本文回答有关 Azure Virtual Network Manager 的常见问题。
概况
哪些 Azure 区域支持 Azure Virtual Network Manager?
有关区域支持的当前信息,请参阅《可用产品(按区域)》。
注释
所有区域都有 可用性区域。
Azure Virtual Network Manager 的常见用例是哪些?
你可以创建多个网络组以满足环境及其功能的安全要求。 例如,你可以为生产和测试环境创建网络组,以大规模管理其连接和安全规则。
对于安全管理员规则,可以使用两个规则集合创建安全管理员配置。 每个规则集合分别针对生产组和测试网络组。 部署后,此配置为生产环境的网络资源强制实施一组安全管理规则,并为测试环境强制执行另一组安全管理规则。
可以应用连接配置,从而为组织订阅中的大量虚拟网络创建网格或中心辐射型网络拓扑。
可以拒绝高风险流量。 作为企业管理员,可以阻止替代任何通常允许流量的网络安全组规则的特定协议或源。
可以强制允许流量。 例如,可以允许特定安全扫描程序始终与所有资源建立入站连接,即使网络安全组规则配置为拒绝流量也是如此。
使用 Azure Virtual Network Manager 的成本是多少?
Azure Virtual Network Manager 费用基于部署了活动 Virtual Network Manager 配置的虚拟网络数量。 例如,如果虚拟网络管理器范围包含 100 个虚拟网络,但配置仅部署到这些虚拟网络中的 5 个,则需为这 5 个虚拟网络(并非所有 100 个)付费。 此外,请注意,对等互连的费用适用于由已部署的连接配置(网格或中心辐射)管理的虚拟网络的流量。
如果虚拟网络由同一虚拟网络管理器实例部署了多个配置,该虚拟网络只会产生单个费用:它不会重复费用。 例如,如果虚拟网络管理器同时将连接配置和安全管理员配置部署到同一组 5 个虚拟网络,则会为这 5 个虚拟网络付费,但不会收取两次费用。 除非这些配置源自不同的虚拟网络管理器实例,否则此成本不会考虑多个配置。
在 2025 年 3 月之前,Azure 虚拟网络管理器费用默认基于包含部署有活动虚拟网络管理器配置的虚拟网络的订阅数。 如果在 2025 年 3 月之前创建了虚拟网络管理器实例,可以选择将 定价切换到基于虚拟网络的定价。
如何部署 Azure Virtual Network Manager?
可以通过各种工具部署和管理 Azure Virtual Network Manager 实例和配置,这些工具包括:
- Azure 门户
- Azure CLI
- Azure PowerShell
- ARM 模板
- Terraform
- 肱二头肌
技术
一个虚拟网络是否可以属于多个 Azure Virtual Network Manager 实例?
是,一个虚拟网络可以属于多个 Azure Virtual Network Manager 实例。
分支虚拟网络能否在网格连接配置中连接到虚拟 WAN 中心,从而实现这些分支虚拟网络之间的直接通信?
是的,分支虚拟网络可以在网格连接配置中连接到虚拟 WAN 中心。 网格组中的这些虚拟网络相互直接连接。
对属于 Azure Virtual Network Manager 网格的虚拟网络中的 IP 前缀执行的操作是否会自动传播?
网格中的虚拟网络会自动同步。IP 前缀将自动更新。 这意味着,即使网格中的虚拟网络中的 IP 前缀发生更改,网格中的流量也会起作用。
如何验证网格连接配置是否按预期应用?
请参阅文档 如何查看已应用的配置。 网格连接配置不会通过虚拟网络对等互连来连接虚拟网络,因此你在对等互连边栏选项卡中无法看到网格连接。
如果在其中创建了 Azure Virtual Network Manager 的区域发生故障,会出现什么情况? 这种情况是会影响已部署的配置还是仅防止配置更改?
只会影响更改配置的功能。 一旦 Azure Virtual Network Manager 在你提交配置后对配置进行了编程,它就会继续运行。 例如,如果你在区域 1 中创建了 Azure Virtual Network Manager 实例,并在区域 2 中建立了网格拓扑,则即使区域 1 不可用,区域 2 中的网格也将继续运行。
什么是全局网格网络拓扑?
全局网格允许不同区域中的虚拟网络相互通信。 其作用与全局虚拟网络对等互连的工作原理类似。
可创建的网络组数量是否有限制?
可创建的网络组数量没有限制。
如何删除所有已应用的配置的部署?
你需要将 None 配置部署到已应用配置的所有区域。
是否可以从我不管理的其他订阅添加虚拟网络?
是,只要你具有访问这些虚拟网络的适当权限。
使用手动添加的成员和有条件添加的成员的网络组之间的配置部署有何不同?
请参阅《Azure Virtual Network Manager 中的配置部署》。
如何删除 Azure Virtual Network Manager 组件?
请参阅《删除并更新 Azure Virtual Network Manager 组件清单》。
Azure Virtual Network Manager 是否存储客户数据?
否。 Azure Virtual Network Manager 不存储任何客户数据。
能否移动 Azure Virtual Network Manager 实例?
否。 Azure 虚拟网络管理器目前不支持将其实例移动到另一个区域、资源组或订阅的功能。 如果需要移动实例,请考虑将其删除,并使用 Azure 资源管理器模板在所需位置创建另一个实例。
是否可以将包含 Azure Virtual Network Manager 的订阅移到另一个租户?
是,不过下面是要注意的一些事项:
- 目标租户无法创建 Azure 虚拟网络管理器。
- 网络组中的分支虚拟网络在更改租户时可能会丢失其引用,从而会丢失与中心虚拟网络的连接。 若要解决此问题,将订阅移动到另一个租户后,必须将分支虚拟网络手动添加到 Azure Virtual Network Manager 的网络组。
如何查看已应用的配置来帮助进行故障排除?
