FAQ sur Azure Virtual Network Manager
Général
Important
Azure Virtual Network Manager est généralement disponible pour les configurations de connectivité hub-and-spoke (en étoile) et les configurations de sécurité avec des règles d’administration de la sécurité. Les configurations de connectivité de maillage restent en préversion publique.
Cette préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.
Quelles régions Azure prennent-elles en charge Azure Virtual Network Manager ?
Pour connaître la prise en charge actuelle des régions, reportez-vous aux produits disponibles par région.
Remarque
Toutes les régions qui ont des Zones de disponibilité, à l’exception de France Centre.
Quels sont les cas d’usage courants d’Azure Virtual Network Manager ?
Vous pouvez créer différents groupes réseau pour répondre aux besoins de sécurité de votre environnement et de ses fonctions. Par exemple, vous pouvez créer des groupes réseau pour vos environnements Production et Test pour gérer leurs règles de connectivité et de sécurité à grande échelle. Pour les règles de sécurité, vous devez créer une configuration d’administrateur de sécurité avec deux regroupements de règles d’administration de sécurité, chacun ciblé sur vos groupes réseau Production et Test, respectivement. Une fois déployée, cette configuration applique un ensemble de règles de sécurité pour les ressources réseau dans votre environnement Production et un ensemble pour l’environnement Test.
Vous pouvez appliquer des configurations de connectivité pour créer un maillage ou une topologie réseau hub-and-spoke pour un grand nombre de réseaux virtuels dans les abonnements de votre organisation.
Vous pouvez refuser le trafic à haut risque : en tant qu’administrateur d’une entreprise, vous pouvez bloquer des protocoles ou des sources spécifiques qui remplacent les règles NSG qui autoriseraient normalement le trafic.
Toujours autoriser le trafic : vous souhaitez autoriser un analyseur de sécurité spécifique à toujours avoir une connectivité entrante à toutes vos ressources, même si des règles NSG sont configurées pour refuser le trafic.
Quel est le coût lié à l’utilisation d’Azure Virtual Network Manager ?
Les frais d’Azure Virtual Network Manager sont fonction du nombre d’abonnements qui contiennent un réseau virtuel sur lequel est déployée une configuration active de gestionnaire de réseau. En outre, des frais d’appairage de réseaux virtuels s’appliquent au volume de trafic des réseaux virtuels gérés par une configuration de connectivité déployée (maillage ou hub-and-spoke).
Vous trouverez la tarification actuelle pour votre région dans la page de tarification d’Azure Virtual Network Manager.
Techniques
Un réseau virtuel peut-il appartenir à plusieurs instances d’Azure Virtual Network Manager ?
Oui, un réseau virtuel peut appartenir à plusieurs instances d’Azure Virtual Network Manager.
Qu’est-ce qu’une topologie de maillage en réseau global ?
Un maillage global permet aux réseaux virtuels de différentes régions de communiquer les uns avec les autres. Les effets sont similaires à l’appairage de réseaux virtuels globaux.
Le nombre de groupes réseau pouvant être créés est-il limité ?
Le nombre de groupes réseau pouvant être créés n’est pas limité.
Comment supprimer le déploiement de toutes les configurations appliquées ?
Vous devez déployer une configuration Aucune dans toutes les régions auxquelles une configuration est appliquée.
Est-ce que je peux ajouter les réseaux virtuels d’un autre abonnement que je ne gère pas ?
Oui, vous devez disposer des autorisations appropriées pour accéder à ces réseaux virtuels.
Qu’est-ce que l’appartenance de groupe dynamique ?
Pour plus d’informations, consultez Appartenance dynamique.
En quoi le déploiement de la configuration diffère-t-il entre l’appartenance dynamique et l’appartenance statique ?
Pour plus d’informations, consultez Déploiement sur les types d’appartenance.
Comment supprimer un composant Azure Virtual Network Manager ?
Pour plus d’informations, consultez la check-list pour supprimer des composants.
Azure Virtual Network Manager stocke-t-il des données des clients ?
Nombre Azure Virtual Network Manager ne stocke aucune donnée des clients.
Une instance Azure Virtual Network Manager peut-elle être déplacée ?
Nombre Le transfert de ressources n'est pas pris en charge actuellement. Si vous devez transférer une ressource, vous pouvez envisager de supprimer l’instance de gestionnaire de réseau virtuel existante et d’utiliser le modèle ARM pour en créer une autre dans un autre emplacement.
Comment voir quelles sont les configurations appliquées pour m’aider à résoudre les problèmes ?
Vous pouvez voir les paramètres Azure Virtual Network Manager d’un réseau virtuel sous Network Manager. Vous pouvez voir les configurations Connectivité et Administration de la sécurité qui sont appliquées. Pour plus d’informations, consultez Voir la configuration appliquée.
Qu’advient-il lorsque toutes les zones sont en panne dans une région comportant une instance de gestionnaire de réseau virtuel ?
Si une panne régionale se produit, toutes les configurations appliquées aux ressources de réseau virtuel managées actuelles resteront intactes pendant la panne. Vous ne pouvez pas créer de configurations ni modifier des configurations existantes pendant la panne. Une fois la panne résolue, vous pouvez continuer à gérer vos ressources de réseau virtuel comme avant.
Un réseau virtuel managé par Azure Virtual Network Manager peut-il appairé à un réseau virtuel non managé ?
Oui, Azure Virtual Network Manager est entièrement compatible avec les déploiements de topologie hub-and-spoke préexistants, et ce, grâce à l’appairage. Cela signifie que vous n’avez pas besoin de supprimer les connexions appairées existantes entre les spokes et le hub. La migration se produit sans temps d’arrêt sur votre réseau.
Puis-je effectuer la migration d’une topologie hub-and-spoke existante vers Azure Virtual Network Manager ?
