Часто задаваемые вопросы о диспетчере виртуальная сеть Azure
Общие
Внимание
Диспетчер виртуальная сеть Azure общедоступен для конфигураций подключения концентратора и периферийных подключений и конфигураций безопасности с правилами администратора безопасности. Конфигурации подключения сетки остаются в общедоступной предварительной версии.
Эта предварительная версия предоставляется без соглашения об уровне обслуживания и не рекомендована для использования рабочей среде. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.
Какие регионы Azure поддерживают Диспетчер виртуальная сеть Azure?
Сведения о поддержке текущих регионов см. в продуктах, доступных по регионам.
Примечание.
Все регионы имеют Зоны доступности, кроме Центральной Франции.
Каковы распространенные варианты использования azure виртуальная сеть Manager?
Вы можете создавать различные сетевые группы, чтобы соответствовать требованиям к безопасности среды и ее функциям. Например, можно создать сетевые группы для рабочих и тестовых сред, чтобы управлять их правилами подключения и безопасности в большом масштабе. Для правил безопасности вы создадите конфигурацию администратора безопасности с двумя коллекциями правил администратора безопасности, каждый из которых предназначен для групп рабочих и тестовых сетевых групп соответственно. После развертывания эта конфигурация будет применять один набор правил безопасности для сетевых ресурсов в рабочей среде и один набор для тестовой среды.
Конфигурации подключения можно применить для создания сетки или топологии сети концентратора и периферийной сети для большого количества виртуальных сетей в подписках вашей организации.
Вы можете запретить трафик с высоким риском: как администратор предприятия можно заблокировать определенные протоколы или источники, которые переопределяют любые правила NSG, которые обычно разрешают трафик.
Всегда разрешать трафик: вы хотите разрешить определенному сканеру безопасности всегда иметь входящий трафик ко всем ресурсам, даже если правила NSG настроены для запрета трафика.
Какова стоимость использования Диспетчера виртуальная сеть Azure?
Плата за диспетчер виртуальная сеть Azure основана на количестве подписок, содержащих виртуальную сеть с активной конфигурацией диспетчера сети, развернутой на ней. Кроме того, плата за пиринг виртуальная сеть применяется к объему трафика виртуальных сетей, управляемых развернутой конфигурацией подключения (сеткой или концентратором и периферийным интерфейсом).
Текущие цены для вашего региона можно найти на странице цен azure виртуальная сеть Manager.
Технический
Может ли виртуальная сеть принадлежат нескольким диспетчерам виртуальная сеть Azure?
Да, виртуальная сеть может принадлежать нескольким диспетчерам виртуальная сеть Azure.
Что такое глобальная топология сети сетки?
Глобальная сетка позволяет виртуальным сетям между различными регионами взаимодействовать друг с другом. Эффекты аналогичны тому, как работает пиринг между глобальной виртуальной сетью.
Существует ли ограничение на то, сколько групп сети можно создать?
Нет ограничений на количество сетевых групп.
Разделы справки удалить развертывание всех примененных конфигураций?
Необходимо развернуть конфигурацию None во всех регионах, которые имеют примененную конфигурацию.
Можно ли добавлять виртуальные сети из другой подписки, не управляемой самостоятельно?
Да, у вас должны быть соответствующие разрешения для доступа к этим виртуальным сетям.
Что такое динамическое членство в группах?
Дополнительные сведения см. в разделе "Динамическое членство".
Как развертывание конфигурации отличается для динамического членства и статического членства?
Дополнительные сведения см. в статье о развертывании для типов членства.
Разделы справки удалить компонент Диспетчера виртуальная сеть Azure?
Дополнительные сведения см. в статье об удалении компонентов проверка list.
Хранятся ли данные клиента в Azure виртуальная сеть Manager?
№ Диспетчер виртуальная сеть Azure не хранит данные клиента.
Можно ли переместить экземпляр Диспетчера виртуальная сеть Azure?
№ Перемещение ресурсов в настоящее время не поддерживается. Если вам нужно переместить его, можно удалить существующий экземпляр диспетчера виртуальных сетей и использовать шаблон ARM для создания другого в другом расположении.
Как узнать, какие конфигурации применяются для устранения неполадок?
Параметры диспетчера виртуальная сеть Azure можно просмотреть в разделе Network Manager для виртуальной сети. Вы можете увидеть как конфигурацию подключения, так и администратора безопасности, которые применяются. Дополнительные сведения см. в представлении примененной конфигурации.
Что происходит при отключении всех зон в регионе с экземпляром диспетчера виртуальных сетей?
При возникновении регионального сбоя все конфигурации, применяемые к текущим ресурсам управляемой виртуальной сети, останутся неизменными во время сбоя. Вы не можете создавать новые конфигурации или изменять существующие конфигурации во время сбоя. После устранения сбоя вы можете продолжать управлять ресурсами виртуальной сети, как и раньше.
Может ли виртуальная сеть, управляемая диспетчером виртуальная сеть Azure, быть пиринговой в неуправляемой виртуальной сети?
Да, Диспетчер виртуальная сеть Azure полностью совместим с уже существующими развертываниями концентратора и периферийных топологий с помощью пиринга. Это означает, что вам не нужно удалять существующие пиринговые подключения между периферийными и концентраторами. Миграция выполняется без простоя в сеть.
