Azure Virtual Network Manager 常见问题解答

本文回答有关 Azure Virtual Network Manager 的常见问题。

概况

哪些 Azure 区域支持 Azure Virtual Network Manager？

有关区域支持的当前信息，请参阅《可用产品（按区域）》。

Azure Virtual Network Manager 的常见用例是哪些？

• 你可以创建多个网络组以满足环境及其功能的安全要求。 例如，你可以为生产和测试环境创建网络组，以大规模管理其连接和安全规则。

  对于安全管理员规则，可以使用两个规则集合创建安全管理员配置。 每个规则集合分别针对生产组和测试网络组。 部署后，此配置为生产环境的网络资源强制实施一组安全管理规则，并为测试环境强制执行另一组安全管理规则。

• 您可以应用连接性配置，为组织的订阅内大量虚拟网络创建网格或中心辐射型网络拓扑。

• 可以拒绝高风险流量。 作为企业管理员，可以阻止替代任何通常允许流量的网络安全组规则的特定协议或源。

• 可以强制允许流量。 例如，可以允许特定安全扫描程序始终与所有资源建立入站连接，即使网络安全组规则配置为拒绝流量也是如此。

使用 Azure Virtual Network Manager 的成本是多少？

Azure Virtual Network Manager 费用基于部署了活动 虚拟网络管理器 配置的虚拟网络数量。 例如，如果虚拟网络管理器范围包含 100 个虚拟网络，但配置仅部署到这些虚拟网络中的 5 个，则需为这五个虚拟网络（并非所有 100 个）付费。 此外，请注意，对等互连的费用适用于由已部署的连接配置（网格或中心辐射）管理的虚拟网络的流量。

如果虚拟网络由同一虚拟网络管理器实例部署了多个配置，该虚拟网络只会产生单个费用：它不会重复费用。 例如，如果虚拟网络管理器同时将连接配置和安全管理员配置部署到同一组五个虚拟网络上，则需要为这五个虚拟网络付费，但不会收取两次费用。 除非这些配置源自不同的虚拟网络管理器实例，否则此成本不会考虑多个配置。

在 2025 年 2 月之前，默认情况下，Azure 虚拟网络管理器的费用是基于包含有已部署活动配置的虚拟网络的订阅数。 如果在 2025 年 2 月之前创建了虚拟网络管理器实例，您可以选择将定价切换为基于虚拟网络的定价。

如何部署 Azure Virtual Network Manager？

可以通过各种工具部署和管理 Azure Virtual Network Manager 实例和配置，这些工具包括：

• Azure 门户
• Azure CLI
• Azure PowerShell
• ARM 模板
• Terraform
• 肱二头肌

技术

静态和动态网络组成员身份有何区别？

通过显式添加虚拟网络来手动填充静态网络组。 动态网络组使用基于Azure Policy的规则根据订阅、标记或资源组等条件自动确定成员身份。 这样，符合该规则的现有虚拟网络和新建虚拟网络都可以自动加入该网络组。

一个虚拟网络是否可以属于多个 Azure Virtual Network Manager 实例？

是，一个虚拟网络可以属于多个 Azure Virtual Network Manager 实例。

Azure Virtual Network Manager 的作用域如何运作：管理组、订阅和资源组之间有何区别？

Azure Virtual Network Manager 支持管理组级别和订阅级别的作用域。 如果将网络管理器限定为某个管理组，则子订阅及其资源将包含在该范围内。 如果需要范围更小的目标（例如特定的资源组），请使用网络组成员规则，仅包含符合该资源组条件的虚拟网络。

何时应使用“星型拓扑”而非“网状拓扑”，它们能否共存？

是的。 “星型拓扑”和“网状拓扑”可以共存。 当“分支”需要“中心”中的共享服务（如网关、防火墙或其他中央基础设施）时，“星型拓扑”非常有用。 当所选辐射型虚拟网络因性能或延迟原因需要彼此直接连接时，网状拓扑就非常有用。 一种常见模式是：为共享服务保留轮辐式架构，同时将部分辐射节点纳入网状拓扑，以便这些节点能够直接通信。

