你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Virtual Network Manager 常见问题解答
常规
重要
Azure Virtual Network Manager 现已正式发布,可用于中心辐射型连接配置以及具有安全管理员规则的安全配置。 网格连接配置仍以公共预览版提供。
此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款。
哪些 Azure 区域支持 Azure Virtual Network Manager?
有关当前区域支持,请参阅可用产品(按区域)。
注意
具有可用性区域的所有区域(法国中部除外)。
使用 Azure Virtual Network Manager 的常见用例有哪些?
你可以创建不同的网络组以满足环境及其功能的安全要求。 例如,你可为生产和测试环境创建网络组,以大规模管理其连接和安全规则。 对于安全规则,可以使用两个安全管理规则集合创建安全管理配置,两个集合分别面向生产和测试网络组。 部署后,此配置将为生产环境中的网络资源强制执行一组安全规则,并为测试环境强制执行另一组安全规则。
可以应用连接配置,从而为组织订阅中的大量虚拟网络创建网格或中心辐射型网络拓扑。
可以拒绝高风险流量:作为企业管理员,你可以阻止特定协议或源,从而替代通常会允许流量的任何 NSG 规则。
始终允许流量:你想要允许特定安全扫描程序始终与所有资源建立入站连接,即使存在配置为拒绝流量的 NSG 规则。
使用 Azure Virtual Network Manager 的成本是多少?
Azure Virtual Network Manager 的费用基于包含部署了活动的网络管理器配置的虚拟网络的订阅数。 此外,虚拟网络对等互连费用适用于由部署的连接配置(网格或中心辐射)管理的虚拟网络的流量。
可以在 Azure Virtual Network Manager 定价页上找到你的区域的当前定价。
技术
一个虚拟网络是否可以属于多个 Azure Virtual Network Manager?
是,一个虚拟网络可以属于多个 Azure Virtual Network Manager。
什么是全局网格网络拓扑?
全局网格允许不同区域中的虚拟网络相互通信。 其作用与全局虚拟网络对等互连的工作原理类似。
可创建的网络组数量是否有限制?
可创建的网络组数量没有限制。
如何删除所有已应用的配置的部署?
你需要将 None 配置部署到已应用配置的所有区域。
我是否可以添加不是由自己管理的另一订阅中的虚拟网络?
是,你需要具有访问这些虚拟网络的适当权限。
什么是动态组成员资格?
有关详细信息,请参阅动态成员资格。
动态成员资格与静态成员资格的配置部署有何不同?
有关详细信息,请参阅针对成员资格类型的部署。
如何删除 Azure Virtual Network Manager 组件?
有关详细信息,请参阅删除组件清单。
Azure Virtual Network Manager 是否存储客户数据?
不是。 Azure Virtual Network Manager 不存储任何客户数据。
能否移动 Azure Virtual Network Manager 实例?
不是。 当前不支持资源移动。 如果需要移动资源,可以考虑删除现有虚拟网络管理器实例,然后使用 ARM 模板在另一个位置创建另一个实例。
如何查看已应用的配置来帮助进行故障排除?
可在虚拟网络的“网络管理器”下查看 Azure Virtual Network Manager 设置。 可以看到已应用的连接和安全管理配置。 有关详细信息,请参阅查看已应用的配置。
当具有虚拟网络管理器实例的 Azure 区域中的所有区域停机时,会发生什么情况?
如果发生区域性中断,应用于当前托管虚拟网络资源的所有配置在中断期间将保持不变。 无法在中断期间创建新配置或修改现有配置。 中断解决后,可以继续像以前一样管理虚拟网络资源。
Azure Virtual Network Manager 托管的虚拟网络是否可以与非托管的虚拟网络建立对等互连?
是,Azure Virtual Network Manager 与使用对等互连的预先存在的中心辐射型拓扑部署完全兼容。 这意味着,你无需删除辐射和中心之间任何现有的对等互连。 迁移过程不会给网络带来任何停机时间。
是否可以将现有中心辐射型拓扑迁移到 Azure Virtual Network Manager?
