Azure 虚拟网络管理器中的跨租户支持允许组织集中管理跨多个租户及其订阅的虚拟网络。 本文介绍方案、优势以及如何建立跨租户连接。
跨租户支持概述
使用 Azure 虚拟网络管理器中的跨租户支持,可以将其他租户中的订阅和管理组添加到 Azure 虚拟网络管理器实例或网络管理器。 可以通过在网络管理器与目标租户之间建立双向连接,在网络管理器和目标租户之间建立跨租户支持。 连接后,网络管理器可以将配置部署到这些连接的跨租户订阅和管理组的虚拟网络。
跨租户支持可帮助组织适应以下情况:
购置:在组织通过收购合并并拥有多个租户的情况下,跨租户支持允许中心网络管理器跨租户管理虚拟网络。
托管服务提供商:在托管服务提供商方案中,组织可以管理其他组织的资源。 多个客户的中心服务提供商可以通过跨租户支持集中管理虚拟网络。
建立跨租户连接
建立跨租户支持的第一步是创建两个租户之间的跨租户连接。 跨租户支持需要双向许可 -- 一个来自网络管理器,另一个来自目标租户的虚拟网络管理器中心。 连接包括:
| 连接类型 | DESCRIPTION |
|---|---|
| 网络管理器连接 | 您在网络管理器中创建跨租户连接。 该连接明确了租户订阅和管理组的具体范围,以便在网络管理器中进行管理。 |
| 虚拟网络管理中心连接 | 租户从其虚拟网络管理器中心创建跨租户连接。 此连接包括由中央网络管理器管理的订阅和管理组的完全相同的范围。 |
一旦两个跨租户连接存在并且范围完全相同,就会建立真正的连接。 管理员可以使用他们的网络管理器将跨租户资源添加到其网络组并管理连接范围中包含的虚拟网络。 然后,可以将配置部署到这些跨租户虚拟网络。
仅当每个参与方的两个连接都存在时,才能建立和维护跨租户连接。 删除其中一个连接时,跨租户连接将断开。 如果需要删除跨租户连接,请执行以下步骤:
- 通过 Azure 门户中的 跨租户连接 设置,从网络管理器侧移除跨租户连接。
- 在 Azure 门户中,通过虚拟网络管理器中心的“跨租户连接”设置从租户端删除跨租户连接。
注释
从任一端删除跨租户连接后,网络管理器无法查看或管理该前连接范围内的租户资源。
连接状态
创建跨租户连接所需的资源具有一个状态,该状态表示是否已将关联的范围添加到网络管理器范围。 可能的状态值包括:
| 国家 | DESCRIPTION |
|---|---|
| 已连接 | 网络管理器连接和租户端虚拟网络管理器中心连接都存在匹配的范围。 跨租户的范围被添加到网络管理器的管理范围。 |
| 待处理 | 两个连接资源中的一个未被创建。 尚未将跨租户范围添加到网络管理器的范围。 |
| 冲突 | 在跨租户范围内定义了此订阅或管理组的网络管理器已存在。 具有相同范围访问权限的两个网络管理器无法直接管理同一范围,因此无法将此订阅或管理组添加到网络管理器范围。 若要解决冲突,请从冲突的网络管理器范围中删除跨租户范围,并重新创建相应的连接资源。 |
| 已撤销 | 跨租户范围曾被添加到网络管理器的范围,但是连接资源的删除导致跨租户连接被撤销。 |
连接 是表示跨租户范围添加到网络管理器范围的唯一状态。
所需的权限
若要在 Azure 虚拟网络管理器中使用跨租户连接,用户需要以下权限:
中心管理租户的管理员在目标托管租户中具有来宾帐户。
管理员来宾帐户具有在适当范围级别(管理组、订阅或虚拟网络)应用的“网络参与者”权限。
已知的限制
目前,只能手动将跨租户虚拟网络添加到网络组。 通过 Azure Policy 有条件地将跨租户虚拟网络添加到网络组是未来功能。