicadas. Uma topologia de malha não é um emparelhamento de rede virtual, portanto, você não pode ver a conectividade de malha no emparelhamento.
O que acontece se a região onde o Azure Virtual Network Manager é criado estiver inativa? Isso afeta as configurações implantadas ou apenas impede alterações de configuração?
Apenas a capacidade de alterar configurações será afetada. Depois que o Azure Virtual Network Manager tiver programado a configuração depois de confirmar a configuração, ele continuará a operar. Por exemplo, se a instância do Azure Virtual Network Manager for criada na região 1 e a topologia de malha for estabelecida na região 2, a malha na região 2 continuará a funcionar mesmo se a região 1 ficar indisponível.
O que é uma topologia de rede de malha global?
Uma malha global permite que redes virtuais entre regiões se comuniquem entre si. Os efeitos são semelhantes ao modo de funcionamento do emparelhamento de redes virtuais globais.
Existe um limite para quantos grupos de rede posso criar?
Não há limite para quantos grupos de rede você pode criar.
Como faço para remover a implantação de todas as configurações aplicadas?
Você precisa implantar uma configuração Nenhum em todas as regiões onde você tem uma configuração aplicada.
Posso adicionar redes virtuais a partir de outra subscrição que não gerencio?
Sim, se você tiver as permissões apropriadas para acessar essas redes virtuais.
O que é a associação a grupos dinâmicos?
Veja Associação dinâmica.
Como a implantação da configuração difere para associação dinâmica e associação estática?
Consulte Implantações de configuração no Gerenciador de Rede Virtual do Azure.
Como faço para excluir um componente do Azure Virtual Network Manager?
Consulte Remover e atualizar a lista de verificação de componentes do Azure Virtual Network Manager.
O Azure Virtual Network Manager armazena dados de clientes?
N.º O Azure Virtual Network Manager não armazena dados de clientes.
Uma instância do Azure Virtual Network Manager pode ser movida?
N.º Atualmente, o Azure Virtual Network Manager não oferece suporte a esse recurso. Se precisar mover uma instância, considere excluí-la e usar o modelo do Azure Resource Manager para criar outra em outro local.
Posso mover uma subscrição com um Gestor de Rede Virtual do Azure para outro inquilino?
Sim, mas há algumas considerações a ter em mente:
- O locatário de destino não pode ter um Gerenciador de Rede Virtual do Azure criado.
- As redes virtuais ramificadas dentro do grupo de redes podem perder a sua referência ao mudar de inquilinos, perdendo assim a conectividade com a rede virtual do hub. Para resolver isto, após mover a subscrição para outro locatário, deverá adicionar manualmente as vnets adjacentes ao grupo de rede do Gestor de Redes Virtuais do Azure.
Como posso ver quais configurações são aplicadas para me ajudar a solucionar problemas?
Você pode exibir as configurações do Gerenciador de Rede Virtual do Azure em Gerenciador de Rede para uma rede virtual. As configurações mostram as configurações de conectividade e segurança de administrador que são aplicadas. Para obter mais informações, consulte Exibir configurações aplicadas pelo Azure Virtual Network Manager.
O que acontece quando todas as zonas estão inativas em uma região com uma instância do Virtual Network Manager?
Se ocorrer uma interrupção regional, todas as configurações aplicadas aos recursos de rede virtual gerenciados atuais permanecerão intactas durante a interrupção. Não é possível criar novas configurações ou modificar configurações existentes durante a interrupção. Depois que a interrupção for resolvida, você poderá continuar a gerenciar seus recursos de rede virtual como antes.
Uma rede virtual gerenciada pelo Gerenciador de Rede Virtual do Azure pode ser emparelhada a uma rede virtual não gerenciada?
Sim. O Azure Virtual Network Manager é totalmente compatível com implantações de topologia hub-and-spoke preexistentes que usam emparelhamento. Você não precisa excluir nenhuma conexão emparelhada existente entre os raios e o hub. A migração ocorre sem qualquer interrupção para a sua rede.
Posso migrar uma topologia hub-and-spoke existente para o Azure Virtual Network Manager?
Sim. A migração de redes virtuais existentes para a topologia hub-and-spoke no Azure Virtual Network Manager é simples. Você pode criar uma configuração de conectividade de topologia hub-and-spoke. Quando você implanta essa configuração, o Virtual Network Manager cria automaticamente os emparelhamentos necessários. Todos os peerings preexistentes permanecem intactos, portanto, não há interrupção.
Como os grupos conectados diferem do emparelhamento de rede virtual no estabelecimento de conectividade entre redes virtuais?
No Azure, emparelhamento de rede virtual e grupos conectados são dois métodos de estabelecer conectividade entre redes virtuais. O emparelhamento de rede virtual funciona criando um mapeamento um-para-um entre redes virtuais, enquanto os grupos conectados usam uma nova construção que estabelece conectividade sem esse mapeamento.
