共用方式為

Azure 虛擬網絡 管理員常見問題

  • 發行項

本文會回答 Azure 虛擬網絡 Manager 的常見問題。

一般

哪些 Azure 區域支援 Azure 虛擬網絡 管理員?

如需區域支援的最新資訊,請參閱 依區域提供的產品。

注意

所有區域都有 可用性區域,但法國中部除外。

Azure 虛擬網絡 Manager 的常見使用案例為何?

  • 您可以建立網路群組,以符合環境及其功能的安全性需求。 例如,您可以為生產與測試環境建立網路群組,以大規模管理其連線和安全性規則。

    針對安全性規則,您可以使用兩個集合來建立安全性系統管理員設定。 每個集合分別以生產環境與測試網路群組為目標。 部署之後,此組態會對生產環境的網路資源強制執行一組安全性規則,併為測試環境強制執行一組安全性規則。

  • 您可以套用聯機設定,為組織訂用帳戶中的大量虛擬網路建立網格或中樞輪輻網路拓撲。

  • 您可以拒絕高風險流量。 身為企業的系統管理員,您可以封鎖覆寫通常會允許流量之任何網路安全組 (NSG) 規則的特定通訊協定或來源。

  • 您一律可以允許流量。 例如,即使 NSG 規則已設定為拒絕流量,您可能允許特定安全性掃描器一律具有所有資源的輸入連線。

使用 Azure 虛擬網絡 Manager 的成本為何?

Azure 虛擬網絡 Manager 費用是以包含虛擬網路的訂用帳戶數目為基礎,而虛擬網路上已部署作用中 虛擬網絡 管理員組態。 此外,對等互連的費用適用於受部署聯機組態管理之虛擬網路的流量量(網格或中樞和輪輻)。

您可以在 Azure 虛擬網絡 Manager 定價頁面上找到您區域的目前定價

如何? 部署 Azure 虛擬網絡 Manager?

您可以透過各種工具部署和管理 Azure 虛擬網絡 Manager 實例和組態,包括:

技術

虛擬網路是否屬於多個 Azure 虛擬網絡 Manager 實例?

是,虛擬網路可以屬於多個 Azure 虛擬網絡 Manager 實例。

什麼是全域網狀網路拓撲?

全域網狀結構可讓跨區域的虛擬網路彼此通訊。 效果類似於全域虛擬網路對等互連的運作方式。

我可以建立多少個網路群組的限制嗎?

您可以建立的網路群組數量沒有限制。

如何? 移除所有已套用組態的部署?

您必須將 None 組態部署到已套用設定的所有區域。

我可以從另一個未管理的訂用帳戶新增虛擬網路嗎?

是,如果您有適當的許可權可存取這些虛擬網路。

什麼是動態群組成員資格?

請參閱 動態成員資格

動態成員資格和靜態成員資格的設定部署有何不同?

請參閱 Azure 虛擬網絡 Manager 中的設定部署。

如何? 刪除 Azure 虛擬網絡 Manager 元件嗎?

請參閱移除和更新 Azure 虛擬網絡 Manager 元件檢查清單

Azure 虛擬網絡 管理員會儲存客戶資料嗎?

否。 Azure 虛擬網絡 Manager 不會儲存任何客戶數據。

是否可以移動 Azure 虛擬網絡 Manager 實例?

否。 Azure 虛擬網絡 Manager 目前不支援該功能。 如果您需要移動實例,可以考慮將其刪除,並使用 Azure Resource Manager 範本在另一個位置建立另一個實例。

如何查看套用哪些設定來協助我進行疑難解答?

您可以在虛擬網路的網路管理員底下檢視 Azure 虛擬網絡 Manager 設定。 這些設定會顯示已套用的連線和安全性系統管理員設定。 如需詳細資訊,請參閱檢視 Azure 虛擬網絡 Manager 所套用的組態。

當具有 虛擬網絡 Manager 實例的區域中的所有區域關閉時,會發生什麼事?

如果發生區域性中斷,則套用至目前受控虛擬網路資源的所有設定都會在中斷期間保持不變。 您無法在中斷期間建立新的組態或修改現有的組態。 中斷解決之後,您可以繼續像以前一樣管理虛擬網路資源。

Azure 虛擬網絡 管理員所管理的虛擬網路是否可以與非受控虛擬網路對等互連?

