Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены ответы на часто задаваемые вопросы о Диспетчере виртуальных сетей Azure.
Общая информация
Какие регионы Azure поддерживают Azure Virtual Network Manager?
Сведения о поддержке регионов см. в разделе "Продукты", доступные по регионам.
Замечание
Все регионы имеют зоны доступности.
Что такое распространенные варианты использования для Диспетчера виртуальных сетей Azure?
Вы можете создавать сетевые группы для удовлетворения требований к безопасности среды и ее функций. Например, можно создавать сетевые группы для рабочих сред и тестовых сред, чтобы управлять их правилами подключения и безопасности в большом масштабе.
Для правил администратора безопасности можно создать конфигурацию администратора безопасности с двумя коллекциями правил. Каждая коллекция правил ориентирована на рабочие и тестовые сетевые группы соответственно. После развертывания эта конфигурация применяет один набор правил администратора безопасности для сетевых ресурсов для рабочей среды и другой набор для тестовой среды.
Конфигурации подключения можно применить для создания сетки или топологии сети концентратора и периферийной сети для большого количества виртуальных сетей в подписках вашей организации.
Вы можете запретить трафик с высоким риском. Администратор предприятия может блокировать определенные протоколы или источники, которые переопределяют любые правила группы безопасности сети, которые обычно разрешают трафик.
Вы можете принудительно разрешить трафик. Например, можно разрешить конкретному сканеру безопасности всегда подключаться ко всем ресурсам, даже если правила группы безопасности сети настроены для запрета трафика.
Каковы затраты на использование Диспетчера виртуальных сетей Azure?
Плата за диспетчер виртуальных сетей Azure зависит от количества виртуальных сетей с активной конфигурацией Virtual Network Manager, развернутой на ней. Например, если область Virtual Network Manager содержит 100 виртуальных сетей, но конфигурации были развернуты только в 5 из этих виртуальных сетей, плата будет взиматься за эти 5 виртуальных сетей (не все 100). Кроме того, обратите внимание, что плата за пиринг применяется к объему трафика виртуальных сетей, управляемых развернутой конфигурацией подключения (сеткой или концентратором и периферийным интерфейсом).
Если в виртуальную сеть развернуто несколько конфигураций одним и тем же экземпляром Диспетчера виртуальных сетей, эта виртуальная сеть несёт затраты только по одной ставке; она не будет дублировать расходы. Например, если диспетчер виртуальных сетей развертывает конфигурацию подключения и конфигурацию администратора безопасности в одном наборе виртуальных сетей, плата взимается за эти 5 виртуальных сетей, но не взимается дважды. Эта стоимость не учитывается для нескольких конфигураций, если только конфигурации не происходят из разных экземпляров Virtual Network Manager.
До марта 2025 года плата Azure Virtual Network Manager была основана по умолчанию на количество подписок, содержащих виртуальную сеть с активной конфигурацией Virtual Network Manager, развернутой на ней. Если вы создали экземпляр Virtual Network Manager до марта 2025 г., вы можете переключиться на ценообразование, основанное на виртуальной сети.
Средство проверки сети Диспетчера виртуальных сетей Azure начисляет стоимость за анализ доступности, выполняемый в рабочей области средства проверки Диспетчера виртуальных сетей Azure. Эта плата отличается от расходов Azure Virtual Network Manager.
Текущие цены для вашего региона вы можете найти на странице ценообразования Azure Virtual Network Manager.
Как развернуть Диспетчер виртуальных сетей Azure?
Вы можете развертывать экземпляр и конфигурации Azure Virtual Network Manager и управлять ими с помощью различных средств, в том числе:
Технический
Может ли виртуальная сеть принадлежать нескольким экземплярам Azure Virtual Network Manager?
Да, виртуальная сеть может принадлежать нескольким экземпляру Azure Virtual Network Manager.
Могут ли периферийные виртуальные сети подключаться к концентратору виртуальной глобальной сети в конфигурации подключения к сетке, чтобы эти периферийные виртуальные сети могли напрямую взаимодействовать?
Да, периферийные виртуальные сети могут подключаться к концентраторам виртуальной глобальной сети во время настройки подключения к сетке. Эти виртуальные сети в мезхированной группе обладают прямым подключением друг к другу.
Будут ли операции с префиксами IP-адресов в виртуальных сетях, которые являются частью сетки Azure Virtual Network Manager, распространяться автоматически?
Виртуальные сети в сетке автоматически синхронизируются. Префиксы IP-адресов будут обновляться автоматически. Это означает, что трафик в сетке будет работать даже после изменения префиксов IP-адресов в виртуальных сетях в сетке.
Как убедиться, что конфигурация подключения к сетке применяется как предназначенная?
См. документацию по просмотру примененных конфигураций. Конфигурация сетевого подключения не соединяет виртуальные сети с пирингом виртуальных сетей, следовательно, вы не видите сетевую топологию в панелях пиринга.
