Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące usługi Azure Virtual Network Manager.
Ogólne
Które regiony platformy Azure obsługują usługę Azure Virtual Network Manager?
Aby uzyskać bieżące informacje o obsłudze regionów, zapoznaj się z tematem Produkty dostępne według regionów.
Uwaga
Wszystkie regiony mają strefy dostępności.
Jakie są typowe przypadki użycia usługi Azure Virtual Network Manager?
Możesz utworzyć grupy sieciowe, aby spełnić wymagania dotyczące zabezpieczeń środowiska i jego funkcji. Można na przykład utworzyć grupy sieciowe dla środowisk produkcyjnych i testowych, aby zarządzać ich regułami łączności i zabezpieczeń na dużą skalę.
W przypadku reguł administratora zabezpieczeń można utworzyć konfigurację administratora zabezpieczeń z dwiema kolekcjami reguł. Każdy zbiór reguł jest przeznaczony odpowiednio dla grup twojej sieci produkcyjnej i testowej. Po wdrożeniu ta konfiguracja wymusza jeden zestaw reguł administratora zabezpieczeń dla zasobów sieciowych dla środowiska produkcyjnego, a drugi zestaw dla środowiska testowego.
Konfiguracje łączności można zastosować, aby utworzyć topologię sieci piasty i szprych dla dużej liczby sieci wirtualnych w ramach subskrypcji organizacji.
Możesz odmówić ruchu wysokiego ryzyka. Jako administrator przedsiębiorstwa możesz zablokować określone protokoły lub źródła, które zastępują wszystkie reguły sieciowej grupy zabezpieczeń, które normalnie zezwalają na ruch.
Możesz wymusić zezwalanie na ruch. Na przykład można zezwolić na użycie określonego skanera zabezpieczeń, aby zawsze mieć łączność przychodzącą ze wszystkimi zasobami, nawet jeśli reguły sieciowej grupy zabezpieczeń są skonfigurowane pod kątem odmowy ruchu.
Jaki jest koszt korzystania z usługi Azure Virtual Network Manager?
Opłaty za usługę Azure Virtual Network Manager są oparte na liczbie sieci wirtualnych z wdrożoną na niej aktywną konfiguracją programu Virtual Network Manager. Jeśli na przykład zakres menedżera sieci wirtualnej zawiera 100 sieci wirtualnych, ale konfiguracje zostały wdrożone tylko na 5 z tych sieci wirtualnych, opłata zostanie naliczona za te 5 sieci wirtualnych (nie wszystkie 100). Należy również pamiętać, że opłata za peering ma zastosowanie do ruchu sieci wirtualnych, które są zarządzane w ramach wdrożonych konfiguracji łączności (siatka lub układ piasty i szprych).
Jeśli sieć wirtualna ma wiele konfiguracji wdrożonych w niej przez to samo wystąpienie menedżera sieci wirtualnej, ta sieć wirtualna powoduje naliczanie tylko jednej stawki opłaty; opłaty nie będą się powielać. Jeśli na przykład menedżer sieci wirtualnej wdraża zarówno konfigurację łączności, jak i konfigurację administratora zabezpieczeń na tym samym zestawie 5 sieci wirtualnych, opłaty będą naliczane za te 5 sieci wirtualnych, ale nie będą naliczane dwa razy. Ten koszt nie obejmuje wielu konfiguracji, chyba że konfiguracje pochodzą z różnych wystąpień programu Virtual Network Manager.
Przed marcem 2025 r. opłaty za usługę Azure Virtual Network Manager były domyślnie oparte na liczbie subskrypcji, które zawierały sieć wirtualną z wdrożoną na niej aktywną konfiguracją programu Virtual Network Manager. Jeśli instancja programu Virtual Network Manager została utworzona przed marcem 2025 roku, możesz przełączyć się na model cenowy oparty na sieci wirtualnej.
Opłaty za każde uruchomienie narzędzia weryfikacji sieci w obszarze roboczym weryfikatora usługi Azure Virtual Network Manager są naliczane w usłudze Azure Virtual Network Manager. Ta opłata jest oddzielona od opłat za usługę Azure Virtual Network Manager.
Bieżące ceny dla regionu można znaleźć na stronie cennika usługi Azure Virtual Network Manager.
Jak mogę wdrożyć usługę Azure Virtual Network Manager?
Wystąpienie i konfiguracje usługi Azure Virtual Network Manager można wdrażać i zarządzać nimi za pomocą różnych narzędzi, w tym:
- Witryna Azure Portal
- Interfejs wiersza polecenia platformy Azure
- Azure PowerShell
- Szablon ARM
- Terraform
- Biceps
Techniczne
Czy sieć wirtualna może należeć do wielu wystąpień usługi Azure Virtual Network Manager?