Можно ли перенести существующую топологию концентратора и периферийной топологии в Диспетчер виртуальная сеть Azure?
Да, перенос существующих виртуальных сетей в концентратор AVNM и периферийной топологии прост и не требует времени простоя. Клиенты могут создать конфигурацию подключения к концентратору и периферийной топологии требуемой топологии. При развертывании этой конфигурации диспетчер виртуальных сетей автоматически создаст необходимые пиринги. Все существующие пиринги, настроенные пользователями, остаются неизменными, обеспечивая отсутствие простоя.
Как подключенные группы отличаются от пиринга виртуальных сетей относительно установления подключения между виртуальными сетями?
В Azure пиринг виртуальных сетей и подключенных групп являются двумя способами установления подключения между виртуальными сетями (виртуальными сетями). Хотя пиринг между виртуальной сетью работает путем создания сопоставления 1:1 между каждой пиринговой виртуальной сетью, подключенные группы используют новую конструкцию, которая устанавливает подключение без такого сопоставления. В подключенной группе все виртуальные сети подключены без отдельных связей пиринга. Например, если виртуальная сеть, виртуальная сеть и виртуальная сеть являются частью одной и той же подключенной группы, подключение включается между каждой виртуальной сетью без необходимости личных связей пиринга.
Можно ли создавать исключения для правил администратора безопасности?
Как правило, правила администратора безопасности определяются для блокировки трафика между виртуальными сетями. Однако существуют случаи, когда определенные виртуальные сети и их ресурсы должны разрешать трафик для управления или других процессов. В этих сценариях можно создавать исключения по мере необходимости. Узнайте, как блокировать порты с высоким риском, за исключением этих типов сценариев.
Как развернуть несколько конфигураций администратора безопасности в регионе?
В регионе можно развернуть только одну конфигурацию администратора безопасности. Однако в регионе может существовать несколько конфигураций подключения. Чтобы развернуть несколько конфигураций администратора безопасности в регионе, можно создать несколько коллекций правил в конфигурации безопасности.
Применяются ли правила администратора безопасности к частным конечным точкам Azure?
В настоящее время правила администратора безопасности не применяются к частным конечным точкам Azure, которые попадают под область виртуальной сети, управляемой Диспетчером виртуальная сеть Azure.
Правила для исходящего трафика
| Порт | Протокол | Источник | Назначение | Действие |
|---|---|---|---|---|
| 443, 12 000 | TCP | VirtualNetwork; | AzureCloud | Разрешить |
| Любой | Любой | VirtualNetwork; | VirtualNetwork; | Allow |
Может ли центр Azure Виртуальная глобальная сеть быть частью сетевой группы?
Нет, центр Виртуальная глобальная сеть Azure в настоящее время не может находиться в группе сети.
Можно ли использовать Azure Виртуальная глобальная сеть в качестве концентратора в концентраторе виртуальной сети и конфигурации периферийной топологии диспетчера виртуальных сетей?
Нет, центр azure Виртуальная глобальная сеть не поддерживается в качестве концентратора в концентраторе и периферийной топологии в настоящее время.
Моя виртуальная сеть не получает конфигурации, которые я ожидаю. Разделы справки устранение неполадок?
Развернули конфигурацию в регионе виртуальной сети?
Конфигурации в Диспетчере виртуальная сеть Azure не вступают в силу, пока они не будут развернуты. Создайте развертывание в регионе виртуальных сетей с соответствующими конфигурациями.
Ваша виртуальная сеть находится в область?
Сетевой диспетчер делегируется только достаточному доступу для применения конфигураций к виртуальным сетям в область. Даже если ресурс находится в вашей сетевой группе, но не область, он не получает никаких конфигураций.
Применяются ли правила безопасности к виртуальной сети, содержащей Управляемый экземпляр SQL Azure?
Управляемый экземпляр SQL Azure имеет некоторые требования к сети. Они применяются с помощью политик намерения сети с высоким приоритетом, назначение которых конфликтует с правилами безопасности Администратор. По умолчанию приложение правил Администратор пропускается в виртуальных сетях, содержащих любую из этих политик намерений. Так как правила allow не представляют риска конфликта, вы можете применить правила "Разрешить только". Если вы хотите использовать только правила allow, можно задать параметр AllowRulesOnly securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Применяются ли правила безопасности к виртуальной сети или подсети, содержащей службы, блокирующие правила конфигурации безопасности?
Для правильной работы некоторых служб, таких как Управляемый экземпляр SQL Azure, Azure Databricks и Шлюз приложений Azure требуются определенные требования к сети. По умолчанию приложение правила администрирования безопасности пропускается в виртуальных сетях и подсетях, содержащих любой из этих служб. Так как правила allow не представляют риска конфликта, вы можете применить правила "Разрешить только", задав поле конфигураций AllowRulesOnlyбезопасности в securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices классе .NET.
Ограничения
Каковы ограничения службы Диспетчера виртуальная сеть Azure?
Последние ограничения см. в разделе "Ограничения" с помощью Диспетчера виртуальная сеть Azure.
Следующие шаги
Создайте экземпляр Диспетчера виртуальных сетей Azure с помощью портала Azure.