Что произойдет, если регион, в котором создан диспетчер виртуальных сетей Azure, выйдет из строя? Влияет ли это на развернутые конфигурации или только предотвращает изменения конфигурации?
Будут затронуты только возможности изменения конфигураций. После того как диспетчер виртуальных сетей Azure запрограммировал конфигурацию после фиксации конфигурации, она продолжит работать. Например, если экземпляр Azure Virtual Network Manager создается в регионе 1 и топология сетки устанавливается в регионе 2, сетка в регионе 2 будет продолжать функционировать, даже если регион 1 становится недоступным.
Что такое глобальная топология сети сетки?
Глобальная сетка позволяет виртуальным сетям между регионами взаимодействовать друг с другом. Эффекты аналогичны тому, как работает пиринг между глобальной виртуальной сетью.
Существует ли ограничение на количество групп сети, которые можно создать?
Нет ограничений на количество создаваемых сетевых групп.
Как удалить развертывание всех примененных конфигураций?
Необходимо развернуть конфигурацию None во всех регионах, где применена конфигурация.
Можно ли добавить виртуальные сети из другой подписки, которую я не управляю?
Да, если у вас есть соответствующие разрешения для доступа к этим виртуальным сетям.
Как развертывание конфигурации отличается от групп сети с добавленными вручную элементами и условно добавленными членами?
См. сведения о развертываниях конфигурации в Azure Virtual Network Manager.
Как удалить компонент Azure Virtual Network Manager?
Контрольный список компонентов Azure Virtual Network Manager см. в разделе "Удаление и обновление компонентов Azure".
Хранятся ли данные клиента в Диспетчере виртуальных сетей Azure?
Нет. Диспетчер виртуальных сетей Azure не хранит данные клиента.
Можно ли переместить экземпляр Диспетчера виртуальных сетей Azure?
Нет. В настоящее время Диспетчер виртуальных сетей Azure не поддерживает возможность перемещения экземпляра в другой регион, группу ресурсов или подписку. Если необходимо переместить экземпляр, попробуйте удалить его и использовать шаблон Azure Resource Manager для создания другого в нужном расположении.
Можно ли переместить подписку с помощью Диспетчера виртуальных сетей Azure в другой клиент?
Да, но есть некоторые рекомендации, которые следует учитывать:
- Целевой клиент не может создать диспетчер виртуальных сетей Azure.
- Спицевые виртуальные сети в группе сети могут потерять свою ссылку при изменении арендаторов, теряя подключение к центральной виртуальной сети. Чтобы устранить эту проблему, после перемещения подписки в другой клиент необходимо вручную добавить периферийные виртуальные сети в группу сетевых диспетчеров виртуальных сетей Azure.
Как узнать, какие конфигурации применяются для устранения неполадок?
Параметры Диспетчера виртуальных сетей Azure можно просмотреть в Network Manager для виртуальной сети. В параметрах показаны примененные конфигурации. Дополнительные сведения см. в разделе "Просмотр конфигураций, применяемых диспетчером виртуальных сетей Azure".
Что происходит, когда все зоны отключены в регионе с экземпляром Azure Virtual Network Manager?
При возникновении регионального сбоя все конфигурации, применяемые к текущим ресурсам управляемой виртуальной сети, остаются неизменными во время сбоя. Вы не можете создавать новые конфигурации или изменять существующие конфигурации во время сбоя. После устранения сбоя вы можете продолжать управлять ресурсами виртуальной сети, как и раньше.
Может ли виртуальная сеть, управляемая диспетчером виртуальных сетей Azure, быть подключенной к неуправляемой виртуальной сети?
Да. Диспетчер виртуальных сетей Azure полностью совместим с предварительно созданными топологиями концентратора и периферийной сети, созданными с помощью ручного пиринга. Вам не нужно удалять существующие пиринговые подключения между концентратором и периферийными виртуальными сетями. Миграция выполняется без простоя вашей сети.
Можно ли перенести существующую топологию концентратора и периферийных серверов в Диспетчер виртуальных сетей Azure?
Да. Перенос существующих виртуальных сетей в топологию концентратора и периферийной сети в Диспетчере виртуальных сетей Azure прост. Вы можете создать конфигурацию подключения топологии типа "концентратор-спица". При развертывании этой конфигурации Диспетчер виртуальных сетей Azure автоматически создает необходимые пиринги. Все существующие пиринги остаются неизменными, поэтому простоя нет.
Чем подключенные группы отличаются от пиринга виртуальных сетей при установлении связи между виртуальными сетями?
В Azure пиринг виртуальных сетей и подключенные группы являются двумя методами установления подключения между виртуальными сетями. Пиринг между виртуальными сетями работает за счет создания один-к-одному сопоставления виртуальных сетей, тогда как подключенные группы виртуальных сетей используют новую структуру, устанавливающую подключение без такого сопоставления.
