Поделиться через


Часто задаваемые вопросы о диспетчере виртуальных сетей Azure

В этой статье приведены ответы на часто задаваемые вопросы о Диспетчере виртуальных сетей Azure.

Общая информация

Какие регионы Azure поддерживают Azure Virtual Network Manager?

Сведения о поддержке регионов см. в разделе "Продукты", доступные по регионам.

Замечание

Все регионы имеют зоны доступности, кроме Центральной Франции.

Что такое распространенные варианты использования для Диспетчера виртуальных сетей Azure?

  • Вы можете создавать сетевые группы для удовлетворения требований к безопасности среды и ее функций. Например, можно создавать сетевые группы для рабочих сред и тестовых сред, чтобы управлять их правилами подключения и безопасности в большом масштабе.

    Для правил безопасности можно создать конфигурацию администратора безопасности с двумя коллекциями. Каждая коллекция ориентирована на рабочие и тестовые сетевые группы соответственно. После развертывания эта конфигурация применяет один набор правил безопасности для сетевых ресурсов для рабочей среды и один набор для тестовой среды.

  • Конфигурации подключения можно применить для создания сетки или топологии сети концентратора и периферийной сети для большого количества виртуальных сетей в подписках вашей организации.

  • Вы можете запретить трафик с высоким риском. Администратор предприятия может блокировать определенные протоколы или источники, которые переопределяют правила группы безопасности сети (NSG), которые обычно разрешают трафик.

  • Вы всегда можете разрешить доступ к трафику. Например, можно разрешить определенному сканеру безопасности всегда иметь возможность входящего подключения ко всем вашим ресурсам, даже если правила NSG настроены на блокировку трафика.

Каковы затраты на использование Диспетчера виртуальных сетей Azure?

Плата за диспетчер виртуальных сетей Azure зависит от количества виртуальных сетей с активной конфигурацией Virtual Network Manager, развернутой на ней. Например, если область Virtual Network Manager содержит 100 виртуальных сетей, но конфигурации были развернуты только в 5 из этих виртуальных сетей, плата будет взиматься за эти 5 виртуальных сетей (не все 100). Кроме того, обратите внимание, что плата за пиринг применяется к объему трафика виртуальных сетей, управляемых развернутой конфигурацией подключения (сеткой или концентратором и периферийным интерфейсом).

Если в виртуальную сеть развернуто несколько конфигураций одним и тем же экземпляром Диспетчера виртуальных сетей, эта виртуальная сеть несёт затраты только по одной ставке; она не будет дублировать расходы. Например, если диспетчер виртуальных сетей развертывает конфигурацию подключения и конфигурацию администратора безопасности в одном наборе виртуальных сетей, плата взимается за эти 5 виртуальных сетей, но не взимается дважды. Эта стоимость не учитывается для нескольких конфигураций, если только конфигурации не происходят из разных экземпляров Virtual Network Manager.

До марта 2025 года плата Azure Virtual Network Manager была основана по умолчанию на количество подписок, содержащих виртуальную сеть с активной конфигурацией Virtual Network Manager, развернутой на ней. Если вы создали экземпляр Virtual Network Manager до марта 2025 г., вы можете переключиться на ценообразование, основанное на виртуальной сети.

Средство проверки сети Диспетчера виртуальных сетей Azure начисляет стоимость за анализ доступности, выполняемый в рабочей области средства проверки Диспетчера виртуальных сетей Azure. Эта плата отличается от расходов Azure Virtual Network Manager.

Текущие цены для вашего региона вы можете найти на странице ценообразования Azure Virtual Network Manager.

Как развернуть Диспетчер виртуальных сетей Azure?

Вы можете развертывать экземпляр и конфигурации Azure Virtual Network Manager и управлять ими с помощью различных средств, в том числе:

Технический

Может ли виртуальная сеть принадлежать нескольким экземплярам Azure Virtual Network Manager?

Да, виртуальная сеть может принадлежать нескольким экземпляру Azure Virtual Network Manager.

Можно ли подключить спицевые виртуальные сети к концентратору виртуальной WAN в сеточной топологии, чтобы эти спицевые виртуальные сети могли взаимодействовать напрямую?

Да, виртуальные сети типа "spoke" могут подключаться к узлам VWAN, находясь в группе mesh. Эти виртуальные сети в группе сетки имеют прямое подключение.

Будут ли операции с префиксами IP-адресов в виртуальных сетях, которые являются частью сетки Диспетчера виртуальных сетей Azure, распространяться автоматически?

Виртуальные сети в сетке автоматически синхронизируются. Префиксы IP-адресов будут обновляться автоматически. Это означает, что трафик внутри сети будет работать даже после изменения IP-префиксов в виртуальных сетях mesh.

Как проверить настройку и применение топологии сетки?

