Domande frequenti su Azure Rete virtuale Manager
Questo articolo risponde alle domande frequenti su Azure Rete virtuale Manager.
Importante
Azure Rete virtuale Manager è disponibile a livello generale per configurazioni di connettività hub-spoke e configurazioni di sicurezza con regole di amministratore della sicurezza. Le configurazioni di connettività mesh rimangono in anteprima.
Questa versione di anteprima viene fornita senza contratto di servizio, pertanto se ne sconsiglia l’uso per i carichi di lavoro in ambienti di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate. Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.
Generali
Quali aree di Azure supportano Azure Rete virtuale Manager?
Per informazioni aggiornate sul supporto dell'area, vedere Prodotti disponibili in base all'area.
Nota
Tutte le aree hanno zone di disponibilità, ad eccezione della Francia centrale.
Quali sono i casi d'uso comuni per Azure Rete virtuale Manager?
È possibile creare gruppi di rete per soddisfare i requisiti di sicurezza dell'ambiente e le relative funzioni. Ad esempio, è possibile creare gruppi di rete per gli ambienti di produzione e di test per gestire la connettività e le regole di sicurezza su larga scala.
Per le regole di sicurezza, è possibile creare una configurazione di amministratore della sicurezza con due raccolte. Ogni raccolta è destinata rispettivamente ai gruppi di rete di produzione e di test. Dopo la distribuzione, questa configurazione applica un set di regole di sicurezza per le risorse di rete per l'ambiente di produzione e un set per l'ambiente di test.
È possibile applicare configurazioni di connettività per creare una topologia di rete hub-spoke o una topologia di rete hub-spoke per un numero elevato di reti virtuali nelle sottoscrizioni dell'organizzazione.
È possibile negare il traffico ad alto rischio. In qualità di amministratore di un'organizzazione, è possibile bloccare protocolli o origini specifici che eseguono l'override di qualsiasi regola del gruppo di sicurezza di rete (NSG) che normalmente consente il traffico.
È sempre possibile consentire il traffico. Ad esempio, è possibile consentire a uno specifico scanner di sicurezza di avere sempre la connettività in ingresso a tutte le risorse, anche se le regole del gruppo di sicurezza di rete sono configurate per negare il traffico.
Qual è il costo dell'uso di Azure Rete virtuale Manager?
Gli addebiti di Azure Rete virtuale Manager si basano sul numero di sottoscrizioni che contengono una rete virtuale con una configurazione di Rete virtuale Manager attiva distribuita su di essa. Inoltre, un addebito per il peering si applica al volume di traffico delle reti virtuali gestite da una configurazione di connettività distribuita (mesh o hub-spoke).
È possibile trovare i prezzi correnti per l'area nella pagina dei prezzi di Azure Rete virtuale Manager.
Ricerca per categorie distribuire Azure Rete virtuale Manager?
È possibile distribuire e gestire un'istanza e configurazioni di Azure Rete virtuale Manager tramite vari strumenti, tra cui:
Formazione
Una rete virtuale può appartenere a più istanze di Azure Rete virtuale Manager?
Sì, una rete virtuale può appartenere a più di un'istanza di Azure Rete virtuale Manager.
Che cos'è una topologia di rete mesh globale?
Una mesh globale consente alle reti virtuali tra aree di comunicare tra loro. Gli effetti sono simili al funzionamento del peering di reti virtuali globali.
Esiste un limite al numero di gruppi di rete che è possibile creare?
Non esiste alcun limite al numero di gruppi di rete che è possibile creare.
Ricerca per categorie rimuovere la distribuzione di tutte le configurazioni applicate?
È necessario distribuire una configurazione None in tutte le aree in cui è stata applicata una configurazione.
È possibile aggiungere reti virtuali da un'altra sottoscrizione non gestita?
Sì, se si dispone delle autorizzazioni appropriate per accedere a tali reti virtuali.
Che cos'è l'appartenenza dinamica ai gruppi?
Vedere Appartenenza dinamica.
In che modo la distribuzione della configurazione è diversa per l'appartenenza dinamica e l'appartenenza statica?
Vedere Distribuzioni di configurazione in Azure Rete virtuale Manager.
Ricerca per categorie eliminare un componente di Azure Rete virtuale Manager?
Vedere Rimuovere e aggiornare l'elenco di controllo dei componenti di Azure Rete virtuale Manager.
Azure Rete virtuale Manager archivia i dati dei clienti?
No. Azure Rete virtuale Manager non archivia i dati dei clienti.
È possibile spostare un'istanza di Azure Rete virtuale Manager?
No. Azure Rete virtuale Manager attualmente non supporta tale funzionalità. Se è necessario spostare un'istanza, è possibile valutarne l'eliminazione e usare il modello di Azure Resource Manager per crearne un altro in un'altra posizione.
Come è possibile visualizzare le configurazioni applicate per risolvere i problemi?
È possibile visualizzare le impostazioni di Azure Rete virtuale Manager in Gestione rete per una rete virtuale. Le impostazioni mostrano sia la connettività che le configurazioni di amministratore della sicurezza applicate. Per altre informazioni, vedere Visualizzare le configurazioni applicate da Azure Rete virtuale Manager.
Cosa accade quando tutte le zone si trovano in un'area con un'istanza di Rete virtuale Manager?
Se si verifica un'interruzione a livello di area, tutte le configurazioni applicate alle risorse di rete virtuale gestite correnti rimangono intatte durante l'interruzione. Non è possibile creare nuove configurazioni o modificare le configurazioni esistenti durante l'interruzione. Dopo aver risolto l'interruzione, è possibile continuare a gestire le risorse di rete virtuale come prima.