В подключенной группе все виртуальные сети соединены без отдельных пиринговых подключений. Например, если три виртуальные сети являются частью одной подключенной группы, обеспечивается подключение между каждой парой виртуальных сетей без необходимости отдельных отношений пиринга.
Эффект каждого метода одинаков, где между виртуальными сетями устанавливается двунаправленное подключение. Однако подключенные группы упрощают управление подключением, позволяя управлять несколькими виртуальными сетями как одной сущностью и обеспечить более высокий масштаб подключения за пределы пиринга.
При управлении виртуальными сетями с помощью пиринга виртуальных сетей это приводит к оплате расходов на пиринг между виртуальными сетями дважды с помощью Диспетчера виртуальных сетей Azure?
Нет повторной или двойной платы за пиринг. Диспетчер виртуальных сетей учитывает все ранее созданные пиринги виртуальных сетей и переносит эти подключения. Все ресурсы пиринга, независимо от того, созданы ли они внутри диспетчера виртуальных сетей или за его пределами, облагаются единой платой за пиринг.
Можно ли создавать исключения для правил администратора безопасности?
Как правило, правила администратора безопасности определяются для блокировки трафика между виртуальными сетями. Однако существуют случаи, когда определенные виртуальные сети и их ресурсы должны разрешать трафик для управления или других процессов. Для этих сценариев можно создавать исключения , если это необходимо. Узнайте, как блокировать порты с высоким риском с исключениями для этих сценариев.
Как развернуть несколько конфигураций администратора безопасности в регионе?
В регионе можно развернуть только одну конфигурацию администратора безопасности. Однако в регионе может существовать несколько конфигураций подключения, если в конфигурации администратора безопасности создается несколько коллекций правил .
Применяются ли правила администратора безопасности к частным конечным точкам Azure?
В настоящее время правила администратора безопасности не применяются к частным конечным точкам Azure, которые находятся под областью виртуальной сети, управляемой Azure Virtual Network Manager.
Правила исходящего трафика
| Порт | Протокол | Исходный материал | Место назначения | Действие |
|---|---|---|---|---|
| 443, 12 000 | Протокол tcp | VirtualNetwork |
AzureCloud |
Разрешить |
| Любое | Любое | VirtualNetwork |
VirtualNetwork |
Разрешить |
Может ли концентратор Виртуальной глобальной сети Azure быть частью сетевой группы?
Нет, в настоящее время концентратор виртуальной глобальной сети Azure не может находиться в группе сети.
Можно ли использовать экземпляр Azure Virtual WAN в качестве концентратора в конфигурации подключения типа «концентратор и периферия» в Azure Virtual Network Manager?
Нет, в настоящее время концентратор виртуальной глобальной сети Azure не поддерживается в качестве концентратора в топологии концентратора и периферийной топологии.
Моя виртуальная сеть не получает конфигурации, которые я ожидаю. Как устранить неполадки?
Используйте следующие вопросы для возможных решений.
Развернули конфигурацию в регионе виртуальной сети?
Конфигурации в Диспетчере виртуальных сетей Azure не вступают в силу, пока они не будут развернуты. Выполните развертывание в регионе виртуальной сети с соответствующими настройками.
Входит ли виртуальная сеть в зону охвата?
Сетевому диспетчеру предоставляется только такой объем доступа, который позволяет применять конфигурации к виртуальным сетям в пределах вашей области. Если ресурс находится в вашей сетевой группе, но выходит за пределы действия, он не получает никаких конфигураций.
Применяются ли правила безопасности к виртуальной сети, содержащей управляемые экземпляры?
Управляемый экземпляр SQL Azure имеет некоторые требования к сети. Эти требования применяются через сетевые политики с высоким приоритетом, цель которых конфликтует с правилами безопасности администраторов. По умолчанию применение административного правила пропускается в виртуальных сетях, содержащих одну из этих политик намерений. Так как правила Разрешить не представляют риска конфликта, вы можете применить правила Разрешить только, установив параметр AllowRulesOnly на securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Применяются ли правила безопасности к виртуальной сети или подсети, содержащей службы, которые блокируют правила конфигурации безопасности?
Для правильной работы некоторых служб требуются определенные требования к сети. К этим службам относятся Управляемый экземпляр SQL Azure, Azure Databricks и Шлюз приложений Azure. По умолчанию применение правил администратора безопасности пропускается в виртуальных сетях и подсетях, содержащих любую из этих служб. Так как правила allow не представляют риска конфликта, вы можете применить правила "Разрешить только ", задав поле конфигураций AllowRulesOnly безопасности в securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices классе .NET.
Ограничения
Каковы ограничения службы Диспетчера виртуальных сетей Azure?
Для получения наиболее актуальной информации см. раздел Ограничения в Диспетчере виртуальных сетей Azure.
Дальнейшие шаги
- Создайте экземпляр Azure Virtual Network Manager с помощью Azure портала.