См. документацию по просмотру примененных конфигураций. Топология ячеистой сети не является взаимосоединением виртуальных сетей, поэтому вы не можете видеть подключение ячеистой сети в пиринге.

Что произойдет, если регион, в котором создан диспетчер виртуальных сетей Azure, выйдет из строя? Влияет ли это на развернутые конфигурации или только предотвращает изменения конфигурации?

Будут затронуты только возможности изменения конфигураций. После того как диспетчер виртуальных сетей Azure запрограммировал конфигурацию после фиксации конфигурации, она продолжит работать. Например, если экземпляр Azure Virtual Network Manager создается в регионе 1 и топология сетки устанавливается в регионе 2, сетка в регионе 2 будет продолжать функционировать, даже если регион 1 становится недоступным.

Что такое глобальная топология сети сетки?

Глобальная сетка позволяет виртуальным сетям между регионами взаимодействовать друг с другом. Эффекты аналогичны тому, как работает пиринг между глобальной виртуальной сетью.

Существует ли ограничение на количество групп сети, которые можно создать?

Нет ограничений на количество создаваемых сетевых групп.

Как удалить развертывание всех примененных конфигураций?

Необходимо развернуть конфигурацию None во всех регионах, где применена конфигурация.

Можно ли добавить виртуальные сети из другой подписки, которую я не управляю?

Да, если у вас есть соответствующие разрешения для доступа к этим виртуальным сетям.

Что такое динамическое членство в группах?

См. Динамическое членство.

Как развертывание конфигурации отличается для динамического членства и статического членства?

См. сведения о развертываниях конфигурации в Azure Virtual Network Manager.

Как удалить компонент Azure Virtual Network Manager?

Контрольный список компонентов Azure Virtual Network Manager см. в разделе "Удаление и обновление компонентов Azure".

Хранятся ли данные клиента в Диспетчере виртуальных сетей Azure?

Нет. Диспетчер виртуальных сетей Azure не хранит данные клиента.

Можно ли переместить экземпляр Диспетчера виртуальных сетей Azure?

Нет. Диспетчер виртуальных сетей Azure в настоящее время не поддерживает эти возможности. Если вам нужно переместить экземпляр, его можно удалить и использовать шаблон Azure Resource Manager для создания другого экземпляра в другом расположении.

Можно ли переместить подписку с помощью Диспетчера виртуальных сетей Azure в другой клиент?

Да, но есть некоторые рекомендации, которые следует учитывать:

  • Целевой клиент не может создать диспетчер виртуальных сетей Azure.
  • Периферийные виртуальные сети в группе сети могут потерять свою ссылку при изменении клиентов, тем самым теряя подключение к центральной виртуальной сети. Чтобы устранить эту проблему, после перемещения подписки к другому арендатору необходимо вручную добавить спицевые виртуальные сети в сетевую группу Azure Virtual Network Manager.

Как узнать, какие конфигурации применяются для устранения неполадок?

Параметры Диспетчера виртуальных сетей Azure можно просмотреть в Network Manager для виртуальной сети. В параметрах отображаются как конфигурации подключения, так и конфигурации администратора безопасности, которые применяются. Дополнительные сведения см. в разделе "Просмотр конфигураций, применяемых диспетчером виртуальных сетей Azure".

Что происходит, когда все зоны не работают в регионе с экземпляром Virtual Network Manager?

При возникновении регионального сбоя все конфигурации, применяемые к текущим ресурсам управляемой виртуальной сети, остаются неизменными во время сбоя. Вы не можете создавать новые конфигурации или изменять существующие конфигурации во время сбоя. После устранения сбоя вы можете продолжать управлять ресурсами виртуальной сети, как и раньше.

Может ли виртуальная сеть, управляемая диспетчером виртуальных сетей Azure, быть подключенной к неуправляемой виртуальной сети?

Да. Диспетчер виртуальных сетей Azure полностью совместим с готовыми развертываниями топологии концентратора и периферийной топологии, которые используют пиринг. Вам не нужно удалять существующие пиринговые подключения между спицами и концентратором. Миграция выполняется без простоя вашей сети.

Можно ли перенести существующую топологию концентратора и периферийных серверов в Диспетчер виртуальных сетей Azure?

Да. Перенос существующих виртуальных сетей в топологию концентратора и периферийной сети в Диспетчере виртуальных сетей Azure прост. Вы можете создать конфигурацию подключения топологии типа "концентратор-спица". При развертывании этой конфигурации диспетчер виртуальных сетей автоматически создает необходимые пиринги. Все существующие пиринги остаются неизменными, поэтому простоя нет.

Чем подключенные группы отличаются от пиринга виртуальных сетей при установлении связи между виртуальными сетями?