Azure Virtual Network Manager 是否会替代用户定义的路由，以通过防火墙中心实现传递路由？

否。 如果希望辐射网络之间的流量或出站流量通过中心网络中的防火墙或网络虚拟设备，Azure Virtual Network Manager 不会自动替换用户定义路由。 你仍然需要路由规则来将流量引导到下一跳。 Azure Virtual Network Manager可以通过跨现有和新创建的虚拟网络或子网应用一致的路由配置，从而大规模管理这些路由设置。

分支虚拟网络能否在网格连接配置中连接到虚拟 WAN 中心，从而实现这些分支虚拟网络之间的直接通信？

是的，分支虚拟网络可以在网格连接配置中连接到虚拟 WAN 中心。 网格组中的这些虚拟网络相互直接连接。

对属于 Azure Virtual Network Manager 网格的虚拟网络中的 IP 前缀执行的操作是否会自动传播？

网格中的虚拟网络会自动同步。IP 前缀将自动更新。 这意味着，即使网格中的虚拟网络中的 IP 前缀发生更改，网格中的流量也会起作用。

Azure 虚拟网络管理器能否管理跨区域的“星型拓扑”或全球对等连接？

是的。 Azure Virtual Network Manager可以管理跨区域连接方案，包括全局连接模式。 延迟和成本特性与底层的 Azure 网络机制（例如全局虚拟网络对等互连）保持一致。 Azure Virtual Network Manager集中管理和自动化。

如何验证网格连接配置是否按预期应用？

请参阅文档 如何查看已应用的配置。 网格连接配置不会通过虚拟网络对等互连来连接虚拟网络，因此你在对等互连边栏选项卡中无法看到网格连接。

如果在其中创建了 Azure Virtual Network Manager 的区域发生故障，会出现什么情况？ 这种情况是会影响已部署的配置还是仅防止配置更改？

只会影响更改配置的功能。 一旦 Azure Virtual Network Manager 在你提交配置后对配置进行了编程，它就会继续运行。 例如，如果你在区域 1 中创建了 Azure Virtual Network Manager 实例，并在区域 2 中建立了网格拓扑，则即使区域 1 不可用，区域 2 中的网格也将继续运行。

配置更改如何传播到虚拟网络？

配置在部署到目标区域之前不会生效。 创建或更新配置并将其部署后，Azure Virtual Network Manager将配置应用到这些区域中的作用域内虚拟网络。

如果连接或安全配置导致问题，如何回滚连接或安全配置？

您可以通过部署模型进行回滚。 如果某个配置导致区域中出现问题，请删除或更改该区域的部署，以便配置不再适用。

什么是全局网格网络拓扑？

全局网格允许不同区域中的虚拟网络相互通信。 其作用与全局虚拟网络对等互连的工作原理类似。

是否可以将 Terraform 与Azure Virtual Network Manager配合使用？

是的。 Azure Virtual Network Manager 可通过 AzureRM Terraform 提供程序获得支持。 还支持 ARM 模板和Bicep，因此可以通过基础结构作为代码工作流来管理Azure Virtual Network Manager资源和配置。

Azure Virtual Network Manager如何与监视和诊断集成？

可以使用Azure监视工具来观察和排查Azure Virtual Network Manager行为。 网络观察程序可以帮助分析流量，并排查流量是否被规则阻止的问题。 流日志可以帮助检查流量模式，Azure Monitor日志和诊断设置可以捕获配置和操作事件。

如何审核谁更改了Azure Virtual Network Manager资源或配置？

使用Azure活动日志。 它会记录控制平面操作，包括操作执行者、执行了什么操作以及执行时间。

Azure 虚拟网络管理器是否会自动将分支流量路由到中心节点的 Azure 防火墙？

否。 Azure 虚拟网络管理器不会仅仅因为中心节点存在防火墙，就自动将分支流量发送至 Azure 防火墙。 若要通过防火墙路由流量，请配置路由，以便所需的前缀使用防火墙作为下一跃点，并使用Azure Virtual Network Manager大规模应用该路由模式。

