你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

快速入门：通过 Azure Virtual Network Manager - Azure 门户

在 Azure 门户中开始使用 Azure Virtual Network Manager 管理所有虚拟网络的连接。

在本快速入门中，部署三个虚拟网络，并使用 Azure Virtual Network Manager 创建网格网络拓扑。 然后验证是否应用了连接配置。

重要

Azure Virtual Network Manager 现已正式发布，可用于中心辐射型连接配置以及具有安全管理员规则的安全配置。 网格连接配置仍以公共预览版提供。

此预览版在提供时没有附带服务级别协议，不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。 有关详细信息，请参阅 Microsoft Azure 预览版补充使用条款。

先决条件

• 具有活动订阅的 Azure 帐户。 免费创建帐户。
• 若要修改动态网络组，必须仅通过 Azure RBAC 角色分配授予访问权限。 不支持经典管理员/旧授权。

创建 Virtual Network Manager 实例

使用所需的已定义范围和访问权限部署 Virtual Network Manager 实例。 可使用 Azure 门户、Azure PowerShell 或 Azure CLI 来创建 Virtual Network Manager 实例。 本文介绍如何使用 Azure 门户创建 Virtual Network Manager 实例。

1. 登录 Azure 门户。

2. 选择“+ 创建资源”并搜索“网络管理器” 。 然后选择“网络管理器”>“创建”，以开始设置 Virtual Network Manager。

3. 在“基本信息”选项卡上，输入或选择以下信息，然后选择“审阅 + 创建”。

   

   设置	值
   订阅	选择要部署 Virtual Network Manager 的订阅。
   资源组	选择“新建”并输入“rg-learn-eastus-001”。
   名称	输入“vnm-learn-eastus-001”。
   区域	输入“eastus”或所选区域。 Virtual Network Manager 可以管理任何区域中的虚拟网络。 所选区域是将要部署 Virtual Network Manager 实例的位置。
   说明	（可选）提供有关此 Virtual Network Manager 实例及其管理的任务的说明。
   范围	选择“选择范围”，然后选择订阅。 选择“添加到所选范围”>“选择”。 范围信息定义了 Virtual Network Manager 可以管理的资源。 可以选择订阅和管理组。
   功能	从下拉列表中选择“连接”和“安全管理员”。 连接支持在范围内的虚拟网络之间创建完整的网格或中心辐射性网络拓扑。 安全管理员支持创建全局网络安全规则。

4. 配置通过验证后，选择“创建”。

创建虚拟网络

使用门户创建三个虚拟网络。 每个虚拟网络都带有一个用于动态成员身份的 networkType 标记。 如果已有适用于网格配置的现有虚拟网络，则将表中列出的标记添加到虚拟网络，然后跳转到下一部分。

1. 从“主页”屏幕中选择“+ 创建资源”并搜索“虚拟网络”。 然后选择“创建”以开始配置虚拟网络。

2. 在“基本信息”选项卡上，输入或选择以下信息。

   

   设置	值
   订阅	选择要部署此虚拟网络的订阅。
   资源组	选择““rg-learn-eastus-001”。
   虚拟网络名称	输入“vnet-learn-prod-eastus-001”。
   区域	选择“(US)美国东部”。

3. 选择“下一步”或“IP 地址”选项卡，配置以下网络地址空间，然后选择“审阅 + 创建”。

   

   设置	值
   IPv4 地址空间	10.0.0.0/16
   子网名称	default
   子网地址空间	10.0.0.0/24

4. 配置通过验证后，选择“创建”以部署虚拟网络。

5. 重复前面的步骤，以使用以下信息创建更多虚拟网络：

   设置	值
   订阅	选择在步骤 2 中所选的同一订阅。
   资源组	选择““rg-learn-eastus-001”。
   名称	为每个附加虚拟网络输入“vnet-learn-prod-eastus-002”和“vnet-learn-test-eastus-003”。
   区域	选择“(US)美国东部”。
   vnet-learn-prod-eastus-002 IP 地址	IPv4 地址空间：10.1.0.0/16 子网名称：default 子网地址空间：10.1.0.0/24
   vnet-learn-test-eastus-003 IP 地址	IPv4 地址空间：10.2.0.0/16 子网名称：default 子网地址空间：10.2.0.0/24

创建网络组

Virtual Network Manager 通过将虚拟网络放置在网络组中将配置应用于虚拟网络组。 要创建网络组，请：

1. 浏览到“rg-learn-eastus-001”资源组，然后选择“vnm-learn-eastus-001”Virtual Network Manager 实例。

2. 在“设置”下选择“网络组”。 然后选择“创建”。

   

3. 在“创建网络组”窗格上，输入“ng-learn-prod-eastus-001”，然后选择“创建”。

   

4. 确认“网络组”窗格上现在列出了新的网络组。

   

为连接配置定义成员身份

创建网络组后，可将虚拟网络添加为成员。 为网格成员身份配置选择以下选项之一。

手动成员身份

手动添加成员身份

在此任务中，可将用于网格配置的两个虚拟网络手动添加到网络组：

1. 从网络组列表中，选择“ng-learn-prod-eastus-001”。 在“ng-learn-prod-eastus-001”窗格的“手动添加成员”下，选择“添加虚拟网络”。

   

2. 在“手动添加成员”窗格上，选择“vnet-learn-prod-eastus-001”和“vnet-learn-prod-eastus-002”，然后选择“添加”。

   

3. 在“网络组 ”窗格的“设置”下，选择“组成员”。 确认手动选择的组的成员身份。

   

Azure Policy

为动态成员身份创建策略定义

使用 Azure Policy，可以定义一个条件，以在虚拟网络名称包含 prod 时，将两个虚拟网络动态添加到网络组：

1. 从网络组列表中，选择“ng-learn-prod-eastus-001”。 在“创建策略以动态添加成员”下，选择“创建 Azure 策略”。

   

