Azure 虛擬網路管理員透過將資源組織到範圍中,簡化了對虛擬網路的管理,從而實現高效的設定和控制。 本文說明範圍的運作方式、其管理資源的角色,以及它們如何與 Azure 的階層式結構互動。 您也會了解網路群組、組態和功能等重要概念,以及如何管理跨租用戶範圍並解決設定衝突。
Azure 虛擬網路管理員資源概觀
Azure 虛擬網路管理員實例或網路管理員包含下列資源:
網路群組:虛擬網路或子網的邏輯容器。 您將 Azure 虛擬網路管理員的設定,針對連線性、安全性和路由設定套用到這些網路群組,以大規模地實施所需的策略。
組態:可在網路群組中包含的網路資源之間大規模套用的設定集合。 Azure 虛擬網路管理員目前提供三種類型的組態:
- 建立網路拓撲的連線設定。
- 安全性系統管理員設定 ,以建立可跨虛擬網路套用的高度強制執行安全性規則集合。
- 路由組態 ,以建立跨虛擬網路及其子網的一般路由設定集合。
Scope
Azure 虛擬網路管理員中的 範圍 代表管理群組和/或訂用帳戶的界限,其中包含 Azure 虛擬網路管理員可檢視和管理的資源。 範圍的值可以包含多個管理群組和/或多個訂用帳戶。 若要了解如何管理您的資源階層,請參閱 Azure 管理群組。 當您選取管理群組作為範圍時,所有子訂閱及其資源都會包含在範圍內。
附註
您無法使用相同階層的重疊範圍和選取的相同功能來建立多個網路管理員。
當您在管理群組層級指定範圍時,必須先在管理群組範圍中註冊 Azure 虛擬網路提供者,才能部署網路管理員。 此程序包含在 Azure 入口網站中建立網路管理員的一部分,但不包括使用 Azure CLI 和 Azure PowerShell 等程式設計方法。 深入了解在管理群組範圍註冊提供者。
範圍適用性的運作方式
當您部署組態時,網路管理員只會將這些設定套用至其範圍內的資源。 如果您嘗試將資源新增至不在範圍內的網路群組,例如不屬於網路管理員範疇中的管理或訂閱的虛擬網路,該資源就會被加入到網路群組,以表示您的意圖。 不過,網路管理員實際上不會將該網路群組的目標設定套用至該外部虛擬網路。
當您建立網路管理員時,您可以定義其範圍。 您可以在網路管理員建立之後更新其範圍。 範圍更新會觸發自動、全範圍的重新評估。 如果訂用帳戶或管理群組新增至範圍,該範圍新增內的資源可以自動接收組態設定。 如果訂用帳戶或管理群組從範圍中移除,該範圍移除內的資源可能會自動遺失組態設定。
管理跨租用戶範圍
網路管理員的範圍可以跨越租用戶,不過需要單獨的核准流程來確立此範圍。 深入瞭解 跨租戶範圍。
特性
功能是可讓您的網路管理員在其範圍上部署的設定類型。 您可以在相同的網路管理員上啟用任意數目的功能。 如果您未啟用任何功能,網路管理員就無法建立或部署任何設定,但仍包含 IP位址管理功能 和 網路驗證工具 。
階層
Azure Virtual Network Manager 可讓您管理階層中的網路資源。 階層表示您可以有多個具有重疊範圍的網路管理員,以及後續重疊的組態。
例如,一個網路管理員可以有最上層 管理群組 作為其範圍,而另一個網路管理員則具有子管理群組作為其範圍。 當您在包含相同資源的網路管理員之間發生設定衝突時,會套用來自具有較高範圍之網路管理員的設定。
後續步驟
- 深入瞭解 Azure 虛擬網路管理員。
- 瞭解如何 建立 Azure 虛擬網路管理員實例。
- 了解網路群組。