Em um grupo conectado, todas as redes virtuais estão conectadas sem relações de peer individuais. Por exemplo, se três redes virtuais fizerem parte do mesmo grupo conectado, a conectividade será habilitada entre cada rede virtual sem a necessidade de relações de emparelhamento individuais.
Ao gerenciar redes virtuais usando emparelhamento de rede virtual, isso resulta no pagamento de taxas de emparelhamento de rede virtual duas vezes com o Gerenciador de Rede Virtual do Azure?
Não há segunda ou dupla cobrança para peering. O seu gestor de rede virtual respeita todos os emparelhamentos de rede virtual criados anteriormente e migra essas conexões. Todos os recursos de emparelhamento, sejam eles criados dentro ou fora de um gerenciador de rede virtual, incorrem em uma única cobrança de emparelhamento.
Posso criar exceções às regras de administração de segurança?
Normalmente, as regras de administração de segurança são definidas para bloquear o tráfego em redes virtuais. No entanto, há momentos em que certas redes virtuais e seus recursos precisam permitir tráfego para gerenciamento ou outros processos. Para esses cenários, você pode criar exceções quando necessário. Saiba como bloquear portas de alto risco com exceções para esses cenários.
Como posso implantar várias configurações de administrador de segurança em uma região?
Você pode implantar apenas uma configuração de administrador de segurança em uma região. No entanto, várias configurações de conectividade podem existir em uma região se você criar várias coleções de regras em uma configuração de segurança.
As regras de administração de segurança aplicam-se aos pontos de extremidade privados do Azure?
Atualmente, as regras de administração de segurança não se aplicam aos pontos de extremidade privados do Azure que se enquadram no escopo de uma rede virtual gerenciada pelo Gerenciador de Rede Virtual do Azure.
Regras de saída
| Porto | Protocolo | Origem | Destino | Ação |
|---|---|---|---|---|
| 443, 12000 | TCP | VirtualNetwork |
AzureCloud |
Permitir |
| Qualquer | Qualquer | VirtualNetwork |
VirtualNetwork |
Permitir |
Um hub WAN Virtual do Azure pode fazer parte de um grupo de rede?
Não, um hub WAN Virtual do Azure não pode estar em um grupo de rede no momento.
Posso usar uma instância de WAN Virtual do Azure como o hub em uma configuração de topologia hub-and-spoke do Virtual Network Manager?
Não, um hub WAN Virtual do Azure não é suportado como hub em uma topologia hub-and-spoke neste momento.
Minha rede virtual não está recebendo as configurações que eu esperava. Como faço para solucionar problemas?
Use as perguntas a seguir para possíveis soluções.
Você implantou sua configuração na região da rede virtual?
As configurações no Azure Virtual Network Manager não entram em vigor até serem implantadas. Faça uma implantação na região da rede virtual com as configurações apropriadas.
Está a sua rede virtual dentro do âmbito?
A um gestor de rede é delegado apenas acesso suficiente para aplicar configurações a redes virtuais dentro do seu âmbito. Se um recurso estiver no seu grupo de rede, mas fora do escopo, ele não receberá nenhuma configuração.
Você está aplicando regras de segurança a uma rede virtual que contém instâncias gerenciadas?
A Instância Gerenciada SQL do Azure tem alguns requisitos de rede. Esses requisitos são aplicados por meio de políticas de intenção de rede de alta prioridade cuja finalidade entra em conflito com as regras de administração de segurança. Por padrão, a aplicação das regras de administração é ignorada em redes virtuais que contêm quaisquer dessas políticas de intenção. Como as regras Permitir não representam risco de conflito, pode optar por aplicar apenas as regras Permitir Somente definindo AllowRulesOnly em securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Você está aplicando regras de segurança a uma rede virtual ou sub-rede que contém serviços que bloqueiam regras de configuração de segurança?
Alguns serviços requerem requisitos de rede específicos para funcionarem corretamente. Esses serviços incluem a Instância Gerenciada SQL do Azure, o Azure Databricks e o Azure Application Gateway. Por padrão, a aplicação de regras de administração de segurança é ignorada em redes virtuais e sub-redes que contêm qualquer um desses serviços. Como as regras Permitir não representam risco de conflito, você pode optar por aplicar as regras Permitir Somente definindo o campo de AllowRulesOnly configurações de segurança na securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices classe .NET.
Limites
Quais são as limitações de serviço do Azure Virtual Network Manager?
Para obter as informações mais atuais, consulte Limitações com o Azure Virtual Network Manager.
Próximos passos
- Crie uma instância do Azure Virtual Network Manager usando o portal do Azure.