Azure 虛擬網絡 Manager 常見問題

一般

重要

Azure 虛擬網絡 Manager 通常適用於 虛擬網絡 管理員和中樞和輪輻連線設定。 網格聯機設定仍為公開預覽狀態。

具有安全性系統管理員規則的安全性設定已正式推出於下列區域中:

  • 澳大利亞東部
  • 澳大利亞東南部
  • 巴西南部
  • 巴西東南部
  • 東亞
  • 北歐
  • 法國南部
  • 德國中西部
  • 印度中部
  • 印度南部
  • 印度西部
  • 以色列中部
  • 義大利北部
  • 日本東部
  • Jio 印度西部
  • 南韓中部
  • 挪威東部
  • 挪威西部
  • 波蘭中部
  • 卡達中部
  • 南非北部
  • 南非西部
  • 瑞典中部
  • 瑞典南部
  • 瑞士北部
  • 阿拉伯聯合大公國北部
  • 美國東部
  • 美國北部
  • 美國中西部

所有其他區域仍為公開預覽狀態。

此預覽版本是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。 可能不支援特定功能,或可能已經限制功能。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款

哪些 Azure 區域支援 Azure 虛擬網絡 Manager?

如需目前的區域支援,請參閱 依區域提供的產品。

注意

除了法國中部以外,所有地區都有 可用性區域

使用 Azure 虛擬網絡 Manager 的常見使用案例為何?

  • 您可以建立不同的網路群組,以符合環境及其功能的安全性需求。 例如,您可以為生產與測試環境建立網路群組,以大規模管理其連線和安全性規則。 針對安全性規則,您會使用兩個安全性系統管理員規則集合來建立安全性系統管理員設定,每個集合分別以生產與測試網路群組為目標。 部署之後,此組態會針對生產環境中的網路資源強制執行一組安全性規則,並針對測試環境強制執行一組安全性規則。

  • 您可以套用聯機設定,為組織訂用帳戶中的大量虛擬網路建立網格或中樞輪輻網路拓撲。

  • 您可以拒絕高風險流量:身為企業的系統管理員,您可以封鎖覆寫通常允許流量之任何 NSG 規則的特定通訊協定或來源。

  • 一律允許流量:即使已設定 NSG 規則來拒絕流量,您想要允許特定安全性掃描器一律具有所有資源的輸入連線。

使用 Azure 虛擬網絡 Manager 的成本為何?

Azure 虛擬網絡 Manager 費用是以包含虛擬網路的訂用帳戶數目為基礎,其中已部署作用中網路管理員組態。 此外,虛擬網絡 對等互連費用適用於部署連線設定所管理的虛擬網路流量量(Mesh 或 Hub-and-Spoke)。

您可以在 Azure 虛擬網絡 Manager 定價頁面上找到您區域的目前定價

技術

虛擬網路是否屬於多個 Azure 虛擬網絡 管理員?

是,虛擬網路可以屬於多個 Azure 虛擬網絡 Manager。

什麼是全域網狀網路拓撲?

全域網狀結構可讓不同區域的虛擬網路彼此通訊。 效果類似於全域虛擬網路對等互連的運作方式。

可以建立多少個網路群組的限制嗎?

無法建立多少個網路群組。

如何? 移除所有已套用組態的部署?

您必須將 None 組態部署到已套用設定的所有區域。

我可以從另一個未由自己管理的訂用帳戶新增虛擬網路嗎?

是,您必須具備適當的許可權才能存取這些虛擬網路。

什麼是動態群組成員資格?

如需詳細資訊,請參閱 動態成員資格

動態成員資格和靜態成員資格的設定部署有何不同?

如需詳細資訊,請參閱 針對成員資格類型進行部署。

如何? 刪除 Azure 虛擬網絡 Manager 元件嗎?

如需詳細資訊,請參閱 移除元件檢查清單

Azure 虛擬網絡 管理員會儲存客戶資料嗎?

否。 Azure 虛擬網絡 管理員不會儲存任何客戶數據。

是否可以移動 Azure 虛擬網絡 Manager 實例?