是,将现有 VNet 迁移到 AVNM 的中心辐射型拓扑非常简单,不需要停机。 客户可以创建所需拓扑的中心辐射型拓扑连接配置。 部署此配置时,虚拟网络管理器将自动创建必要的对等互连。 用户设置的任何预先存在的对等互连保持不变,确保不会停机。
在虚拟网络之间建立连接方面,连接的组与虚拟网络对等互连有何不同?
在 Azure 中,虚拟网络对等互连和连接的组是建立虚拟网络 (VNet) 之间的连接的两种方法。 虚拟网络对等互连的工作原理是在每个对等虚拟网络之间创建 1:1 的映射,而连接组使用一种新的构造,无需进行此类映射即可建立连接。 在连接的组中,所有虚拟网络连接在一起,但没有单独的对等互连关系。 例如,如果 VNetA、VNetB 和 VNetC 属于同一连接的组,则会在每个虚拟网络之间启用连接,而无需建立单独的对等互连关系。
是否可以创建安全管理规则的例外?
通常,安全管理规则定义用于阻止跨虚拟网络的流量。 但是,有时某些虚拟网络及其资源需要允许用于管理或其他进程的流量。 对于这些方案,可以根据需要创建例外。 了解如何针对这些类型的场景阻止高风险端口(有例外)。
如何将多个安全管理配置部署到一个区域?
一个区域只能部署一个安全管理配置。 但是,一个区域中可以存在多个连接配置。 若要将多个安全管理配置部署到一个区域,可以在安全配置中创建多个规则集合。
安全管理规则是否适用于 Azure 专用终结点?
目前,安全管理规则不适用于属于 Azure Virtual Network Manager 管理的虚拟网络范围内的 Azure 专用终结点。
出站规则
| 端口 | 协议 | 源 | 目标 | 操作 |
|---|---|---|---|---|
| 443、12000 | TCP | VirtualNetwork | AzureCloud | Allow |
| 任意 | 任意 | VirtualNetwork | VirtualNetwork | 允许 |
Azure 虚拟 WAN 中心是否可以成为网络组的一部分?
否,Azure 虚拟 WAN 中心目前不能位于网络组中。
Azure 虚拟 WAN 是否可以用作虚拟网络管理器的中心辐射型拓扑配置的中心?
否,目前不支持将 Azure 虚拟 WAN 中心作为中心辐射型拓扑中的中心。
虚拟网络未进行预期的配置。 如何进行故障排除?
你是否已将配置部署到虚拟网络的区域?
Azure Virtual Network Manager 中的配置在部署之前不会生效。 使用适当的配置部署到虚拟网络区域。
虚拟网络是否在范围内?
网络管理员获得了足够的访问权限才能将配置应用于范围内的虚拟网络。 即使某个资源在你的网络组中,但如果不在范围内,它也不会收到任何配置。
你是否正将安全规则应用于包含 Azure SQL 托管实例的虚拟网络?
Azure SQL 托管实例具有一些网络要求。 这些要求是通过高优先级网络意向策略强制执行的,这些策略旨在与安全管理规则相冲突。 默认情况下,包含其中任一意向策略的 VNet 会跳过管理规则应用程序。 由于“允许”规则不会带来冲突的风险,因此可以选择应用“仅允许”规则。 如果只想使用“允许”规则,则可以在 securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices 设置 AllowRulesOnly。
你是否正将安全规则应用于包含阻止安全配置规则的服务的虚拟网络或子网?
某些服务(如 Azure SQL 托管实例、Azure Databricks 和 Azure 应用程序网关)需要满足特定的网络要求才能正常运行。 默认情况下,包含其中任一服务的 VNet 和子网会跳过安全管理规则应用程序。 由于“允许”规则不会带来冲突的风险,因此可以通过在 securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET 类上设置安全配置的 AllowRulesOnly 字段来选择应用“仅允许”规则。
限制
Azure Virtual Network Manager 存在哪些服务限制?
有关最新限制,请参阅 Azure Virtual Network Manager 限制。
后续步骤
使用 Azure 门户创建 Azure Virtual Network Manager 实例。