Azure 虛擬網絡 Manager 中的跨租用戶支援
在本文中,您將瞭解 Azure 虛擬網絡 Manager 中的跨租用戶支援。 跨租用戶支援可讓組織使用中央網路管理員實例來管理不同租用戶和訂用帳戶之間的虛擬網路。
跨租用戶概觀
Azure 虛擬網絡 Manager 中的跨租用戶支援可讓您將訂用帳戶或管理群組從其他租使用者新增至網路管理員。 這是藉由建立網路管理員與目標租用戶之間的雙向連線來完成。 線上之後,中央管理員可以將連線和/或安全性系統管理員規則部署到這些連線的訂用帳戶或管理群組之間的虛擬網路。 此支援可協助符合下列案例的組織:
下載 – 在組織透過取得合併並擁有多個租用戶的情況下,跨租用戶支援可讓中央網路管理員跨租使用者管理虛擬網路。
受控服務提供者 – 在受控服務提供者案例中,組織可以管理其他組織的資源。 跨租用戶支援允許由多個用戶端的中央服務提供者集中管理虛擬網路。
跨租用戶連線
建立跨租用戶支援從建立兩個租用戶之間的跨租用戶連線開始。 跨租用戶支援需要雙向同意-一個來自網路管理員,另一個來自目標租使用者的虛擬網路管理員中樞。 線上如下所示:
- 網路管理員連線 - 您可以從網路管理員建立跨租用戶連線。 線上包含租使用者訂用帳戶或管理群組的確切範圍,以在網路管理員中管理。
- 虛擬網路管理員中樞連線 - 租使用者會從其虛擬網路管理員中樞建立跨租用戶連線。 此連線包含中央網路管理員所要管理的訂用帳戶或管理群組範圍。
一旦跨租用戶連線存在且範圍完全相同,就會建立真正的連線。 系統管理員可以使用其網路管理員,將跨租用戶資源新增至其 網路群組 ,以及管理聯機範圍中包含的虛擬網路。 現有的連線和/或安全性系統管理員規則會根據現有的組態套用至資源。
只有來自每一方的物件存在時,才能建立和維護跨租用戶連線。 拿掉其中一個連線時,會中斷跨租用戶連線。 如果您需要刪除跨租用戶連線,請執行下列動作:
- 透過 Azure 入口網站 中的跨租用戶連線設定,從網路管理員端移除跨租用戶連線。
- 透過虛擬網路管理員中樞在 Azure 入口網站 中的跨租用戶連線設定,從租使用者端移除跨租用戶連線。
注意
一旦從任一端移除連線,網路管理員將無法再檢視或管理該先前連線範圍下的租用戶資源。
連線狀態
建立跨租用戶連線所需的資源包含狀態,代表是否已將相關聯的範圍新增至網路管理員範圍。 可能的狀態值包括:
- 已連線:範圍連線和網路管理員連接資源都存在。 範圍已新增至網路管理員的範圍。
- 擱置中:尚未建立兩個核准資源的其中一個。 範圍尚未新增至網路管理員的範圍。
- 衝突:此訂用帳戶或管理群組已在其範圍內定義網路管理員。 具有相同範圍存取權的兩個網路管理員無法直接管理相同的範圍,因此無法將此訂用帳戶/管理群組新增至網路管理員範圍。 若要解決衝突,請從衝突的網路管理員範圍中移除範圍,然後重新建立聯機資源。
- 撤銷:範圍一次新增至網路管理員範圍,但移除核准資源會導致撤銷。
代表範圍的唯一狀態已新增至網路管理員範圍是「已連線」。
所需的權限
若要在 Azure 虛擬網絡 Manager 中使用跨租用戶連線,使用者需要下列許可權:
中央管理租用戶的系統管理員在目標受控租使用者中有來賓帳戶。
系統管理員來賓帳戶具有 在適當範圍層級套用的網路參與者 許可權(管理群組、訂用帳戶或虛擬網路)。
需要設定許可權的協助嗎? 瞭解如何在 Azure 入口網站 中新增來賓使用者,以及如何將使用者角色指派給 Azure 入口網站 中的資源
已知的限制
目前,跨租使用者虛擬網路只能 手動新增至網路群組。 透過 Azure 原則 動態將跨租使用者虛擬網路新增至網路群組是未來的功能。