В Azure пиринг виртуальных сетей и подключенные группы являются двумя методами установления подключения между виртуальными сетями. Пиринг между виртуальными сетями работает за счет создания один-к-одному сопоставления виртуальных сетей, тогда как подключенные группы виртуальных сетей используют новую структуру, устанавливающую подключение без такого сопоставления.

В подключенной группе все виртуальные сети соединены без отдельных пиринговых подключений. Например, если три виртуальные сети являются частью одной подключенной группы, обеспечивается подключение между каждой парой виртуальных сетей без необходимости отдельных отношений пиринга.

При управлении виртуальными сетями с помощью пиринга виртуальных сетей это приводит к оплате расходов на пиринг между виртуальными сетями дважды с помощью Диспетчера виртуальных сетей Azure?

Нет повторной или двойной платы за пиринг. Диспетчер виртуальных сетей учитывает все ранее созданные пиринги виртуальных сетей и переносит эти подключения. Все ресурсы пиринга, независимо от того, созданы ли они внутри диспетчера виртуальных сетей или за его пределами, облагаются единой платой за пиринг.

Можно ли создавать исключения для правил администратора безопасности?

Как правило, правила администратора безопасности определяются для блокировки трафика между виртуальными сетями. Однако существуют случаи, когда определенные виртуальные сети и их ресурсы должны разрешать трафик для управления или других процессов. Для этих сценариев можно создавать исключения , если это необходимо. Узнайте, как блокировать порты с высоким риском с исключениями для этих сценариев.

Как развернуть несколько конфигураций администратора безопасности в регионе?

В регионе можно развернуть только одну конфигурацию администратора безопасности. Однако в регионе может существовать несколько конфигураций подключения, если в конфигурации безопасности создается несколько коллекций правил .

Применяются ли правила администратора безопасности к частным конечным точкам Azure?

В настоящее время правила администратора безопасности не применяются к частным конечным точкам Azure, которые находятся под областью виртуальной сети, управляемой Azure Virtual Network Manager.

Правила исходящего трафика

Порт Протокол Исходный материал Место назначения Действие
443, 12 000 Протокол tcp VirtualNetwork AzureCloud Разрешить
Любое Любое VirtualNetwork VirtualNetwork Разрешить

Может ли концентратор Виртуальной глобальной сети Azure быть частью сетевой группы?

Нет, в настоящее время концентратор виртуальной глобальной сети Azure не может находиться в группе сети.

Можно ли использовать экземпляр Виртуальной глобальной сети Azure в качестве концентратора в конфигурации топологии концентратора и периферийной топологии Диспетчера виртуальных сетей?

Нет, в настоящее время концентратор виртуальной глобальной сети Azure не поддерживается в качестве концентратора в топологии концентратора и периферийной топологии.

Моя виртуальная сеть не получает конфигурации, которые я ожидаю. Как устранить неполадки?

Используйте следующие вопросы для возможных решений.

Развернули конфигурацию в регионе виртуальной сети?

Конфигурации в Диспетчере виртуальных сетей Azure не вступают в силу, пока они не будут развернуты. Выполните развертывание в регионе виртуальной сети с соответствующими настройками.

Входит ли виртуальная сеть в зону охвата?

Сетевому диспетчеру предоставляется только такой объем доступа, который позволяет применять конфигурации к виртуальным сетям в пределах вашей области. Если ресурс находится в вашей сетевой группе, но выходит за пределы действия, он не получает никаких конфигураций.

Применяются ли правила безопасности к виртуальной сети, содержащей управляемые экземпляры?

Управляемый экземпляр SQL Azure имеет некоторые требования к сети. Эти требования применяются через сетевые политики с высоким приоритетом, цель которых конфликтует с правилами безопасности администраторов. По умолчанию применение административного правила пропускается в виртуальных сетях, содержащих одну из этих политик намерений. Так как правила Разрешить не представляют риска конфликта, вы можете применить правила Разрешить только, установив параметр AllowRulesOnly на securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.

Применяются ли правила безопасности к виртуальной сети или подсети, содержащей службы, которые блокируют правила конфигурации безопасности?

Для правильной работы некоторых служб требуются определенные требования к сети. К этим службам относятся Управляемый экземпляр SQL Azure, Azure Databricks и Шлюз приложений Azure. По умолчанию применение правил администратора безопасности пропускается в виртуальных сетях и подсетях, содержащих любую из этих служб. Так как правила allow не представляют риска конфликта, вы можете применить правила "Разрешить только ", задав поле конфигураций AllowRulesOnly безопасности в securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices классе .NET.

Ограничения

Каковы ограничения службы Диспетчера виртуальных сетей Azure?

Для получения наиболее актуальной информации см. раздел Ограничения в Диспетчере виртуальных сетей Azure.

Дальнейшие шаги