Azure 虛擬網絡 管理員常見問題
一般
重要
Azure 虛擬網絡 Manager 通常適用於 虛擬網絡 管理員和中樞和輪輻連線設定。 網格聯機設定仍為公開預覽狀態。
具有安全性系統管理員規則的安全性設定已正式推出於下列區域中:
- 澳大利亞中部
- 澳大利亞中部 2
- 澳大利亞東部
- 澳大利亞東南部
- 巴西南部
- 巴西東南部
- 加拿大中部
- 加拿大東部
- 東亞
- 北歐
- 法國中部
- 法國南部
- 德國北部
- 德國中西部
- 印度中部
- 印度南部
- 印度西部
- 以色列中部
- 義大利北部
- 日本東部
- 日本西部
- Jio 印度西部
- 南韓中部
- 南韓南部
- 挪威東部
- 挪威西部
- 波蘭中部
- 卡達中部
- 南非北部
- 南非西部
- 瑞典中部
- 瑞典南部
- 瑞士北部
- 瑞士西部
- 阿拉伯聯合大公國中部
- 阿拉伯聯合大公國北部
- 英國南部
- 英國西部
- 美國中部
- 美國東部
- 英國北部
- 美國西部
- 美國西部 2
- 美國西部 3
- 美國中西部
所有其他區域仍為公開預覽狀態。
此預覽版本是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。 可能不支援特定功能,或可能已經限制功能。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
哪些 Azure 區域支援 Azure 虛擬網絡 管理員?
如需目前的區域支援,請參閱 依區域提供的產品。
注意
除法國中部外,所有地區都有 可用性區域。
使用 Azure 虛擬網絡 Manager 的常見使用案例為何?
您可以建立不同的網路群組,以符合環境及其功能的安全性需求。 例如,您可以為生產與測試環境建立網路群組,以大規模管理其連線和安全性規則。 針對安全性規則,您會使用兩個安全性系統管理員規則集合來建立安全性系統管理員設定,每個集合分別以生產與測試網路群組為目標。 部署之後,此組態會針對生產環境中的網路資源強制執行一組安全性規則,並針對測試環境強制執行一組安全性規則。
您可以套用聯機設定,為組織訂用帳戶中的大量虛擬網路建立網格或中樞輪輻網路拓撲。
您可以拒絕高風險流量:身為企業的系統管理員,您可以封鎖覆寫通常允許流量之任何 NSG 規則的特定通訊協定或來源。
一律允許流量:即使已設定 NSG 規則來拒絕流量,您想要允許特定安全性掃描器一律具有所有資源的輸入連線。
使用 Azure 虛擬網絡 Manager 的成本為何?
Azure 虛擬網絡 Manager 費用是以包含虛擬網路的訂用帳戶數目為基礎,其中已部署作用中網路管理員組態。 此外,虛擬網絡 對等互連費用適用於受部署連線設定(Mesh 或 Hub-and-Spoke)所管理的虛擬網路流量量。
您可以在 Azure 虛擬網絡 Manager 定價頁面上找到您區域的目前定價。
技術
虛擬網路是否屬於多個 Azure 虛擬網絡 管理員?
是,虛擬網路可以屬於多個 Azure 虛擬網絡 Manager。
什麼是全域網狀網路拓撲?
全域網狀結構可讓不同區域的虛擬網路彼此通訊。 效果類似於全域虛擬網路對等互連的運作方式。
可以建立多少個網路群組的限制嗎?
無法建立多少個網路群組。
如何? 移除所有套用組態的部署?
您必須將 None 組態部署到已套用設定的所有區域。
我可以從另一個未由自己管理的訂用帳戶新增虛擬網路嗎?
是,您必須具備適當的許可權才能存取這些虛擬網路。
什麼是動態群組成員資格?
如需詳細資訊,請參閱 動態成員資格。
動態成員資格和靜態成員資格的設定部署有何不同?
如需詳細資訊,請參閱 針對成員資格類型進行部署。
如何? 刪除 Azure 虛擬網絡 Manager 元件嗎?
如需詳細資訊,請參閱 移除元件檢查清單。
Azure 虛擬網絡 管理員是否儲存客戶數據?
否。 Azure 虛擬網絡 Manager 不會儲存任何客戶數據。
是否可以移動 Azure 虛擬網絡 Manager 實例?
否。 目前不支援資源移動。 如果您需要移動它,您可以考慮刪除現有的虛擬網路管理員實例,並使用ARM樣本在另一個位置建立另一個。
如何查看套用哪些設定來協助我進行疑難解答?
您可以在虛擬網路的網路管理員底下檢視 Azure 虛擬網絡 Manager 設定。 您可以看到已套用的連線和安全性系統管理員設定。 如需詳細資訊,請參閱 檢視套用的組態。
當具有虛擬網路管理員實例的區域中的所有區域關閉時,會發生什麼事?