Tak, sieć wirtualna może należeć do więcej niż jednego wystąpienia usługi Azure Virtual Network Manager.
Czy sieci wirtualne będące szprychami mogą być połączone z koncentratorem usługi Virtual WAN w konfiguracji łączności siatki, aby te sieci wirtualne będące szprychami mogły komunikować się bezpośrednio?
Tak, sieci wirtualne w typie 'spoke' mogą łączyć się z koncentratorami usługi Virtual WAN w konfiguracji łączności siatki. Te sieci wirtualne w grupie siatki mają bezpośrednią łączność ze sobą.
Czy operacje na prefiksach IP w sieciach wirtualnych, które są częścią siatki usługi Azure Virtual Network Manager, będą propagowane automatycznie?
Sieci wirtualne w siatkach są automatycznie synchronizowane. Prefiksy adresów IP zostaną automatycznie zaktualizowane. Oznacza to, że ruch w obrębie mesh będzie działać nawet po wprowadzeniu zmian w prefiksach adresów IP w sieciach wirtualnych wewnątrz mesh.
Jak sprawdzić, czy konfiguracja łączności siatki jest stosowana zgodnie z oczekiwaniami?
Zapoznaj się z dokumentacją Jak wyświetlić zastosowane konfiguracje. Konfiguracja łączności siatki nie łączy sieci wirtualnych przy użyciu peeringu, więc nie widać łączności siatki w ostrzach peeringu.
Co się stanie, jeśli region, w którym jest tworzony menedżer sieci wirtualnej platformy Azure, nie działa? Czy ma to wpływ na wdrożone konfiguracje, czy tylko zapobiega zmianom konfiguracji?
Będzie to miało wpływ tylko na możliwość zmiany konfiguracji. Gdy usługa Azure Virtual Network Manager zaprogramowała konfigurację po zatwierdzeniu konfiguracji, będzie nadal działać. Jeśli na przykład wystąpienie usługi Azure Virtual Network Manager zostanie utworzone w regionie 1, a topologia siatki zostanie ustanowiona w regionie 2, siatka w regionie 2 będzie nadal działać, nawet jeśli region 1 stanie się niedostępny.
Co to jest topologia sieci siatki globalnej?
Globalna siatka umożliwia sieciom wirtualnym w różnych regionach komunikowanie się ze sobą. Efekty są podobne do sposobu działania globalnej komunikacji równorzędnej sieci wirtualnych.
Czy istnieje limit liczby grup sieciowych, które można utworzyć?
Nie ma limitu liczby grup sieciowych, które można utworzyć.
Jak mogę usunąć wdrożenie wszystkich zastosowanych konfiguracji?
Należy wdrożyć konfigurację Brak we wszystkich regionach, w których zastosowano konfigurację.
Czy mogę dodać sieci wirtualne z innej subskrypcji, którą nie zarządzam?
Tak, jeśli masz odpowiednie uprawnienia dostępu do tych sieci wirtualnych.
W jaki sposób wdrożenie konfiguracji różni się między grupami sieciowymi z ręcznie dodanymi członkami i warunkowo dodanymi członkami?
Zobacz Wdrożenia konfiguracji w usłudze Azure Virtual Network Manager.
Jak mogę usunąć składnik usługi Azure Virtual Network Manager?
Zobacz Usuwanie i aktualizowanie listy kontrolnej składników usługi Azure Virtual Network Manager.
Czy usługa Azure Virtual Network Manager przechowuje dane klientów?
L.p. Usługa Azure Virtual Network Manager nie przechowuje żadnych danych klientów.
Czy można przenieść wystąpienie usługi Azure Virtual Network Manager?
L.p. Azure Virtual Network Manager obecnie nie obsługuje możliwości przeniesienia swojego wystąpienia do innego regionu, grupy zasobów ani subskrypcji. Jeśli musisz przenieść wystąpienie, rozważ jego usunięcie i użycie szablonu usługi Azure Resource Manager w celu utworzenia innego wystąpienia w żądanej lokalizacji.
Czy mogę przenieść subskrypcję z usługą Azure Virtual Network Manager do innej dzierżawy?
Tak, ale należy pamiętać o kilku kwestiach:
- Dzierżawca docelowy nie może mieć utworzonego Menedżera Sieci Wirtualnej platformy Azure.
