你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Virtual Network Manager 中的网络组是什么?

  • 项目

在本文中,你将了解网络组及其如何帮助你将虚拟网络分到一组以便于管理。 你还将了解“静态组成员资格”和“动态组成员资格”以及如何使用每种类型的成员资格

重要

Azure Virtual Network Manager 现已正式发布,可用于 Virtual Network Manager、中心和分支连接配置以及具有安全管理员规则的安全配置。 网格连接配置仍以公共预览版提供。

此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款

网络组

网络组是包含一组来自任何区域的虚拟网络资源的全局容器。 然后,将配置应用于目标网络组,该网络组将配置应用于组的所有成员。

组成员身份

组成员资格是一种多对多关系,因此一个组包含多个虚拟网络,并且任何给定的虚拟网络都可以参与多个网络组。 作为网络组的一部分,虚拟网络接收应用于该组并且部署到虚拟网络区域的任何配置。

可以通过多种方式将虚拟网络设置为加入网络组。 组成员资格的两种类型是静态成员资格和动态成员资格

静态成员身份

静态成员资格允许通过手动选择单个虚拟网络,将虚拟网络显式添加到组中。 虚拟网络列表取决于在 Azure Virtual Network Manager 部署时定义的范围(管理组或订阅)。 如果有几个要添加到网络组的虚拟网络,此方法很有用。 静态成员资格还允许通过在组中添加或删除虚拟网络来“修补”网络组内容。

动态成员资格

如果有多个虚拟网络满足 Azure Policy 定义的条件语句,动态成员资格可让你灵活地大规模选择多个虚拟网络。 该成员资格类型适用于具有大量虚拟网络的情况,或者成员资格是由条件而不是显式列表决定的情况。 了解 Azure Policy 如何与网络组一起工作

成员资格可见性

所有组成员资格都记录在 Azure Resource Graph 中,可供用户使用。 每个虚拟网络接收图中的单个条目。 该条目指定虚拟网络所属的所有组,以及负责该成员资格的贡献源,例如静态成员或各种策略资源。 了解如何查看应用的配置

网络组和 Azure Policy

创建网络组时,将创建 Azure Policy,以便 Azure Virtual Network Manager 收到有关对虚拟网络成员资格所做更改的通知。

若要创建、编辑或删除 Azure Virtual Network Manager 动态组策略,你需要:

  • 对基础策略具有基于角色的访问控制的读取和写入权限。
  • 支持加入网络组的基于角色的访问控制权限(不支持经典管理员授权)。

有关 Azure Virtual Network Manager 动态组策略所需权限的详细信息,请查看所需权限

后续步骤