Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des réponses aux questions fréquemment posées sur Azure Virtual Network Manager.
Général
Quelles régions Azure prennent-elles en charge Azure Virtual Network Manager ?
Pour obtenir des informations actuelles sur la prise en charge des régions, consultez l’article Produits disponibles par région.
Remarque
Toutes les régions ont des zones de disponibilité.
Quels sont les cas d’usage courants pour Azure Virtual Network Manager ?
Vous pouvez créer des groupes réseau pour répondre aux besoins de sécurité de votre environnement et de ses fonctions. Par exemple, vous pouvez créer des groupes réseau pour vos environnements de production et de test pour gérer leurs règles de connectivité et de sécurité à grande échelle.
Pour les règles d’administration de sécurité, vous pouvez créer une configuration d’administrateur de sécurité avec deux regroupements de règles. Chaque collection de règles est ciblée sur vos groupes de réseau de production et de test, respectivement. Après le déploiement, cette configuration applique un ensemble de règles d’administration de sécurité pour les ressources réseau de votre environnement de production et un autre ensemble pour votre environnement de test.
Vous pouvez appliquer des configurations de connectivité pour créer un maillage ou une topologie réseau hub-and-spoke pour un grand nombre de réseaux virtuels dans les abonnements de votre organisation.
Vous pouvez refuser le trafic à haut risque. En tant qu’administrateur d’une entreprise, vous pouvez bloquer des protocoles ou des sources spécifiques qui remplacent les règles de groupe de sécurité réseau qui autorisent normalement le trafic.
Vous pouvez autoriser le trafic de manière forcée. Par exemple, vous pouvez autoriser un scanneur de sécurité spécifique à toujours disposer d’une connectivité entrante à toutes vos ressources, même si les règles de groupe de sécurité réseau sont configurées pour refuser le trafic.
Quel est le coût lié à l’utilisation d’Azure Virtual Network Manager ?
Les frais Azure Virtual Network Manager sont basés sur le nombre de réseaux virtuels avec une configuration active de Virtual Network Manager déployée sur celle-ci. Par exemple, si une étendue Virtual Network Manager contient 100 réseaux virtuels, mais que les configurations n’ont été déployées que sur 5 de ces réseaux virtuels, vous serez facturé pour ces 5 réseaux virtuels (pas tous 100). En outre, veuillez noter que des frais de peering s’appliquent au volume de trafic des réseaux virtuels managés par une configuration de connectivité déployée (maillage ou hub-and-spoke).
Si un réseau virtuel a plusieurs configurations déployées par la même instance de gestionnaire de réseau virtuel, ce réseau virtuel est soumis à un tarif unique ; les frais ne sont pas dupliqués. Par exemple, si un Gestionnaire de réseaux virtuels déploie à la fois une configuration de connectivité et une configuration d’administrateur de sécurité sur le même ensemble de 5 réseaux virtuels, vous serez facturé pour ces 5 réseaux virtuels, mais pas deux fois. Ce coût ne tient pas compte de plusieurs configurations, sauf si les configurations proviennent de différentes instances de Virtual Network Manager.
Avant mars 2025, les frais Azure Virtual Network Manager étaient basés par défaut sur le nombre d’abonnements qui contenaient un réseau virtuel avec une configuration Active Virtual Network Manager déployée sur celle-ci. Si vous avez créé votre instance Virtual Network Manager avant mars 2025, vous pouvez choisir de basculer votre tarification vers la tarification basée sur le réseau virtuel.
L’outil de vérification réseau d’Azure Virtual Network Manager facture des frais par analyse d’accessibilité s’exécutent dans un espace de travail de vérificateur Azure Virtual Network Manager. Ces frais sont distincts des frais Azure Virtual Network Manager.
Vous trouverez la tarification actuelle pour votre région sur la page de tarification d’Azure Virtual Network Manager.
Comment déployer Azure Virtual Network Manager ?
Vous pouvez déployer et gérer une instance Azure Virtual Network Manager et des configurations via divers outils, notamment :
Techniques
Un réseau virtuel peut-il appartenir à plusieurs instances d’Azure Virtual Network Manager ?
