你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
了解和使用 Azure Virtual Network Manager 范围
本文介绍了范围如何支持管理组或订阅使用 Azure Virtual Network Manager 的某些功能。 此外,还将了解层次结构的概念以及它如何影响 Azure Virtual Network Manager 用户。
虚拟网络管理器资源
Azure Virtual Network Manager 实例包含以下资源:
网络组:网络组是一个逻辑容器,可在其中为网络应用配置策略。
配置:Azure Virtual Network Manager 提供两种类型的配置:
- 使用连接配置创建网络拓扑。
- 使用安全配置创建可在虚拟网络中应用的规则集合。
规则:可以设置网络安全规则,以在全局级别允许或拒绝虚拟网络的网络流量。
范围
Azure Virtual Network Manager 中的范围表示授予用于管理资源的访问级别。 范围的值可以是管理组级别的,也可以是订阅级别的。 要了解如何管理资源层次结构,请参阅 Azure 管理组。 选择管理组作为范围时,所有子资源都将包括在该范围内。
注意
不能创建多个具有重叠范围的相同层次结构和相同功能的 Azure 虚拟网络管理器实例。
在管理组级别指定范围时,需要在部署虚拟网络管理器之前在管理组范围注册 Azure 虚拟网络提供程序。 此过程是在 Azure 门户中创建虚拟网络管理器实例的一部分,但不包含在 Azure CLI 和 Azure PowerShell 等编程方法中。 详细了解如何在管理组范围注册提供程序。
范围适用性
部署配置时,虚拟网络管理器实例仅将功能应用于其范围内的资源。 如果尝试将资源添加到范围外的网络组,则该资源将按你的意向添加到该组。 但虚拟网络管理器实例不会对配置应用更改。
可以更新虚拟网络管理器实例的范围。 更新会触发自动的范围内重新评估,并可能通过范围添加来添加功能,或通过范围移除来移除功能。
跨租户范围
虚拟网络管理器实例的范围可以跨越租户,尽管需要单独的审批流才能建立此范围。
首先,使用范围连接资源从虚拟网络管理器实例中为所需范围添加意向。 其次,使用网络管理器连接资源从范围(订阅或管理组)添加虚拟网络管理器实例管理意向。 这些资源包含一种状态,用于表示是否已将关联的范围添加到虚拟网络管理器实例的范围。
功能
功能是允许 Azure Virtual Network Manager 管理的范围访问权限。 Azure Virtual Network Manager 目前有两个功能范围,即 Connectivity 和 SecurityAdmin。可以在同一个Virtual Network Manager 实例上启用这两个功能范围。
层次结构
使用 Azure Virtual Network Manager 可以按层次结构对网络资源进行管理。 层次结构意味着,你可以支持多个虚拟网络管理器实例管理重叠的范围,并且每个虚拟网络管理器中的配置也可以彼此覆盖。
例如,你可以将该顶级管理组作为一个虚拟网络管理器实例的范围,并将一个子管理组作为另一个虚拟网络管理器实例的范围。 在包含相同资源的虚拟网络管理器实例之间发生配置冲突时,具有更高范围的虚拟网络管理器实例的配置将是要应用的配置。