Azure Virtual Network Manager 如何与中心内的 ExpressRoute 或 VPN 网关协同工作？

在中心辐射型网络拓扑中，可以将辐射网络配置为使用中心网络的远程网关。 启用此选项后，分支虚拟网络即可使用中心中的 ExpressRoute 或 VPN 网关。

可创建的网络组数量是否有限制？

可创建的网络组数量没有限制。

安全管理员规则如何与网络安全组交互？

安全管理员规则会先于网络安全组规则进行评估。 如果安全管理员规则拒绝流量，则会在评估网络安全组之前阻止流量。 这意味着安全管理规则可以阻止网络安全组原本会允许的流量。

如何处理整个组织的安全管理员规则的例外情况？

对异常范围使用单独的网络组，并将优先级更高的安全管理规则应用于该组。 例如，您可以先对一个覆盖范围较大的网络组拒绝来自互联网的入站 SSH，然后再为特定工作负载团队创建一个较小的例外网络组，并对该组应用一条更高优先级的 SSH 允许规则。

如何撤销所有已应用配置的部署？

您需要将 "无" 配置部署到所有已应用配置的区域。

是否可以从我不管理的其他订阅添加虚拟网络？

是，只要你具有访问这些虚拟网络的适当权限。

使用手动添加的成员和有条件添加的成员的网络组之间的配置部署有何不同？

请参阅《Azure Virtual Network Manager 中的配置部署》。

如何删除 Azure Virtual Network Manager 组件？

请参阅《删除并更新 Azure Virtual Network Manager 组件清单》。

Azure Virtual Network Manager 是否存储客户数据？

否。 Azure Virtual Network Manager 不存储任何客户数据。

能否移动 Azure Virtual Network Manager 实例？

否。 Azure 虚拟网络管理器目前不支持将其实例移动到另一个区域、资源组或订阅的功能。 如果需要移动实例，请考虑将其删除，并使用 Azure 资源管理器模板在所需位置创建另一个实例。

是否可以将包含 Azure Virtual Network Manager 的订阅移到另一个租户？

否，不支持将Azure Virtual Network Manager实例所在的订阅移到另一个租户。 有关详细信息，请参阅 limitations with Azure Virtual Network Manager。

如何查看已应用的配置来帮助进行故障排除？

可在虚拟网络的“网络管理器”下查看 Azure Virtual Network Manager 设置。 这些设置显示应用的配置。 有关详细信息，请参阅《查看 Azure Virtual Network Manager 采用的配置》。

当具有 Azure Virtual Network Manager 实例的 Azure 区域中的所有区域停机时，会发生什么情况？

如果发生区域性中断，应用于当前托管虚拟网络资源的所有配置在中断期间将保持不变。 无法在中断期间创建新配置或修改现有配置。 中断解决后，可以继续像以前一样管理虚拟网络资源。

Azure 虚拟网络管理器托管的虚拟网络是否可以与非托管的虚拟网络建立对等互连？

是的。 Azure Virtual Network Manager 与使用手动对等互连创建的现有中心和分支拓扑完全兼容。 无需删除中心和分支虚拟网络之间的任何现有对等互连的连接。 迁移过程不会给网络带来任何停机时间。

是否可以将现有中心辐射型拓扑迁移到 Azure Virtual Network Manager？

是的。 将现有虚拟网络迁移到 Azure Virtual Network Manager 中的中心辐射型拓扑非常简单。 可以创建中心辐射型拓扑连接配置。 部署此配置时，Azure 虚拟网络管理器会自动创建必要的对等互连。 任何预先存在的对等互连将保持不变，因此不会出现停机。

在虚拟网络之间建立连接方面，连接的组与虚拟网络对等互连有何不同？

在 Azure 中，虚拟网络对等连接和连接组是两种在虚拟网络之间建立连接的方法。 虚拟网络对等互连的工作原理是在虚拟网络之间创建一对一映射，而连接组则使用建立连接的新构造，而无需进行此类映射。