Oui, un réseau virtuel peut appartenir à plusieurs instances d’Azure Virtual Network Manager.
Les réseaux virtuels spoke peuvent-ils être connectés à un hub Virtual WAN dans une configuration de connectivité de maillage afin que ces réseaux virtuels spoke puissent communiquer directement ?
Oui, les réseaux virtuels spoke peuvent se connecter à des hubs Virtual WAN lors de la configuration de connectivité de maillage. Ces réseaux virtuels dans le groupe maillé disposent d'une connectivité directe entre eux.
Les opérations sur les préfixes IP dans les réseaux virtuels qui font partie du maillage Azure Virtual Network Manager se propagent-ils automatiquement ?
Les réseaux virtuels dans le maillage sont automatiquement synchronisés. Les préfixes IP sont mis à jour automatiquement. Cela signifie que le trafic au sein du maillage fonctionne même après avoir modifié les préfixes IP dans les réseaux virtuels dans le maillage.
Comment vérifier qu’une configuration de connectivité de maillage est appliquée comme prévu ?
Reportez-vous à la documentation Comment afficher les configurations appliquées. Une configuration de connectivité maillée ne connecte pas les réseaux virtuels avec l'appairage de réseaux virtuels, vous ne pouvez donc pas voir la connectivité maillée dans les lames d'appairage.
Que se passe-t-il si la région où Azure Virtual Network Manager est créé est en panne ? Cela affecte-t-il les configurations déployées ou cela empêche-t-il uniquement les modifications de configuration ?
Seule la possibilité de modifier les configurations sera affectée. Une fois qu’Azure Virtual Network Manager a programmé la configuration après avoir validé la configuration, elle continuera à fonctionner. Par exemple, si l’instance Azure Virtual Network Manager est créée dans la région 1 et que la topologie de maillage est établie dans la région 2, le maillage de la région 2 continue de fonctionner même si la région 1 devient indisponible.
Qu’est-ce qu’une topologie de maillage en réseau global ?
Un maillage global permet aux réseaux virtuels entre régions de communiquer les uns avec les autres. Les effets sont similaires à l’appairage de réseaux virtuels globaux.
Le nombre de groupes réseau que je peux créer est-il limité ?
Le nombre de groupes réseau que vous pouvez créer n’est pas limité.
Comment supprimer le déploiement de toutes les configurations appliquées ?
Vous devez déployer une configuration Aucune dans toutes les régions auxquelles une configuration est appliquée.
Puis-je ajouter les réseaux virtuels d’un autre abonnement que je ne gère pas ?
Oui, si vous disposez des autorisations appropriées pour accéder à ces réseaux virtuels.
Comment le déploiement de la configuration diffère-t-il entre les groupes réseau avec des membres ajoutés manuellement et des membres ajoutés de manière conditionnelle ?
Consultez la section Déploiements de configurations dans Azure Virtual Network Manager.
Comment supprimer un composant Azure Virtual Network Manager ?
Consultez l’article Liste de vérification pour la suppression et la mise à jour de composants Azure Virtual Network Manager.
Azure Virtual Network Manager stocke-t-il des données des clients ?
Non. Azure Virtual Network Manager ne stocke aucune donnée des clients.
Une instance Azure Virtual Network Manager peut-elle être déplacée ?
Non. Azure Virtual Network Manager ne prend actuellement pas en charge la possibilité de déplacer son instance vers une autre région, un groupe de ressources ou un abonnement. Si vous devez déplacer une instance, envisagez de le supprimer et d’utiliser le modèle Azure Resource Manager pour en créer un autre à l’emplacement souhaité.
Puis-je déplacer un abonnement avec azure Virtual Network Manager vers un autre locataire ?
Oui, mais il existe quelques points à prendre en considération et à garder à l’esprit :
- Le locataire cible ne peut pas avoir créé un Gestionnaire de réseau virtuel Azure.
