Vanliga frågor och svar om Azure Virtual Network Manager
Allmänt
Viktigt!
Azure Virtual Network Manager är allmänt tillgängligt för Virtual Network Manager, konfigurationer för hub-and-spoke-anslutningar och säkerhetskonfigurationer med säkerhetsadministratörsregler. Mesh-anslutningskonfigurationer finns kvar i den offentliga förhandsversionen.
Den här förhandsversionen tillhandahålls utan serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.
Vilka Azure-regioner stöder Azure Virtual Network Manager?
Information om stöd för aktuell region finns i produkter som är tillgängliga per region.
Kommentar
Alla regioner har Tillgänglighetszoner, utom Frankrike, centrala.
Vilka är vanliga användningsfall för att använda Azure Virtual Network Manager?
Du kan skapa olika nätverksgrupper för att uppfylla säkerhetskraven för din miljö och dess funktioner. Du kan till exempel skapa nätverksgrupper för dina produktions- och testmiljöer för att hantera deras anslutnings- och säkerhetsregler i stor skala. För säkerhetsregler skapar du en säkerhetsadministratörskonfiguration med två säkerhetsadministratörsregelsamlingar, var och en riktad till dina produktions- respektive testnätverksgrupper. När den här konfigurationen har distribuerats skulle den framtvinga en uppsättning säkerhetsregler för nätverksresurser i produktionsmiljön och en uppsättning för testmiljön.
Du kan använda anslutningskonfigurationer för att skapa en nät- eller nav-och-eker-nätverkstopologi för ett stort antal virtuella nätverk i organisationens prenumerationer.
Du kan neka trafik med hög risk: Som administratör för ett företag kan du blockera specifika protokoll eller källor som åsidosätter alla NSG-regler som normalt tillåter trafiken.
Tillåt alltid trafik: Du vill tillåta att en specifik säkerhetsskanner alltid har inkommande anslutning till alla dina resurser, även om det finns NSG-regler som konfigurerats för att neka trafiken.
Vad kostar det att använda Azure Virtual Network Manager?
Avgifter för Azure Virtual Network Manager baseras på antalet prenumerationer som innehåller ett virtuellt nätverk med en aktiv nätverkshanterarens konfiguration distribuerad till den. Dessutom gäller en peeringavgift för virtuellt nätverk för trafikvolymen för virtuella nätverk som hanteras av en distribuerad anslutningskonfiguration (antingen Mesh eller Hub-and-Spoke).
Aktuella priser för din region finns på prissidan för Azure Virtual Network Manager.
Teknisk
Kan ett virtuellt nätverk tillhöra flera Azure Virtual Network Managers?
Ja, ett virtuellt nätverk kan tillhöra mer än en Azure Virtual Network Manager.
Vad är en global nätnätverkstopologi?
Med ett globalt nät kan virtuella nätverk i olika regioner kommunicera med varandra. Effekterna liknar hur global peering för virtuella nätverk fungerar.
Finns det en gräns för hur många nätverksgrupper som kan skapas?
Det finns ingen gräns för hur många nätverksgrupper som kan skapas.
Hur gör jag för att ta bort distributionen av alla tillämpade konfigurationer?
Du måste distribuera en Ingen-konfiguration till alla regioner där du har en konfiguration tillämpad.
Kan jag lägga till virtuella nätverk från en annan prenumeration som inte hanteras av mig själv?
Ja, du måste ha rätt behörighet för att få åtkomst till dessa virtuella nätverk.
Vad är dynamiskt gruppmedlemskap?
Mer information finns i dynamiskt medlemskap.
Hur skiljer sig distributionen av konfigurationen åt för dynamiskt medlemskap och statiskt medlemskap?
Mer information finns i distribution mot medlemskapstyper.
Hur gör jag för att ta bort en Azure Virtual Network Manager-komponent?
Mer information finns i ta bort checklista för komponenter.
Lagrar Azure Virtual Network Manager kunddata?
Nej. Azure Virtual Network Manager lagrar inga kunddata.
Kan en Azure Virtual Network Manager-instans flyttas?
Nej. Resursflytt stöds inte för närvarande. Om du behöver flytta den kan du överväga att ta bort den befintliga instansen av den virtuella nätverkshanteraren och använda ARM-mallen för att skapa en annan på en annan plats.
Hur kan jag se vilka konfigurationer som används för att felsöka?
Du kan visa Azure Virtual Network Manager-inställningar under Nätverkshanteraren för ett virtuellt nätverk. Du kan se både anslutnings- och säkerhetsadministratörskonfigurationen som tillämpas. Mer information finns i Visa tillämpad konfiguration.
Vad händer när alla zoner är nere i en region med en virtuell nätverkshanterareinstans?
Om ett regionalt avbrott inträffar förblir alla konfigurationer som tillämpas på aktuella hanterade virtuella nätverksresurser intakta under driftstoppet. Du kan inte skapa nya konfigurationer eller ändra befintliga konfigurationer under driftstoppet. När avbrottet har lösts kan du fortsätta att hantera dina virtuella nätverksresurser som tidigare.
Kan ett virtuellt nätverk som hanteras av Azure Virtual Network Manager peer-kopplas till ett icke-hanterat virtuellt nätverk?
Ja, Azure Virtual Network Manager är helt kompatibelt med befintliga hubb- och ekertopologidistributioner med peering. Det innebär att du inte behöver ta bort några befintliga peer-kopplade anslutningar mellan ekrarna och hubben. Migreringen sker utan avbrott i nätverket.