- Sieci wirtualne szprychowe w grupie sieci mogą utracić odwołanie podczas zmieniania dzierżawców, co powoduje utratę połączenia z siecią wirtualną piasty. Aby rozwiązać ten problem, po przeniesieniu subskrypcji do innej dzierżawy, należy ręcznie dodać sieci wirtualne typu spoke do grupy sieciowej w Azure Virtual Network Manager.
Jak sprawdzić, jakie konfiguracje są stosowane, aby ułatwić mi rozwiązywanie problemów?
Ustawienia usługi Azure Virtual Network Manager można wyświetlić w obszarze Menedżer sieci dla sieci wirtualnej. Ustawienia pokazują konfiguracje, które są stosowane. Aby uzyskać więcej informacji, zobacz Wyświetlanie konfiguracji zastosowanych przez usługę Azure Virtual Network Manager.
Co się stanie, gdy wszystkie strefy w regionie z instancją usługi Azure Virtual Network Manager są wyłączone?
Jeśli wystąpi awaria regionalna, wszystkie konfiguracje zastosowane do bieżących zarządzanych zasobów sieci wirtualnej pozostaną nienaruszone podczas awarii. Podczas awarii nie można tworzyć nowych konfiguracji ani modyfikować istniejących konfiguracji. Po rozwiązaniu awarii można nadal zarządzać zasobami sieci wirtualnej tak jak wcześniej.
Czy sieć wirtualna zarządzana przez usługę Azure Virtual Network Manager może być równorzędna do niezarządzanej sieci wirtualnej?
Tak. Usługa Azure Virtual Network Manager jest w pełni zgodna z wcześniej istniejącymi topologiami typu hub-and-spoke utworzonymi za pomocą ręcznego sparowania. Nie musisz usuwać żadnych połączeń równorzędnych, które już istnieją, między sieciami wirtualnymi centrali i szprych. Migracja odbywa się bez żadnych przestojów w sieci.
Czy mogę przeprowadzić migrację istniejącej topologii piasty i szprych do usługi Azure Virtual Network Manager?
Tak. Migrowanie istniejących sieci wirtualnych do topologii piasty i szprych w usłudze Azure Virtual Network Manager jest proste. Możesz utworzyć konfigurację łączności topologii piasty i szprych. Podczas wdrażania tej konfiguracji usługa Azure Virtual Network Manager automatycznie tworzy niezbędne połączenia równorzędne. Wszelkie istniejące połączenia równorzędne pozostają bez zmian, więc nie ma przestojów.
Jak połączone grupy różnią się od komunikacji równorzędnej sieci wirtualnych w nawiązywaniu łączności między sieciami wirtualnymi?
Na platformie Azure komunikacja równorzędna sieci wirtualnych i połączone grupy to dwie metody ustanawiania łączności między sieciami wirtualnymi. Peering sieci wirtualnych działa poprzez utworzenie mapowania jeden do jednego między sieciami wirtualnymi, natomiast połączone grupy używają nowego rozwiązania, które ustanawia łączność bez takiego mapowania.
W połączonej grupie wszystkie sieci wirtualne są połączone bez poszczególnych relacji komunikacji równorzędnej. Jeśli na przykład trzy sieci wirtualne są częścią tej samej połączonej grupy, łączność jest włączona między każdą siecią wirtualną bez konieczności obsługi poszczególnych relacji komunikacji równorzędnej.
Efekt każdej metody jest taki sam, w którym jest ustanowiona dwukierunkowa łączność między sieciami wirtualnymi. Jednak połączone grupy upraszczają zarządzanie łącznością, pozwalając na zarządzanie wieloma sieciami wirtualnymi jako pojedynczą jednostką i osiąganie większej skali łączności poza limitami peeringu.
Czy w przypadku zarządzania sieciami wirtualnymi za pomocą komunikacji równorzędnej sieci wirtualnych jest to spowodowane dwukrotnym płaceniem opłat za komunikację równorzędną sieci wirtualnych za pomocą usługi Azure Virtual Network Manager?
Nie ma drugiej ani podwójnej opłaty za peering. Menedżer sieci wirtualnej uwzględnia wszystkie utworzone wcześniej komunikacje równorzędne sieci wirtualnych i migruje te połączenia. Wszystkie zasoby komunikacji równorzędnej, tworzone w menedżerze sieci wirtualnej lub na zewnątrz, z naliczaniem jednej opłaty za komunikację równorzędną.
Czy mogę utworzyć wyjątki od reguł administratora zabezpieczeń?