Oui, la migration de VNet existants vers la topologie hub-and-spoke d’AVNM est facile et ne nécessite aucun temps d’arrêt. Les clients peuvent créer une configuration de connectivité de topologie hub-and-spoke de la topologie souhaitée. Lorsque le déploiement de cette configuration a lieu, le gestionnaire de réseau virtuel crée automatiquement les appairages nécessaires. Les appairages préexistants configurés par les utilisateurs restent intacts, ce qui garantit l’absence de temps d’arrêt.
Quelle est la différence entre les groupes connectés et l’appairage de réseaux virtuels en ce qui concerne l’établissement d’une connectivité entre les réseaux virtuels ?
Dans Azure, l’appairage de réseaux virtuels et les groupes connectés constituent deux méthodes d’établissement de la connectivité entre les réseaux virtuels (VNet). L’appairage de réseaux virtuels fonctionne grâce à la création d’un mappage 1:1 entre chaque réseau virtuel appairé. Cependant, les groupes connectés utilisent une nouvelle construction qui établit la connectivité sans ce mappage. Dans un groupe connecté, tous les réseaux virtuels sont connectés sans relations individuelles d’appairage. Par exemple, si VNetA, VNetB et VNetC font partie du même groupe connecté, la connectivité est établie d’un réseau virtuel à l’autre sans nécessiter de relations individuelles d’appairage.
Puis-je créer des exceptions aux règles d’administration de sécurité ?
Normalement, les règles d’administration de sécurité seront définies pour bloquer le trafic entre les réseaux virtuels. Toutefois, il existe des moments où certains réseaux virtuels et leurs ressources doivent autoriser le trafic pour la gestion ou d’autres processus. Pour ces scénarios, vous pouvez créer des exceptions si nécessaire. Découvrez comment bloquer des ports à haut risque avec des exceptions pour ces types de scénarios.
Comment puis-je déployer plusieurs configurations d’administration de sécurité dans une région ?
Une seule configuration d’administrateur de sécurité peut être déployée dans une région. Toutefois, plusieurs configurations de connectivité peuvent exister dans une région. Pour déployer plusieurs configurations d’administrateur de sécurité dans une région, vous pouvez à la place créer plusieurs regroupements de règles dans une configuration de sécurité.
Les règles d’administrateur de la sécurité s’appliquent-elles aux points de terminaison privés Azure ?
Actuellement, les règles d’administrateur de la sécurité ne s’appliquent pas aux points de terminaison privés Azure qui appartiennent à l’étendue d’un réseau virtuel managé par Azure Virtual Network Manager.
Règles de trafic sortant
| Port | Protocole | Source | Destination | Action |
|---|---|---|---|---|
| 443, 12000 | TCP | VirtualNetwork | AzureCloud | Allow |
| Quelconque | Quelconque | VirtualNetwork | VirtualNetwork | Autoriser |
Un hub Azure Virtual WAN peut-il faire partie d’un groupe réseau ?
Non, pour le moment, un hub Azure Virtual WAN ne peut pas se trouver dans un groupe réseau.
Un Azure Virtual WAN peut-il être utilisé comme hub dans la configuration de la topologie hub-and-spoke du gestionnaire de réseau virtuel ?
Non, les hubs Azure Virtual WAN ne sont pas pris en charge en tant que hub dans une topologie hub-and-spoke pour l’instant.
Mon réseau virtuel ne reçoit pas les configurations attendues. Comment puis-je résoudre ce problème ?
Avez-vous déployé votre configuration dans la région du réseau virtuel ?
Les configurations dans Azure Virtual Network Manager ne prennent pas effet tant qu’elles ne sont pas déployées. Déployez les configurations appropriées dans la région des réseaux virtuels.
Votre réseau virtuel se trouve-t-il dans l’étendue définie ?
Une instance Network Manager obtient uniquement l’accès délégué dont elle a besoin pour appliquer les configurations aux réseaux virtuels situés dans votre étendue. Si une ressource se trouve dans votre groupe réseau, mais qu’elle est en dehors de l’étendue, elle ne reçoit aucune configuration.
Appliquez-vous des règles de sécurité à un réseau virtuel contenant Azure SQL Managed Instance ?
Azure SQL Managed Instance impose des exigences réseau. Ces exigences sont appliquées par le biais de stratégies d’intention réseau à haute priorité, dont l’objectif est en conflit avec des règles d’administration de sécurité. Par défaut, l’application de règles d’administrateur est ignorée sur les VNet contenant l’une de ces stratégies d’intention. Étant donné que les règles Autoriser ne présentent aucun risque de conflit, vous pouvez choisir d’appliquer les règles Autoriser uniquement. Si vous souhaitez uniquement utiliser les règles Autoriser, vous pouvez définir AllowRulesOnly sur securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Appliquez-vous des règles de sécurité à un réseau virtuel ou à un sous-réseau qui contient des services qui bloquent les règles de configuration de sécurité ?
Certains services tels qu’Azure SQL Managed Instance, Azure Databricks et Azure Application Gateway nécessitent des exigences réseau spécifiques pour fonctionner correctement. Par défaut, l’application de règles d’administrateur de la sécurité est ignorée sur les VNet et les sous-réseaux contenant l’un de ces services. Les règles Autoriser ne présentent aucun risque de conflit. Par conséquent, vous pouvez choisir d’appliquer les règles Autoriser uniquement en définissant le champ AllowRulesOnly des configurations de sécurité sur la classe .NET securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Limites
Quelles sont les limitations de service d’Azure Virtual Network Manager ?
Pour connaître les limitations les plus courantes, consultez Limitations avec Azure Virtual Network Manager.
Étapes suivantes
Créez une instance Azure Virtual Network Manager en utilisant le portail Azure.