Nejčastější dotazy ke službě Azure Virtual Network Manager
OBECNÉ
Důležité
Azure Virtual Network Manager je obecně dostupný pro konfigurace připojení hvězdicové architektury a konfigurace zabezpečení s pravidly správce zabezpečení. Konfigurace připojení sítě zůstávají ve verzi Public Preview.
Tato verze Preview se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro úlohy v produkčním prostředí. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.
Které oblasti Azure podporují Azure Virtual Network Manager?
Aktuální podporu oblastí najdete v produktech dostupných v jednotlivých oblastech.
Poznámka:
Všechny oblasti mají Zóny dostupnosti kromě Francie – střed.
Jaké jsou běžné případy použití azure Virtual Network Manageru?
Můžete vytvořit různé skupiny sítí, které splňují požadavky na zabezpečení vašeho prostředí a jeho funkcí. Můžete například vytvořit skupiny sítí pro produkční a testovací prostředí pro správu jejich připojení a pravidel zabezpečení ve velkém měřítku. V případě pravidel zabezpečení byste vytvořili konfiguraci správce zabezpečení se dvěma kolekcemi pravidel správce zabezpečení, které jsou zaměřené na skupiny produkčních a testovacích sítí. Po nasazení by tato konfigurace vynucovala jednu sadu pravidel zabezpečení pro síťové prostředky v produkčním prostředí a jednu sadu pro testovací prostředí.
Konfigurace připojení můžete použít k vytvoření sítě nebo hvězdicové síťové topologie pro velký počet virtuálních sítí napříč předplatnými vaší organizace.
Můžete zakázat vysoce rizikový provoz: Jako správce podniku můžete blokovat konkrétní protokoly nebo zdroje, které přepíší všechna pravidla NSG, která by normálně umožňovala provoz.
Vždy povolit provoz: Chcete povolit konkrétní kontrolu zabezpečení, aby vždy měla příchozí připojení ke všem vašim prostředkům, i když existují pravidla NSG nakonfigurovaná tak, aby provoz odepíral.
Jaké jsou náklady na používání Azure Virtual Network Manageru?
Poplatky za Azure Virtual Network Manager jsou založené na počtu předplatných, která obsahují virtuální síť s aktivní konfigurací správce sítě nasazenou na ni. Poplatky za partnerský vztah virtuálních sítí se také vztahují na objem provozu virtuálních sítí spravovaných nasazenou konfigurací připojení (Mesh nebo Hub-and-Spoke).
Aktuální ceny pro vaši oblast najdete na stránce s cenami služby Azure Virtual Network Manager.
Technické
Může virtuální síť patřit více správcům virtuálních sítí Azure?
Ano, virtuální síť může patřit do více než jednoho Azure Virtual Network Manageru.
Co je globální síťová topologie sítě?
Globální síť umožňuje komunikaci virtuálních sítí mezi různými oblastmi. Účinky jsou podobné tomu, jak funguje globální partnerský vztah virtuálních sítí.
Existuje limit počtu skupin sítě, které je možné vytvořit?
Neexistuje žádné omezení počtu skupin sítě, které je možné vytvořit.
Návody odebrat nasazení všech použitých konfigurací?
Musíte nasadit konfiguraci Žádné do všech oblastí, ve kterých máte použitou konfiguraci.
Můžu přidat virtuální sítě z jiného předplatného, které nespravuji sám?
Ano, musíte mít příslušná oprávnění pro přístup k těmto virtuálním sítím.
Co je dynamické členství ve skupinách?
Další informace najdete v tématu dynamické členství.
Jak se nasazení konfigurace liší pro dynamické členství a statické členství?
Další informace najdete v tématu nasazení pro typy členství.
Návody odstranit komponentu Azure Virtual Network Manageru?
Další informace najdete v kontrolním seznamu pro odebrání součástí.
Ukládá Azure Virtual Network Manager zákaznická data?
Ne. Azure Virtual Network Manager neukládá žádná zákaznická data.
Je možné přesunout instanci Azure Virtual Network Manageru?
Ne. Přesun prostředků se v současné době nepodporuje. Pokud ho potřebujete přesunout, můžete zvážit odstranění existující instance správce virtuální sítě a vytvoření jiné instance v jiném umístění pomocí šablony ARM.
Jak zjistím, jaké konfigurace se použijí, aby mi pomohly řešit potíže?
Nastavení Azure Virtual Network Manageru můžete zobrazit v části Správce sítě pro virtuální síť. Zobrazí se konfigurace připojení i správce zabezpečení, která se použijí. Další informace najdete v tématu Zobrazení použité konfigurace.
Co se stane, když jsou všechny zóny v oblasti s instancí správce virtuální sítě?
Pokud dojde k výpadku oblasti, všechny konfigurace použité na aktuální spravované prostředky virtuální sítě zůstanou během výpadku nedotčené. Během výpadku nemůžete vytvářet nové konfigurace ani upravovat existující konfigurace. Po vyřešení výpadku můžete i nadále spravovat prostředky virtuální sítě jako předtím.
Je možné vytvořit partnerský vztah virtuální sítě spravované nástrojem Azure Virtual Network Manager k nespravované virtuální síti?
Ano, Azure Virtual Network Manager je plně kompatibilní s existujícími nasazeními hvězdicové topologie pomocí partnerského vztahu. To znamená, že nebudete muset odstranit žádná existující peered připojení mezi paprsky a centrem. K migraci dochází bez výpadků vaší sítě.
Můžu migrovat existující hvězdicovou topologii do Azure Virtual Network Manageru?