Zwykle reguły administratora zabezpieczeń są definiowane w celu blokowania ruchu między sieciami wirtualnymi. Jednak czasami niektóre sieci wirtualne i ich zasoby muszą zezwalać na ruch do zarządzania lub innych procesów. W tych scenariuszach można utworzyć wyjątki w razie potrzeby. Dowiedz się, jak blokować porty wysokiego ryzyka z wyjątkami dla tych scenariuszy.
Jak wdrożyć wiele konfiguracji administratora zabezpieczeń w regionie?
W regionie można wdrożyć tylko jedną konfigurację administratora zabezpieczeń. Jednak wiele konfiguracji łączności może istnieć w regionie, jeśli tworzysz wiele kolekcji reguł w konfiguracji administratora zabezpieczeń.
Czy reguły administratora zabezpieczeń mają zastosowanie do prywatnych punktów końcowych platformy Azure?
Obecnie reguły administratora zabezpieczeń nie mają zastosowania do prywatnych punktów końcowych platformy Azure, które należą do zakresu sieci wirtualnej zarządzanej przez usługę Azure Virtual Network Manager.
Reguły ruchu wychodzącego
| Port | Protokół | Element źródłowy | Element docelowy | Akcja |
|---|---|---|---|---|
| 443, 12000 | TCP | VirtualNetwork |
AzureCloud |
Zezwalaj |
| Dowolne | Dowolne | VirtualNetwork |
VirtualNetwork |
Zezwalaj |
Czy koncentrator usługi Azure Virtual WAN może być częścią grupy sieci?
Nie, centrum Azure Virtual WAN nie może być w tej chwili w grupie sieciowej.
Czy mogę użyć instancji Azure Virtual WAN jako węzła centralnego w konfiguracji łączności gwiaździstej z wykorzystaniem Azure Virtual Network Manager?
Nie, koncentrator usługi Azure Virtual WAN nie jest obecnie obsługiwany jako piasta w topologii piasty i szprych.
Moja sieć wirtualna nie otrzymuje oczekiwanych konfiguracji. Jak mogę rozwiązywanie problemów?
Skorzystaj z poniższych pytań, aby uzyskać możliwe rozwiązania.
Czy konfiguracja została wdrożona w regionie sieci wirtualnej?
Konfiguracje w usłudze Azure Virtual Network Manager nie będą obowiązywać do momentu ich wdrożenia. Utwórz wdrożenie w regionie sieci wirtualnej przy użyciu odpowiednich konfiguracji.
Czy sieć wirtualna jest w zakresie?
Menedżer sieci jest delegowany tylko wystarczająco dużo dostępu, aby zastosować konfiguracje do sieci wirtualnych w twoim zakresie. Jeśli zasób znajduje się w grupie sieciowej, ale poza zakresem, nie otrzymuje żadnych konfiguracji.
Czy stosujesz reguły zabezpieczeń do sieci wirtualnej zawierającej wystąpienia zarządzane?
Usługa Azure SQL Managed Instance ma pewne wymagania dotyczące sieci. Te wymagania są wymuszane za pomocą zasad intencji sieci o wysokim priorytcie, których cel powoduje konflikt z regułami administratora zabezpieczeń. Domyślnie aplikacja reguły administratora jest pomijana w sieciach wirtualnych, które zawierają dowolne z tych zasad intencji. Ze względu na to, że reguły Zezwalaj nie stanowią ryzyka konfliktu, możesz zdecydować się na zastosowanie reguł Zezwalaj tylko, ustawiając wartość AllowRulesOnly na .securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
Czy stosujesz reguły zabezpieczeń do sieci wirtualnej lub podsieci zawierającej usługi blokujące reguły konfiguracji zabezpieczeń?
Niektóre usługi wymagają określonych wymagań sieciowych, aby działały prawidłowo. Te usługi obejmują usługę Azure SQL Managed Instance, usługę Azure Databricks i usługę aplikacja systemu Azure Gateway. Domyślnie stosowanie reguł administratora zabezpieczeń jest pomijane w sieciach wirtualnych i podsieciach zawierających dowolną z tych usług. Ze względu na to, że reguły Zezwalaj nie stanowią ryzyka konfliktu, możesz zdecydować się na zastosowanie reguł Zezwalaj tylko , ustawiając pole konfiguracji AllowRulesOnly zabezpieczeń w securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices klasie .NET.
Limity
Jakie są ograniczenia usługi usługi Azure Virtual Network Manager?
Aby uzyskać najbardziej aktualne informacje, zobacz Ograniczenia dotyczące usługi Azure Virtual Network Manager.
Następne kroki
- Utwórz wystąpienie usługi Azure Virtual Network Manager przy użyciu witryny Azure Portal.