是。 Azure 虛擬網絡 Manager 與使用對等互連的現有中樞和輪輻拓撲部署完全相容。 您不需要刪除輪輻與中樞之間的任何現有對等互連連線。 移轉會在您的網路沒有任何停機時間的情況下進行。

我可以將現有的中樞和輪輻拓撲移轉至 Azure 虛擬網絡 Manager 嗎?

是。 將現有的虛擬網路移轉至 Azure 虛擬網絡 Manager 中的中樞和輪輻拓撲很簡單。 您可以 建立中樞和輪輻拓撲聯機設定。 當您部署此設定時,虛擬網絡 Manager 會自動建立必要的對等互連。 任何預先存在的對等互連都會保持不變,因此不會停機。

線上的群組與虛擬網路對等互連在建立虛擬網路之間的連線有何不同?

在 Azure 中,虛擬網路對等互連和連線群組是建立虛擬網路之間連線的兩種方法。 對等互連的運作方式是建立虛擬網路之間的一對一對應,而聯機的群組則使用新的建構來建立沒有這類對應的連線。

在連線的群組中,所有虛擬網路都會連線,而不需要個別的對等互連關聯性。 例如,如果三個虛擬網路是相同連線群組的一部分,則會在每個虛擬網路之間啟用連線,而不需要個別對等互連關聯性。

我可以建立安全性系統管理員規則的例外狀況嗎?

通常,系統會定義安全性系統管理員規則來封鎖虛擬網路之間的流量。 不過,有時候某些虛擬網路及其資源需要允許管理或其他進程的流量。 在這些案例中,您可以 視需要建立例外狀況瞭解如何封鎖有例外狀況的 高風險埠。

如何將多個安全性系統管理員設定部署到區域?

您只能將一個安全性系統管理員設定部署到區域。 不過,如果您在 安全性設定中建立多個規則集合 ,則區域中可以有多個連線設定。

安全性系統管理員規則是否適用於 Azure 私人端點?

目前,安全性系統管理員規則不適用於屬於 Azure 虛擬網絡 Manager 所管理虛擬網路範圍的 Azure 私人端點。

輸出規則

連接埠 通訊協定 來源 Destination 動作
443、12000 TCP VirtualNetwork AzureCloud 允許
任意 任意 VirtualNetwork VirtualNetwork 允許

Azure 虛擬 WAN 中樞可以屬於網路群組嗎?

否,Azure 虛擬 WAN 中樞目前不能位於網路群組中。

我可以在 虛擬網絡 管理員中樞和輪輻拓撲組態中使用 Azure 虛擬 WAN 實例作為中樞嗎?

否,目前不支援 Azure 虛擬 WAN 中樞作為中樞和輪輻拓撲中的中樞。

我的虛擬網路未取得我預期的設定。 如何? 疑難解答?

針對可能的解決方案,請使用下列問題。

您是否已將設定部署至虛擬網路的區域?

Azure 虛擬網絡 Manager 中的設定在部署之前不會生效。 使用適當的設定,將部署至虛擬網路的區域。

您的虛擬網路是否在範圍內?

網路管理員只會委派足夠的存取權,以將組態套用至您範圍內的虛擬網路。 如果資源位於您的網路群組中,但範圍不足,則不會收到任何設定。

您是否將安全性規則套用至包含受控實例的虛擬網路?

Azure SQL 受控執行個體 有一些網路需求。 這些需求是透過高優先順序的網路意圖原則強制執行,其用途與安全性系統管理員規則發生衝突。 根據預設,系統管理規則應用程式會略過包含這些意圖原則的任何虛擬網路。 因為 [允許規則] 不會造成衝突的風險,因此您可以選擇在 上securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices設定 AllowRulesOnly ,以套用 [僅限允許規則]。

您是否將安全性規則套用至包含封鎖安全性設定規則之服務的虛擬網路或子網?

某些服務需要特定的網路需求才能正常運作。 這些服務包括 Azure SQL 受控執行個體、Azure Databricks 和 Azure 應用程式閘道。 根據預設,在包含這些服務之虛擬網路和子網上,會略過安全性系統管理員規則的應用程式。 因為 [允許規則] 不會造成衝突的風險,因此您可以選擇在 .NET 類別上securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices設定安全性設定的AllowRulesOnly欄位來套用 [僅允許規則]。

限制

Azure 虛擬網絡 Manager 的服務限制為何?

如需最新的資訊,請參閱 Azure 虛擬網絡 Manager 的限制。

下一步