你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
了解和使用 Azure Virtual Network Manager(预览版)范围
在本文中,你将了解 Azure Virtual Network Manager 如何使用“范围”的概念来让管理组或订阅能够使用 Virtual Network Manager 的某些功能。 此外,你还将了解“层次结构”,以及在使用 Virtual Network Manager 时层次结构如何影响你的用户。
重要
Azure Virtual Network Manager 现已正式发布,可用于中心辐射型连接配置以及具有安全管理员规则的安全配置。 网格连接配置仍以公共预览版提供。
此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款。
网络管理器
Network Manager 是由子资源(如网络组、配置和规则)组成的顶级对象。
网络组 - 特定连接或安全管理策略可应用到的整个范围的子集。
配置 - Azure Virtual Network Manager 提供两种类型的配置:连接配置和安全配置。 使用连接配置可以创建网络拓扑,而使用安全配置可以创建可跨虚拟网络应用的规则集合。
规则 - 规则集合是一组网络安全规则,这些规则可以为虚拟网络在全局级别允许或拒绝网络流量。
范围
Azure Virtual Network Manager 中的范围表示授予网络管理器(在其中,可向范围内的资源应用功能)的委托访问权限。 如果指定范围,就会限制网络管理器可用于管理资源的访问权限。 范围的值可以是管理组级别的,也可以是订阅级别的。 请参阅 Azure 管理组,了解如何管理资源层次结构。 选择管理组作为范围时,所有子资源都将包括在该范围内。
注意
不能创建多个具有重叠范围的相同层次结构和相同功能的 Azure 虚拟网络管理器实例。 在管理组级别指定范围时,需要在部署虚拟网络管理器之前在管理组范围内注册 Azure 虚拟网络提供程序。 此过程是在 Azure 门户中创建虚拟网络管理器的一部分,但不包含在 Azure CLI 和 Azure PowerShell 等编程方法中。 详细了解如何在管理组范围注册提供程序。
范围适用性
部署配置时,Network Manager 只会将功能应用于其范围内的资源。 如果尝试将资源添加到范围外的网络组,则该资源按你的意向被添加到该组。 但 Network Manager 不会将更改应用于配置。
可以更新 Network Manager 的范围,添加或删除其列表中的范围。 更新会触发自动的、范围广泛的重新评估,并可能通过添加范围来添加功能,或通过删除范围来删除功能。
跨租户范围
Network Manager 的范围可以跨租户,但需要单独的审批流才能建立此范围。 首先,必须通过“范围连接”资源从 Network Manager 内部添加所需范围的意向。 其次,必须通过“Network Manager 连接”资源从范围(订阅/管理组)添加 Network Manager 的管理意向。 这些资源包含一个状态,用于表示是否已将关联的范围添加到 Network Manager 范围。
功能
功能是允许 Azure Virtual Network Manager 管理的范围访问权限。 Azure Virtual Network Manager 目前有两个功能范围,即 Connectivity 和 SecurityAdmin。 可以在同一个Virtual Network Manager 实例上启用这两个功能范围。 有关每项功能的详细信息,请参阅 Connectivity 和 SecurityAdmin。
层次结构
使用 Azure Virtual Network Manager 可以按层次结构对网络资源进行管理。 层次结构意味着,你可以让多个 Virtual Network Manager 实例管理重叠的范围,并且每个 Virtual Network Manager 中的配置也可以彼此重叠。 例如,你可以有针对一个 Virtual Network Manager 的顶级管理组,并且可以将子管理组作为另一个 Virtual Network Manager 的范围。 如果在包含相同资源的不同虚拟网络管理器实例之间发生配置冲突, 具有更高范围的 Virtual Network Manager 中的配置将会被应用。