否。 目前不支援資源移動。 如果您需要移動它,您可以考慮刪除現有的虛擬網路管理員實例,並使用ARM樣本在另一個位置建立另一個。

如何查看套用哪些設定來協助我進行疑難解答?

您可以在虛擬網路的網路管理員底下檢視 Azure 虛擬網絡 Manager 設定。 您可以看到已套用的連線和安全性系統管理員設定。 如需詳細資訊,請參閱 檢視套用的組態

當具有虛擬網路管理員實例的區域中的所有區域關閉時,會發生什麼事?

如果發生區域性中斷,套用至目前受控虛擬網路資源的所有設定都會在中斷期間保持不變。 您無法在中斷期間建立新的組態或修改現有的組態。 一旦中斷問題解決,您可以繼續像以前一樣管理虛擬網路資源。

Azure 虛擬網絡 管理員所管理的虛擬網路是否可以對等互連至非受控虛擬網路?

是,Azure 虛擬網絡 管理員與使用對等互連預先存在的中樞和輪輻拓撲部署完全相容。 這表示您不需要刪除輪輻與中樞之間的任何現有對等互連連線。 移轉會在您的網路沒有任何停機時間的情況下進行。

我可以將現有的中樞和輪輻拓撲移轉至 Azure 虛擬網絡 Manager 嗎?

是,將現有的 VNet 遷移至 AVNM 的中樞和輪輻拓撲相當簡單,而且不需要停時。 客戶可以 建立所需拓撲的中樞和輪輻拓撲 聯機設定。 部署此組態時,虛擬網路管理員會自動建立必要的對等互連。 用戶設定的任何預先存在的對等互連都會保持不變,以確保不會停機。

關於建立虛擬網路之間的連線能力,連線群組與虛擬網路對等互連有何不同?

在 Azure 中,虛擬網路對等互連和連線群組是建立虛擬網路 (VNet) 之間連線的兩種方法。 雖然虛擬網路對等互連的運作方式是在每個對等互連虛擬網路之間建立 1:1 對應,但聯機群組會使用新的建構來建立連線,而不需要這類對應。 在連線的群組中,所有虛擬網路都會連線,而不需要個別的對等互連關聯性。 例如,如果 VNetA、VNetB 和 VNetC 是相同連線群組的一部分,則會在每個虛擬網路之間啟用連線,而不需要個別對等互連關聯性。

我可以建立安全性系統管理員規則的例外狀況嗎?

通常,系統會定義安全性系統管理員規則來封鎖虛擬網路之間的流量。 不過,有時候某些虛擬網路及其資源需要允許管理或其他進程的流量。 在這些案例中,您可以 視需要建立例外狀況 。 瞭解如何 針對這些類型的案例封鎖高風險埠,但有例外 狀況。

如何將多個安全性系統管理員設定部署到區域?

只有一個安全性系統管理員設定可以部署到區域。 不過,區域中可以有多個連線設定。 若要將多個安全性系統管理員設定部署至區域,您可以 改為在安全性設定中建立多個規則集合

安全性管理員規則是否適用於 Azure 私人端點?

目前,安全性系統管理員規則不適用於屬於 Azure 虛擬網絡 Manager 所管理虛擬網路範圍的 Azure 私人端點。

輸出規則

連接埠 通訊協定 來源 Destination 動作
443、12000 TCP VirtualNetwork AzureCloud 允許
任意 任意 VirtualNetwork VirtualNetwork Allow

Azure 虛擬 WAN 中樞可以屬於網路群組嗎?

否,Azure 虛擬 WAN 中樞目前不能位於網路群組中。

Azure 虛擬 WAN 是否可以作為虛擬網路管理員中樞和輪輻拓撲組態中的中樞?

否,目前不支援 Azure 虛擬 WAN 中樞作為中樞和輪輻拓撲中的中樞。

我的 虛擬網絡 未取得我預期的設定。 如何? 疑難解答?

您是否已將設定部署至虛擬網路的區域?