Ano, migrace existujících virtuálních sítí do hvězdicové topologie AVNM je snadná a nevyžaduje žádný časový limit. Zákazníci můžou vytvořit konfiguraci připojení hvězdicové topologie požadované topologie. Když se nasadí nasazení této konfigurace, správce virtuální sítě automaticky vytvoří nezbytné partnerské vztahy. Všechny existující partnerské vztahy nastavené uživateli zůstanou nedotčené a zajistí, že nedojde k žádnému výpadku.
Jak se připojené skupiny liší od partnerského vztahu virtuálních sítí ohledně navázání připojení mezi virtuálními sítěmi?
V Azure jsou partnerské vztahy virtuálních sítí a připojené skupiny dvěma způsoby vytvoření připojení mezi virtuálními sítěmi. Zatímco peering virtuálních sítí funguje vytvořením mapování 1:1 mezi jednotlivými partnerskými virtuálními sítěmi, připojené skupiny používají nový konstruktor, který vytváří připojení bez takového mapování. V připojené skupině jsou všechny virtuální sítě propojené bez jednotlivých vztahů partnerského vztahu. Pokud jsou například VNetA, VNetB a VNetC součástí stejné připojené skupiny, je připojení mezi jednotlivými virtuálními sítěmi povolené, aniž by bylo potřeba jednotlivé vztahy peeringu.
Můžu vytvořit výjimky pravidel správce zabezpečení?
Za normálních okolností se pravidla správce zabezpečení definují tak, aby blokovala provoz napříč virtuálními sítěmi. Existují však situace, kdy určité virtuální sítě a jejich prostředky potřebují povolit provoz pro správu nebo jiné procesy. V těchto scénářích můžete v případě potřeby vytvořit výjimky . Zjistěte, jak blokovat vysoce rizikové porty s výjimkami pro tyto typy scénářů.
Jak můžu do oblasti nasadit několik konfigurací správce zabezpečení?
Do oblasti je možné nasadit pouze jednu konfiguraci správce zabezpečení. V oblasti však může existovat více konfigurací připojení. Pokud chcete do oblasti nasadit více konfigurací správce zabezpečení, můžete místo toho vytvořit více kolekcí pravidel v konfiguraci zabezpečení.
Vztahují se pravidla správce zabezpečení na privátní koncové body Azure?
V současné době se pravidla správce zabezpečení nevztahují na privátní koncové body Azure, které spadají do rozsahu virtuální sítě spravované nástrojem Azure Virtual Network Manager.
Pravidla odchozích přenosů
| Port | Protokol | Zdroj | Cíl | Akce |
|---|---|---|---|---|
| 443, 12000 | TCP | VirtualNetwork | AzureCloud | Povolit |
| Všechny | Všechny | VirtualNetwork | VirtualNetwork | Povolit |
Může být centrum Azure Virtual WAN součástí skupiny sítí?
Ne, centrum Azure Virtual WAN teď nemůže být ve skupině sítě.
Je možné azure Virtual WAN použít jako centrum v konfiguraci hvězdicové topologie správce virtuální sítě?
Ne, centrum Azure Virtual WAN se v současnosti nepodporuje jako centrum v hvězdicové topologii.
Moje virtuální síť nedostává konfigurace, které očekávám. Návody řešení potíží?
Nasadili jste konfiguraci do oblasti virtuální sítě?
Konfigurace v Azure Virtual Network Manageru se neprojeví, dokud se nenasadí. Proveďte nasazení do oblasti virtuálních sítí s odpovídajícími konfiguracemi.
Je vaše virtuální síť v oboru?
Správce sítě je delegovaný pouze dostatečný přístup k použití konfigurací pro virtuální sítě v rámci vašeho oboru. I když je prostředek ve vaší skupině sítě, ale je mimo rozsah, neobdrží žádné konfigurace.
Používáte pravidla zabezpečení na virtuální síť obsahující spravované instance Azure SQL?
Azure SQL Managed Instance má některé požadavky na síť. Ty se vynucují prostřednictvím zásad záměru sítě s vysokou prioritou, jejichž účel je v konfliktu s pravidly zabezpečení Správa. Ve výchozím nastavení se aplikace pravidel Správa přeskočí na virtuálních sítích obsahujících některou z těchto zásad záměru. Vzhledem k tomu, že pravidla Povolit nepředstavují žádné riziko konfliktu, můžete se rozhodnout použít pravidla Povolit pouze . Pokud chcete použít pouze pravidla Povolit, můžete nastavit AllowRulesOnly na securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Používáte pravidla zabezpečení u virtuální sítě nebo podsítě, která obsahují služby blokující pravidla konfigurace zabezpečení?
Některé služby, jako je Azure SQL Managed Instance, Azure Databricks a Aplikace Azure Gateway, vyžadují, aby správně fungovaly konkrétní požadavky na síť. Ve výchozím nastavení se aplikace pravidla správce zabezpečení přeskočí ve virtuálních sítích a podsítích obsahujících některou z těchto služeb. Vzhledem k tomu, že pravidla Povolit nepředstavují riziko konfliktu, můžete se rozhodnout použít pravidla Povolit pouze nastavením pole konfigurace AllowRulesOnlyzabezpečení ve securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices třídě .NET.
Omezení
Jaká jsou omezení služby Azure Virtual Network Manageru?
Nejnovější omezení najdete v tématu Omezení pro Azure Virtual Network Manager.
Další kroky
Vytvořte instanci Azure Virtual Network Manageru pomocí webu Azure Portal.