在互联组中，所有虚拟网络相连，但没有单独的对等关系。 例如，如果三个虚拟网络属于同一个连接的组，则系统会在每个虚拟网络之间启用连接，而无需建立单独的对等互连关系。

每个方法的效果都是相同的，即在虚拟网络之间建立双向连接。 但是，连接组允许将多个虚拟网络作为单个实体进行管理，并使你能够实现超出对等互连限制的连接规模，从而简化连接管理。

使用虚拟网络对等互连管理虚拟网络时，这是否会导致使用 Azure 虚拟网络管理器支付虚拟网络对等互连费用两次？

对等互连不会二次收费或收取双重费用。 Virtual Network Manager 遵循以前创建的所有虚拟网络对等互连，并迁移这些连接。 所有对等互连资源（无论是在虚拟网络管理器内部还是外部创建）都会产生一笔对等互连费用。

是否可以创建安全管理规则的例外？

通常，安全管理员规则用于阻止跨虚拟网络的流量。 但是，有时某些虚拟网络及其资源需要允许用于管理或其他进程的流量。 对于这些情况，可以在需要时创建例外。 针对这些情况，了解如何阻止包含例外的高风险端口。

如何将多个安全管理配置部署到一个区域？

只能为一个区域部署一个安全管理员配置。 但是，一个区域中可以存在多个连接配置。 若要将多个安全管理规则集部署到区域，请在安全管理员配置 中创建多个规则集合 。

安全管理员规则是否适用于 Azure 专用终结点？

目前，安全管理员规则不适用于属于 Azure Virtual Network Manager 管理的虚拟网络范围内的 Azure 专用终结点。

Azure 虚拟 WAN 中心是否可以成为网络组的一部分？

否，Azure 虚拟 WAN 中心目前不能位于网络组中。

是否可以使用 Azure 虚拟 WAN 实例作为 Azure 虚拟网络管理器中心辐射型连接配置中的中心？

否，目前 Azure 虚拟 WAN 中心不支持用作中心辐射拓扑结构中的中心。

我的虚拟网络未收到我预期的配置。 如何进行故障排除？

使用以下问题寻找可能的解决方案。

你是否已将配置部署到虚拟网络的区域？

Azure Virtual Network Manager 中的配置在部署之前不会生效。 使用适当的配置部署到虚拟网络区域。

虚拟网络是否在范围内？

网络管理员被委托了仅足够的访问权限，以便在您的范围内配置虚拟网络。 如果某个资源在你的网络组中，但不在范围内，它也不会收到任何配置。

你是否正将安全规则应用于包含托管实例的虚拟网络？

Azure SQL 托管实例具有一些网络要求。 这些要求是通过高优先级网络意向策略强制执行的，这些策略的目的与安全管理员规则冲突。 默认情况下，在包含其中任一意向策略的虚拟网络上跳过管理员规则应用程序。 由于“允许”规则不会带来冲突的风险，因此可以通过在 上设置 来选择应用“仅允许”规则。AllowRulesOnlysecurityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices

你是否正将安全规则应用于包含阻止安全配置规则的服务的虚拟网络或子网？

某些服务需要特定的网络要求才能正常运行。 默认情况下，安全管理员规则不会应用于包含Azure SQL 托管实例或Azure Databricks的虚拟网络。 此外，安全管理员规则不会在子网级别应用于以下服务，例如 Azure 应用程序网关、Azure Bastion、Azure 防火墙、Azure 路由服务器、Azure VPN 网关、Azure 虚拟 WAN 和 Azure ExpressRoute Gateway。 有关完整列表，请参阅 安全管理员规则的非应用。 对于虚拟网络级别的非应用，由于 Allow 规则没有冲突风险，因此可以通过在 .NET 类上设置安全配置AllowRulesOnly字段来选择应用 securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices 规则。

限制

Azure Virtual Network Manager 存在哪些服务限制？

有关当前最新信息，请参阅《Azure Virtual Network Manager 限制》。

后续步骤

• 使用 Azure 门户创建 Azure Virtual Network Manager 实例。