可在虚拟网络的“网络管理器”下查看 Azure Virtual Network Manager 设置。 这些设置显示应用的配置。 有关详细信息,请参阅《查看 Azure Virtual Network Manager 采用的配置》。
当具有 Azure Virtual Network Manager 实例的 Azure 区域中的所有区域停机时,会发生什么情况?
如果发生区域性中断,应用于当前托管虚拟网络资源的所有配置在中断期间将保持不变。 无法在中断期间创建新配置或修改现有配置。 中断解决后,可以继续像以前一样管理虚拟网络资源。
Azure Virtual Network Manager 托管的虚拟网络是否可以与非托管的虚拟网络建立对等互连?
是的。 Azure Virtual Network Manager 与使用手动对等互连创建的现有中心和分支拓扑完全兼容。 无需删除中心和分支虚拟网络之间的任何现有对等互连的连接。 迁移过程不会给网络带来任何停机时间。
是否可以将现有中心辐射型拓扑迁移到 Azure Virtual Network Manager?
是的。 将现有虚拟网络迁移到 Azure Virtual Network Manager 中的中心辐射型拓扑非常简单。 可以创建中心辐射型拓扑连接配置。 部署此配置时,Azure 虚拟网络管理器会自动创建必要的对等互连。 任何预先存在的对等互连将保持不变,因此不会出现停机。
在虚拟网络之间建立连接方面,连接的组与虚拟网络对等互连有何不同?
在 Azure 中,虚拟网络对等互连和连接的组是建立虚拟网络之间连接的两种方法。 虚拟网络对等互连的工作原理是在虚拟网络之间创建一对一映射,而连接组则使用建立连接的新构造,而无需进行此类映射。
在连接的组中,所有虚拟网络连接在一起,但没有单独的对等互连关系。 例如,如果三个虚拟网络属于同一个连接的组,则系统会在每个虚拟网络之间启用连接,而无需建立单独的对等互连关系。
每个方法的效果都是相同的,即在虚拟网络之间建立双向连接。 但是,连接组允许将多个虚拟网络作为单个实体进行管理,并使你能够实现超出对等互连限制的连接规模,从而简化连接管理。
使用虚拟网络对等互连管理虚拟网络时,这是否会导致使用 Azure 虚拟网络管理器支付虚拟网络对等互连费用两次?
对等互连不会二次收费或收取双重费用。 Virtual Network Manager 遵循以前创建的所有虚拟网络对等互连,并迁移这些连接。 所有对等互连资源(无论是在虚拟网络管理器内部还是外部创建的)都只产生单一的对等互连费用。
是否可以创建安全管理规则的例外?
通常,安全管理员规则用于阻止跨虚拟网络的流量。 但是,有时某些虚拟网络及其资源需要允许用于管理或其他进程的流量。 对于这些情况,可以在需要时创建例外。 针对这些情况,了解如何阻止包含例外的高风险端口。
如何将多个安全管理配置部署到一个区域?
只能为一个区域部署一个安全管理员配置。 但是,如果在安全管理员配置 中创建多个规则集合 ,则区域中可以存在多个连接配置。
安全管理员规则是否适用于 Azure 专用终结点?
目前,安全管理员规则不适用于属于 Azure Virtual Network Manager 管理的虚拟网络范围内的 Azure 专用终结点。
出站规则
| 港口 | 协议 | 来源 | 目的地 | 行动 |
|---|---|---|---|---|
| 443、12000 | TCP | VirtualNetwork |
AzureCloud |
允许 |
| 任意 | 任意 | VirtualNetwork |
VirtualNetwork |
允许 |
Azure 虚拟 WAN 中心是否可以成为网络组的一部分?
否,Azure 虚拟 WAN 中心目前不能位于网络组中。
是否可以使用 Azure 虚拟 WAN 实例作为 Azure 虚拟网络管理器中心辐射型连接配置中的中心?
否,目前不支持将 Azure 虚拟 WAN 中心作为中心辐射型拓扑的中心。
我的虚拟网络未收到我预期的配置。 如何进行故障排除?
使用以下问题寻找可能的解决方案。
你是否已将配置部署到虚拟网络的区域?
Azure Virtual Network Manager 中的配置在部署之前不会生效。 使用适当的配置部署到虚拟网络区域。
虚拟网络是否在范围内?
网络管理员获得了足够的访问权限才能将配置应用于范围内的虚拟网络。 如果某个资源在你的网络组中,但不在范围内,它也不会收到任何配置。
你是否正将安全规则应用于包含托管实例的虚拟网络?
Azure SQL 托管实例具有一些网络要求。 这些要求是通过高优先级网络意向策略强制执行的,这些策略的目的与安全管理员规则冲突。 默认情况下,在包含其中任一意向策略的虚拟网络上跳过管理员规则应用程序。 由于“允许”规则不会带来冲突的风险,因此可以通过在 上设置 来选择应用“仅允许”规则。AllowRulesOnlysecurityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
你是否正将安全规则应用于包含阻止安全配置规则的服务的虚拟网络或子网?
某些服务需要特定的网络要求才能正常运行。 这些服务包括 Azure SQL 托管实例、Azure Databricks 和 Azure 应用程序网关。 默认情况下,在包含其中任一服务的虚拟网络和子网上会跳过对安全管理员规则的采用。 由于“允许”规则没有冲突风险,因此可以通过在 .NET 类上设置安全配置的 字段来选择应用“仅允许”规则。AllowRulesOnlysecurityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
限制
Azure Virtual Network Manager 存在哪些服务限制?
有关当前最新信息,请参阅《Azure Virtual Network Manager 限制》。
后续步骤
- 使用 Azure 门户创建 Azure Virtual Network Manager 实例。