È possibile eseguire il peering di una rete virtuale gestita da Azure Rete virtuale Manager a una rete virtuale non gestita?
Sì. Azure Rete virtuale Manager è completamente compatibile con le distribuzioni di topologie hub-spoke preesistenti che usano il peering. Non è necessario eliminare connessioni con peering esistenti tra gli spoke e l'hub. La migrazione si verifica senza tempi di inattività per la rete.
È possibile eseguire la migrazione di una topologia hub-spoke esistente ad Azure Rete virtuale Manager?
Sì. La migrazione di reti virtuali esistenti alla topologia hub-spoke in Azure Rete virtuale Manager è semplice. È possibile creare una configurazione di connettività della topologia hub-spoke. Quando si distribuisce questa configurazione, Rete virtuale Manager crea automaticamente i peering necessari. Tutti i peering preesistenti rimangono intatti, quindi non c'è tempo di inattività.
In che modo i gruppi connessi differiscono dal peering di rete virtuale per stabilire la connettività tra reti virtuali?
In Azure il peering di rete virtuale e i gruppi connessi sono due metodi per stabilire la connettività tra reti virtuali. Il peering funziona creando un mapping uno-a-uno tra reti virtuali, mentre i gruppi connessi usano un nuovo costrutto che stabilisce la connettività senza tale mapping.
In un gruppo connesso tutte le reti virtuali sono connesse senza relazioni di peering individuali. Ad esempio, se tre reti virtuali fanno parte dello stesso gruppo connesso, la connettività viene abilitata tra ogni rete virtuale senza la necessità di relazioni di peering individuali.
È possibile creare eccezioni alle regole di amministrazione della sicurezza?
In genere, le regole di amministrazione della sicurezza vengono definite per bloccare il traffico tra reti virtuali. Tuttavia, in alcuni casi alcune reti virtuali e le relative risorse devono consentire il traffico per la gestione o altri processi. Per questi scenari, è possibile creare eccezioni , se necessario. Informazioni su come bloccare le porte ad alto rischio con eccezioni per questi scenari.
Come è possibile distribuire più configurazioni di amministratore della sicurezza in un'area?
È possibile distribuire una sola configurazione di amministratore della sicurezza in un'area. Tuttavia, più configurazioni di connettività possono esistere in un'area se si creano più raccolte regole in una configurazione di sicurezza.
Le regole di amministrazione della sicurezza si applicano agli endpoint privati di Azure?
Attualmente, le regole di amministrazione della sicurezza non si applicano agli endpoint privati di Azure che rientrano nell'ambito di una rete virtuale gestita da Azure Rete virtuale Manager.
Regole in uscita
| Porta | Protocollo | Source (Sorgente) | Destination | Azione |
|---|---|---|---|---|
| 443, 12000 | TCP | VirtualNetwork |
AzureCloud |
Consenti |
| Qualsiasi | Qualsiasi | VirtualNetwork |
VirtualNetwork |
Consenti |
Un hub rete WAN virtuale di Azure può far parte di un gruppo di rete?
No, un hub rete WAN virtuale di Azure non può trovarsi in un gruppo di rete al momento.
È possibile usare un'istanza di Azure rete WAN virtuale come hub in una configurazione della topologia hub-spoke di Rete virtuale Manager?
No, un hub rete WAN virtuale di Azure non è supportato come hub in una topologia hub-spoke in questo momento.
La rete virtuale non riceve le configurazioni previste. Ricerca per categorie risolvere i problemi?
Usare le domande seguenti per le possibili soluzioni.
La configurazione è stata distribuita nell'area della rete virtuale?
Le configurazioni in Azure Rete virtuale Manager non diventano effettive fino a quando non vengono distribuite. Creare una distribuzione nell'area della rete virtuale con le configurazioni appropriate.
La rete virtuale è nell'ambito?
Un gestore di rete è delegato solo a un accesso sufficiente per applicare le configurazioni alle reti virtuali all'interno dell'ambito. Se una risorsa si trova nel gruppo di rete ma non rientra nell'ambito, non riceve alcuna configurazione.
Si applicano regole di sicurezza a una rete virtuale che contiene istanze gestite?
Istanza gestita di SQL di Azure presenta alcuni requisiti di rete. Questi requisiti vengono applicati tramite criteri di finalità di rete ad alta priorità i cui scopi sono in conflitto con le regole di amministratore della sicurezza. Per impostazione predefinita, l'applicazione della regola di amministrazione viene ignorata nelle reti virtuali che contengono uno di questi criteri di finalità. Poiché consenti regole non comportano alcun rischio di conflitto, è possibile scegliere di applicare le regole Consenti solo impostando AllowRulesOnly su securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Si applicano regole di sicurezza a una rete virtuale o a una subnet che contiene servizi che bloccano le regole di configurazione della sicurezza?
Alcuni servizi richiedono requisiti di rete specifici per funzionare correttamente. Questi servizi includono Istanza gestita di SQL di Azure, Azure Databricks e app Azure lication Gateway. Per impostazione predefinita, l'applicazione delle regole di amministrazione della sicurezza viene ignorata nelle reti virtuali e nelle subnet che contengono uno di questi servizi. Poiché le regole Consenti non comportano alcun rischio di conflitto, è possibile scegliere di applicare le regole Consenti solo impostando il campo delle configurazioni AllowRulesOnly di sicurezza nella securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices classe .NET.
Limiti
Quali sono le limitazioni del servizio di Azure Rete virtuale Manager?
Per le informazioni più aggiornate, vedere Limitazioni con Azure Rete virtuale Manager.