- Les réseaux virtuels satellites du groupe de réseaux peuvent perdre leur référence lors du changement de locataire, perdant ainsi la connectivité au réseau virtuel hub. Pour résoudre ce problème, après avoir déplacé l’abonnement vers un autre locataire, vous devez ajouter manuellement les réseaux virtuels spoke au groupe réseau d’Azure Virtual Network Manager.
Comment voir quelles sont les configurations appliquées pour m’aider à résoudre les problèmes ?
Vous pouvez voir les paramètres Azure Virtual Network Manager d’un réseau virtuel sous Network Manager. Les paramètres affichent les configurations appliquées. Pour plus d’informations, consultez l’article Afficher les configurations appliquées par Azure Virtual Network Manager.
Que se passe-t-il lorsque toutes les zones sont en panne dans une région avec une instance Azure Virtual Network Manager ?
Si une panne régionale se produit, toutes les configurations appliquées aux ressources de réseau virtuel managé actuelles restent intactes pendant la panne. Vous ne pouvez pas créer de configurations ni modifier des configurations existantes pendant la panne. Une fois la panne résolue, vous pouvez continuer à gérer vos ressources de réseau virtuel comme avant.
Un réseau virtuel managé par Azure Virtual Network Manager peut-il être appairé à un réseau virtuel non managé ?
Oui. Azure Virtual Network Manager est entièrement compatible avec les topologies hub-and-spoke préexistantes créées avec le peering manuel. Vous n’avez pas besoin de supprimer les connexions homologues existantes entre les réseaux virtuels hub et spoke. La migration se produit sans temps d’arrêt sur votre réseau.
Puis-je effectuer la migration d’une topologie hub-and-spoke existante vers Azure Virtual Network Manager ?
Oui. La migration de réseaux virtuels existants vers la topologie hub-and-spoke dans Azure Virtual Network Manager est simple. Vous pouvez créer une configuration de connectivité de la topologie hub-and-spoke. Lorsque vous déployez cette configuration, Azure Virtual Network Manager crée automatiquement les peerings nécessaires. Les appairages préexistants restent intacts ; il n’y a donc aucun temps d’arrêt.
Quelle est la différence entre des groupes connectés et un appairage de réseaux virtuels dans l’établissement d’une connectivité entre des réseaux virtuels ?
Dans Azure, le peering de réseaux virtuels et les groupes connectés constituent deux méthodes d’établissement de la connectivité entre des réseaux virtuels. Le peering de réseaux virtuels fonctionne en créant un mappage un-à-un entre des réseaux virtuels, tandis que les groupes connectés utilisent une nouvelle construction qui établit la connectivité sans ce mappage.
Dans un groupe connecté, tous les réseaux virtuels sont connectés sans relations individuelles d’appairage. Par exemple, si trois réseaux virtuels font partie du même groupe connecté, la connectivité est établie d’un réseau virtuel à l’autre sans nécessiter de relations individuelles de peering.
L’effet de chaque méthode est le même, où la connectivité bidirectionnelle est établie entre les réseaux virtuels. Toutefois, les groupes connectés simplifient la gestion de la connectivité en vous permettant de gérer plusieurs réseaux virtuels en tant qu’entité unique et de vous permettre d’obtenir une plus grande échelle de connectivité au-delà des limites de peering.
Lors de la gestion des réseaux virtuels à l’aide du peering de réseaux virtuels, cela entraîne-t-il le paiement des frais de peering de réseaux virtuels deux fois avec Azure Virtual Network Manager ?
Il n’y a pas de deuxième ou double frais pour l’appairage. Votre gestionnaire de réseau virtuel respecte tous les peerings de réseaux virtuels créés précédemment et migre ces connexions. Toutes les ressources de peering, qu’elles soient créées à l’intérieur d’un gestionnaire de réseau virtuel ou en dehors, entraînent une charge de peering unique.
Puis-je créer des exceptions aux règles d’administration de sécurité ?
Normalement, les règles d’administration de sécurité sont définies pour bloquer le trafic entre les réseaux virtuels. Toutefois, il existe des moments où certains réseaux virtuels et leurs ressources doivent autoriser le trafic pour la gestion ou d’autres processus. Pour ces scénarios, vous pouvez créer des exceptions si nécessaire. Découvrez comment bloquer des ports à haut risque avec des exceptions pour ces scénarios.