Azure 虛擬網絡 管理員中的設定在部署之前不會生效。 使用適當的設定,將部署至虛擬網路區域。

您的虛擬網路是否在範圍內?

網路管理員只會委派足夠的存取權,以將組態套用至您範圍內的虛擬網路。 即使資源位於您的網路群組中,但範圍不足,也不會收到任何設定。

您是否將安全性規則套用至包含 Azure SQL 受控執行個體 的虛擬網路?

Azure SQL 受控執行個體 有一些網路需求。 這些原則是透過高優先順序的網路意圖原則強制執行,其用途與安全性 管理員 規則衝突。 根據預設,管理員 規則應用程式在包含這些意圖原則的任何 VNet 上略過。 由於 [允許 規則] 不會造成衝突的風險,因此您可以選擇套用 [僅限 允許] 規則。 如果您只想要使用 Allow 規則,您可以在 上 securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices設定 AllowRulesOnly。

您是否將安全性規則套用至包含封鎖安全性設定規則之服務的虛擬網路或子網?

某些服務,例如 Azure SQL 受控執行個體、Azure Databricks 和 Azure 應用程式閘道 需要特定的網路需求才能正常運作。 根據預設,安全性管理規則應用程式會略過 VNet 和包含任何這些服務的子網。 由於 [允許規則] 不會造成衝突的風險,因此您可以在 .NET 類別上securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices設定安全性設定的AllowRulesOnly欄位,選擇套用 [僅允許規則]。

限制

Azure 虛擬網絡 Manager 的服務限制為何?

  • 線上的群組最多可以有 250 個虛擬網路。 網格拓撲中的虛擬網路位於連線的群組中,因此網格組態的限制為250個虛擬網路。

  • 只要對等互連至中樞 的虛擬網路總數不超過 500 個虛擬網路,就可以在相同中樞和輪輻設定中啟用或未啟用直接連線的網路群組。

    • 如果與中樞對等互連的網路群組已啟用直接連線,這些虛擬網路會位於連線的群組,因此網路群組的限制為250個虛擬網路。
    • 如果與中樞 對等互連的網路群組未啟用直接連線,網路群組最多可以有中樞和輪輻拓撲的總限制。
  • 虛擬網路最多可是兩個連線群組的一部分。

    範例:

    • 虛擬網路可以是兩個網格組態的一部分。
    • 虛擬網路可以是網狀拓撲的一部分,以及已在中樞和輪輻拓撲中啟用直接連線的網路群組。
    • 虛擬網路可以是兩個網路群組的一部分,且直接連線能力是在相同或不同的中樞和輪輻設定中啟用。
  • 您可以在相同的連線群組中具有重疊IP空間的虛擬網路。 不過,會卸除與重疊 IP 位址的通訊。

  • 合併的所有系統管理規則中 IP 前置數目上限為 1000。

  • Azure 虛擬網絡 管理員一個層級中的管理員規則數目上限為 100。

  • Azure 虛擬網絡 管理員在公開預覽版中沒有跨租用戶支援。

  • 超過 15,000 個 Azure 訂用帳戶的客戶只能在訂用帳戶和資源群組範圍套用 Azure 虛擬網絡 原則。 無法套用管理群組超過 15 k 個訂用帳戶限制。

    • 如果這是您的案例,您必須在低於 15,000 個訂用帳戶的較低層級管理群組範圍建立指派。
  • 當 Azure 虛擬網絡 Manager 自訂原則enforcementMode元素設定Disabled為 時,無法將虛擬網路新增至網路群組。

  • Azure 虛擬網絡 Manager 原則不支援標準原則合規性評估週期。 如需詳細資訊,請參閱 評估觸發程式

  • 線上群組目前的預覽有一項限制,如果連線群組上已啟用 NSG,則來自已連線群組的流量無法與此連線群組中的私人端點通訊。 不過,此功能正式推出之後,將會移除這項限制。

下一步

使用 Azure 入口網站 建立 Azure 虛擬網絡 Manager 實例。