如果發生區域性中斷,套用至目前受控虛擬網路資源的所有設定都會在中斷期間保持不變。 您無法在中斷期間建立新的組態或修改現有的組態。 一旦中斷問題解決,您可以繼續像以前一樣管理虛擬網路資源。
Azure 虛擬網絡 管理員所管理的虛擬網路是否可以對等互連至非受控虛擬網路?
是,Azure 虛擬網絡 管理員與使用對等互連預先存在的中樞和輪輻拓撲部署完全相容。 這表示您不需要刪除輪輻與中樞之間的任何現有對等互連連線。 移轉會在您的網路沒有任何停機時間的情況下進行。
我可以將現有的中樞和輪輻拓撲移轉至 Azure 虛擬網絡 Manager 嗎?
是,將現有的 VNet 遷移至 AVNM 的中樞和輪輻拓撲相當簡單,而且不需要停時。 客戶可以 建立所需拓撲的中樞和輪輻拓撲 聯機設定。 部署此組態時,虛擬網路管理員會自動建立必要的對等互連。 用戶設定的任何預先存在的對等互連都會保持不變,以確保不會停機。
關於建立虛擬網路之間的連線能力,連線群組與虛擬網路對等互連有何不同?
在 Azure 中,虛擬網路對等互連和連線群組是建立虛擬網路 (VNet) 之間連線的兩種方法。 雖然虛擬網路對等互連的運作方式是在每個對等互連虛擬網路之間建立 1:1 對應,但聯機群組會使用新的建構來建立連線,而不需要這類對應。 在連線的群組中,所有虛擬網路都會連線,而不需要個別的對等互連關聯性。 例如,如果 VNetA、VNetB 和 VNetC 是相同連線群組的一部分,則會在每個虛擬網路之間啟用連線,而不需要個別對等互連關聯性。
我可以建立安全性系統管理員規則的例外狀況嗎?
通常,系統會定義安全性系統管理員規則來封鎖虛擬網路之間的流量。 不過,有時候某些虛擬網路及其資源需要允許管理或其他進程的流量。 在這些案例中,您可以 視需要建立例外狀況 。 瞭解如何 針對這些類型的案例封鎖高風險埠,但有例外 狀況。
如何將多個安全性系統管理員設定部署到區域?
只有一個安全性系統管理員設定可以部署到區域。 不過,區域中可以有多個連線設定。 若要將多個安全性系統管理員設定部署至區域,您可以 改為在安全性設定中建立多個規則集合 。
安全性管理員規則是否適用於 Azure 私人端點?
目前,安全性系統管理員規則不適用於屬於 Azure 虛擬網絡 Manager 所管理虛擬網路範圍的 Azure 私人端點。
輸出規則
| 連接埠 | 通訊協定 | 來源 | Destination | 動作 |
|---|---|---|---|---|
| 443、12000 | TCP | VirtualNetwork | AzureCloud | 允許 |
| 任意 | 任意 | VirtualNetwork | VirtualNetwork | Allow |
Azure 虛擬 WAN 中樞可以屬於網路群組嗎?
否,Azure 虛擬 WAN 中樞目前不能位於網路群組中。
Azure 虛擬 WAN 是否可以作為虛擬網路管理員中樞和輪輻拓撲組態中的中樞?
否,目前不支援 Azure 虛擬 WAN 中樞作為中樞和輪輻拓撲中的中樞。
我的 虛擬網絡 未取得我預期的設定。 如何? 疑難解答?
您是否已將設定部署至虛擬網路的區域?
Azure 虛擬網絡 Manager 中的設定在部署之前不會生效。 使用適當的設定,將部署至虛擬網路區域。
您的虛擬網路是否在範圍內?
網路管理員只會委派足夠的存取權,以將組態套用至您範圍內的虛擬網路。 即使資源位於您的網路群組中,但範圍不足,也不會收到任何設定。
您是否將安全性規則套用至包含 Azure SQL 受控執行個體 的虛擬網路?
Azure SQL 受控執行個體 有一些網路需求。 這些原則是透過高優先順序的網路意圖原則強制執行,其用途與安全性 管理員 規則衝突。 根據預設,管理員 規則應用程式在包含這些意圖原則的任何 VNet 上略過。 由於 [允許 規則] 不會造成衝突的風險,因此您可以選擇套用 [僅限 允許] 規則。 如果您只想要使用 Allow 規則,您可以在 上 securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices設定 AllowRulesOnly。
您是否將安全性規則套用至包含封鎖安全性設定規則之服務的虛擬網路或子網?
某些服務,例如 Azure SQL 受控執行個體、Azure Databricks 和 Azure 應用程式閘道 需要特定的網路需求才能正常運作。 根據預設,安全性管理規則應用程式會略過 VNet 和包含任何這些服務的子網。 由於 [允許規則] 不會造成衝突的風險,因此您可以在 .NET 類別上securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices設定安全性設定的AllowRulesOnly欄位,選擇套用 [僅允許規則]。
限制
Azure 虛擬網絡 Manager 的服務限制為何?
如需最新的限制,請參閱 Azure 虛擬網絡 Manager 的限制。
下一步
使用 Azure 入口網站 建立 Azure 虛擬網絡 Manager 實例。