2. 在“创建 Azure 策略”窗格中，选择或输入以下信息，然后选择“预览资源”。

   

   设置	值
   策略名称	输入“azpol-learn-prod-eastus-001”。
   范围	选择“选择范围”，然后选择当前订阅。
   参数	从下拉列表中选择“名称”。
   “运算符”	从下拉列表中选择“包含”。
   条件	输入 -prod。

3. “有效虚拟网络”页会显示将根据在 Azure Policy 中定义的条件添加到网络组的虚拟网络。 准备就绪后，请选择“关闭”。

   

4. 选择“保存”以部署组成员身份。 该策略最长可能需要一分钟才能生效并添加到你的网络组。

5. 在“网络组”窗格的“设置”下，选择“组成员”，以根据在 Azure Policy 中定义的条件查看组的成员身份。 确认“源”列为“azpol-learn-prod-eastus-001 - subscriptions/subscription_id”。

   

创建配置

现在，你已创建网络组并为其提供了正确的虚拟网络，可以创建网格网络拓扑配置。 请将 <subscription_id> 替换为你的订阅。

1. 在“设置”下，选择“配置” 。 然后选择“创建”。

2. 从下拉菜单中选择“连接配置”，以开始创建连接配置。

   

3. 在“基本信息”选项卡上输入以下信息，然后选择“下一步：拓扑”。

   

   设置	值
   名称	输入“cc-learn-prod-eastus-001”。
   说明	（可选）提供有关此连接配置的说明。

4. 在“拓扑”选项卡上，如果尚未选择，则选择“网格”拓扑，并清除“跨区域启用网格连接”复选框。 此设置不需要跨区域连接，因为所有虚拟网络都在同一区域中。 准备就绪后，选择“添加”>“添加网络组”。

   

5. 在“网络组”下面，选择“ng-learn-prod-eastus-001”。 然后选择“选择”以将网络组添加到配置。

   

6. 选择“可视化效果”选项卡，以查看配置的拓扑。 此选项卡会显示已添加到配置的网络组视觉对象表示形式。

   

7. 选择“下一步：审阅 + 创建”>“创建”以创建配置。

   

8. 部署完成后，选择“刷新”。 新的连接配置将显示在“配置”窗格中。

   

部署连接配置

要将配置应用于环境，需要通过部署来提交配置。 将配置部署到部署虚拟网络的美国东部区域：

1. 选择“设置”下面的“部署”。 然后选择“部署配置”。

   

2. 选择下列设置，然后选择“下一步”。

   

   设置	值
   配置	选择“在目标状态中包括连接配置”。
   连接配置	选择“cc-learn-prod-eastus-001”。
   目标区域数	选择“美国东部”作为部署区域。

3. 选择“部署”以完成部署。

   

4. 确认部署显示在所选区域的列表中。 完成部署配置可能需要几分钟时间。

   

验证配置部署

使用每个虚拟网络的“网络管理器”部分来验证是否已部署配置：

1. 转到“vnet-learn-prod-eastus-001”虚拟网络。

2. 在“设置”下选择“网络管理器”。

3. 在“连接配置”选项卡上，验证列表中是否显示“cc-learn-prod-eastus-001”。

   

4. 对“vnet-learn-prod-eastus-002”重复上述步骤。

清理资源

如果不再需要 Azure Virtual Network Manager，则可以在移除所有配置、部署和网络组后将其移除：

1. 要从某个区域移除所有配置，请在 Virtual Network Manager 中启动并选择“部署配置”。 选择下列设置，然后选择“下一步”。

   

   设置	值
   配置	选择“在目标状态中包括连接配置”。
   连接配置	选择“无 - 移除现有的连接配置”。
   目标区域数	选择“美国东部”作为已部署区域。

2. 选择“部署”以完成部署删除。

3. 要删除配置，请转到 Virtual Network Manager 的左侧窗格。 在“设置”下，选择“配置” 。 选中要移除的配置旁边的复选框，然后在资源窗格顶部选择“删除”。

4. 在“删除配置”窗格上，选择以下选项，然后选择“删除”。

   

   设置	值
   删除选项	选择“强制删除资源”和“所有依赖资源”。
   确认删除	输入配置的名称。 在此示例中，它是“cc-learn-prod-eastus-001”。

5. 要删除网络组，请转到 Virtual Network Manager 的左侧窗格。 在“设置”下选择“网络组”。 选中要移除的网络组旁边的复选框，然后在资源窗格顶部选择“删除”。

6. 在“删除网络组”窗格上，选择以下选项，然后选择“删除”。

   

   设置	值
   删除选项	选择“强制删除资源”和“所有依赖资源”。
   确认删除	输入网络组的名称。 在此示例中，它是”ng-learn-prod-eastus-001”。

7. 选择“是”以确认删除网络组。

8. 移除所有网络组后，转到 Virtual Network Manager 的左侧窗格。 选择“概述”，然后选择“删除” 。

9. 在“删除网络管理器”窗格上，选择以下选项，然后选择“删除”。

   

   设置	值
   删除选项	选择“强制删除资源”和“所有依赖资源”。
   确认删除	输入 Virtual Network Manager 实例的名称。 在此示例中，它是“vnm-learn-eastus-001”。

10. 选择“是”确认删除。

11. 要删除资源组和虚拟网络，请找到“rg-learn-eastus-001”，然后选择“删除资源组”。 通过在文本框中输入“rg-learn-eastus-001”确认希望删除，然后选择“删除”。

后续步骤

现在，你已创建了 Azure Virtual Network Manager 实例，请了解如何使用安全管理配置来阻止网络流量：

使用 Azure Virtual Network Manager 阻止网络流量