Comment puis-je déployer plusieurs configurations d’administration de sécurité dans une région ?
Vous ne pouvez déployer qu’une seule configuration d’administration de sécurité dans une région. Toutefois, plusieurs configurations de connectivité peuvent exister dans une région si vous créez plusieurs regroupements de règles dans une configuration d’administrateur de sécurité.
Les règles d’administration de la sécurité s’appliquent-elles aux points de terminaison privés Azure ?
Actuellement, les règles d’administration de la sécurité ne s’appliquent pas aux points de terminaison privés Azure qui appartiennent à l’étendue d’un réseau virtuel managé par Azure Virtual Network Manager.
Règles de trafic sortant
| Port | Protocol | Origine | Destination | Action |
|---|---|---|---|---|
| 443, 12000 | TCP | VirtualNetwork |
AzureCloud |
Allow |
| Quelconque | Quelconque | VirtualNetwork |
VirtualNetwork |
Allow |
Un hub Azure Virtual WAN peut-il faire partie d’un groupe réseau ?
Non, pour le moment, un hub Azure Virtual WAN ne peut pas se trouver dans un groupe réseau.
Puis-je utiliser une instance Azure Virtual WAN comme hub dans une configuration de connectivité hub-and-spoke Azure Virtual Network Manager ?
Non, un hub Azure Virtual WAN n’est pas pris en charge en tant que hub dans une topologie hub-and-spoke pour l’instant.
Mon réseau virtuel ne reçoit pas les configurations attendues. Comment puis-je résoudre ce problème ?
Utilisez les questions suivantes pour connaître les solutions possibles.
Avez-vous déployé votre configuration dans la région du réseau virtuel ?
Les configurations dans Azure Virtual Network Manager ne prennent pas effet tant qu’elles ne sont pas déployées. Déployez les configurations appropriées dans la région du réseau virtuel.
Votre réseau virtuel se trouve-t-il dans l’étendue ?
Un gestionnaire de réseau obtient uniquement l’accès délégué dont il a besoin pour appliquer les configurations aux réseaux virtuels situés dans votre étendue. Si une ressource se trouve dans votre groupe réseau, mais qu’elle est en dehors de l’étendue, elle ne reçoit aucune configuration.
Appliquez-vous des règles de sécurité à un réseau virtuel contenant des instances gérées ?
Azure SQL Managed Instance impose des exigences réseau. Ces exigences sont appliquées par le biais de stratégies d’intention réseau à haute priorité, dont l’objectif est en conflit avec des règles d’administration de sécurité. Par défaut, l’application de règles d’administration est ignorée sur les réseaux virtuels contenant l’une de ces stratégies d’intention. Étant donné que les règles Autoriser ne présentent aucun risque de conflit, vous pouvez choisir d’appliquer les règles Autoriser uniquement en définissant AllowRulesOnly sur securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Appliquez-vous des règles de sécurité à un réseau virtuel ou à un sous-réseau qui contient des services qui bloquent les règles de configuration de sécurité ?
Certains services nécessitent des exigences réseau spécifiques pour fonctionner correctement. Ces services incluent Azure SQL Managed Instance, Azure Databricks et Azure Application Gateway. Par défaut, l’application de règles d’administration de sécurité est ignorée sur les réseaux virtuels et sous-réseaux qui contiennent l’un de ces services. Les règles Autoriser ne présentent aucun risque de conflit. Par conséquent, vous pouvez choisir d’appliquer les règles Autoriser uniquement en définissant le champ AllowRulesOnly des configurations de sécurité sur la classe .NET securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
limites
Quelles sont les limitations de service d’Azure Virtual Network Manager ?
Pour obtenir les informations les plus récentes, consultez l’article Limitations avec Azure Virtual Network Manager.
Étapes suivantes
- Créez une instance Azure Virtual Network Manager en utilisant le portail Azure.