Kan jag migrera en befintlig hubb- och ekertopologi till Azure Virtual Network Manager?
Ja, det är enkelt att migrera befintliga virtuella nätverk till AVNM:s nav- och ekertopologi och kräver ingen stilleståndstid. Kunder kan skapa en anslutningskonfiguration för nav- och ekertopologi för den önskade topologin. När distributionen av den här konfigurationen distribueras skapar den virtuella nätverkshanteraren automatiskt de nödvändiga peeringarna. Alla befintliga peerings som har konfigurerats av användare förblir intakta, vilket säkerställer att det inte finns någon stilleståndstid.
Hur skiljer sig anslutna grupper från peering för virtuella nätverk när det gäller att upprätta anslutning mellan virtuella nätverk?
I Azure är peering för virtuella nätverk och anslutna grupper två metoder för att upprätta anslutning mellan virtuella nätverk (VNet). Även om peering för virtuella nätverk fungerar genom att skapa en 1:1-mappning mellan varje peer-kopplat virtuellt nätverk, använder anslutna grupper en ny konstruktion som upprättar en anslutning utan en sådan mappning. I en ansluten grupp är alla virtuella nätverk anslutna utan enskilda peering-relationer. Om till exempel VNetA, VNetB och VNetC ingår i samma anslutna grupp aktiveras anslutningen mellan varje virtuellt nätverk utan behov av enskilda peering-relationer.
Kan jag skapa undantag till säkerhetsadministratörsregler?
Normalt definieras säkerhetsadministratörsregler för att blockera trafik över virtuella nätverk. Det finns dock tillfällen då vissa virtuella nätverk och deras resurser behöver tillåta trafik för hantering eller andra processer. I dessa scenarier kan du skapa undantag där det behövs. Lär dig hur du blockerar högriskportar med undantag för dessa typer av scenarier.
Hur kan jag distribuera flera säkerhetsadministratörskonfigurationer till en region?
Endast en säkerhetsadministratörskonfiguration kan distribueras till en region. Det kan dock finnas flera anslutningskonfigurationer i en region. Om du vill distribuera flera säkerhetsadministratörskonfigurationer till en region kan du skapa flera regelsamlingar i en säkerhetskonfiguration i stället.
Gäller regler för säkerhetsadministratörer för privata Azure-slutpunkter?
För närvarande gäller inte säkerhetsadministratörsregler för privata Azure-slutpunkter som omfattas av omfånget för ett virtuellt nätverk som hanteras av Azure Virtual Network Manager.
Regler för utgående trafik
| Port | Protokoll | Källa | Mål | Action |
|---|---|---|---|---|
| 443, 12000 | TCP | VirtualNetwork | AzureCloud | Tillåt |
| Valfri | Valfri | VirtualNetwork | VirtualNetwork | Tillåt |
Kan en Azure Virtual WAN-hubb ingå i en nätverksgrupp?
Nej, en Azure Virtual WAN-hubb kan inte finnas i en nätverksgrupp just nu.
Kan ett Azure Virtual WAN användas som hubb i den virtuella nätverkshanterarens hubb- och ekertopologikonfiguration?
Nej, en Azure Virtual WAN-hubb stöds inte som hubb i en nav- och ekertopologi just nu.
Mitt virtuella nätverk får inte de konfigurationer som jag förväntar mig. Hur gör jag för att felsöka?
Har du distribuerat konfigurationen till det virtuella nätverkets region?
Konfigurationer i Azure Virtual Network Manager börjar inte gälla förrän de har distribuerats. Gör en distribution till regionen för virtuella nätverk med lämpliga konfigurationer.
Finns ditt virtuella nätverk i omfånget?
En nätverkshanterare delegeras bara tillräckligt med åtkomst för att tillämpa konfigurationer på virtuella nätverk inom ditt omfång. Även om en resurs finns i din nätverksgrupp men ligger utanför omfånget får den inga konfigurationer.
Tillämpar du säkerhetsregler på ett virtuellt nätverk som innehåller Azure SQL Managed Instances?
Azure SQL Managed Instance har vissa nätverkskrav. Dessa tillämpas via principer för högprioriterad nätverks avsikt, vars syfte står i konflikt med säkerhetsadministratörsregler. Som standard hoppas administratörsregelprogrammet över på virtuella nätverk som innehåller någon av dessa avsiktsprinciper. Eftersom Tillåt regler inte utgör någon risk för konflikt kan du välja att tillämpa regler för endast tillåtna. Om du bara vill använda Tillåt regler kan du ange AllowRulesOnly på securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Tillämpar du säkerhetsregler på ett virtuellt nätverk eller undernät som innehåller tjänster som blockerar säkerhetskonfigurationsregler?
Vissa tjänster som Azure SQL Managed Instance, Azure Databricks och Azure Application Gateway kräver specifika nätverkskrav för att fungera korrekt. Som standard hoppas säkerhetsadministratörsregelprogrammet över på virtuella nätverk och undernät som innehåller någon av dessa tjänster. Eftersom Tillåt regler inte utgör någon risk för konflikt kan du välja att tillämpa regler för endast tillåtna genom att ange fältet för säkerhetskonfigurationer AllowRulesOnlyi securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET-klassen.
Gränser
Vilka är tjänstbegränsningarna i Azure Virtual Network Manager?
De senaste begränsningarna finns i Begränsningar med Azure Virtual Network Manager.
Nästa steg
Skapa en Azure Virtual Network Manager-instans med hjälp av Azure-portalen.