Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены ответы на часто задаваемые вопросы о Azure Virtual Network Manager.
Общая информация
Какие регионы Azure поддерживают Azure Virtual Network Manager?
Сведения о поддержке регионов см. в разделе "Продукты", доступные по регионам.
Замечание
Многие регионы Azure поддерживают зоны доступности. Сведения о том, какие регионы поддерживают зоны доступности, см. в списке регионов Azure.
Что такое распространенные варианты использования для Azure Virtual Network Manager?
Вы можете создавать сетевые группы для удовлетворения требований к безопасности среды и ее функций. Например, можно создавать сетевые группы для рабочих сред и тестовых сред, чтобы управлять их правилами подключения и безопасности в большом масштабе.
Для правил администратора безопасности можно создать конфигурацию администратора безопасности с двумя коллекциями правил. Каждая коллекция правил ориентирована на рабочие и тестовые сетевые группы соответственно. После развертывания эта конфигурация применяет один набор правил администратора безопасности для сетевых ресурсов для рабочей среды и другой набор для тестовой среды.
Конфигурации подключения можно применить для создания сетки или топологии сети концентратора и периферийной сети для большого количества виртуальных сетей в подписках вашей организации.
Вы можете запретить трафик с высоким риском. Администратор предприятия может блокировать определенные протоколы или источники, которые переопределяют любые правила группы безопасности сети, которые обычно разрешают трафик.
Вы можете принудительно разрешить трафик. Например, можно разрешить конкретному сканеру безопасности всегда подключаться ко всем ресурсам, даже если правила группы безопасности сети настроены для запрета трафика.
Какова стоимость использования Azure Virtual Network Manager?
Плата за Azure Virtual Network Manager основана на количестве виртуальных сетей, на которых развернута активная конфигурация Virtual Network Manager. Например, если область Virtual Network Manager содержит 100 виртуальных сетей, но конфигурации были развернуты только в пяти из этих виртуальных сетей, плата будет взиматься за эти пять виртуальных сетей (не все 100). Кроме того, обратите внимание, что плата за пиринг применяется к объему трафика виртуальных сетей, управляемых развернутой конфигурацией подключения (сеткой или концентратором и периферийным интерфейсом).
Если виртуальная сеть имеет несколько конфигураций, развернутых на нем одним и тем же экземпляром Virtual Network Manager, эта виртуальная сеть несет только одну ставку оплаты; она не будет дублировать расходы. Например, если Virtual Network Manager развертывает как конфигурацию подключения, так и конфигурацию администратора безопасности в одном и том же наборе из пяти виртуальных сетей, оплата производится за эти пять виртуальных сетей, но взимание платы не происходит дважды. Эта стоимость не учитывает несколько конфигураций, если только они не исходят из разных экземпляров Virtual Network Manager.
До февраля 2025 года плата за Azure Virtual Network Manager по умолчанию была основана на количестве подписок, содержащих виртуальную сеть с активной конфигурацией Virtual Network Manager, развернутой на ней. Если вы создали экземпляр Virtual Network Manager до февраля 2025 г., вы можете выбрать переключить цены на цену, основанную на виртуальной сети.
Проверка сети с помощью инструмента Azure Virtual Network Manager начисляет сборы за каждый запуск анализа доступности в рабочей области проверки Azure Virtual Network Manager. Эта плата отличается от Azure Virtual Network Manager расходов.
Azure Virtual Network Manager функция управления IP-адресами взимает плату за каждый активный IP-адрес, управляемый средством управления IP-адресами Azure Virtual Network Manager, по почасовой ставке. Активный IP-адрес определяется как любой IP-адрес, связанный с сетевым интерфейсом в виртуальной сети, связанной с пулом IP-адресов. Эта плата отличается от Azure Virtual Network Manager расходов.
На странице цен Azure Virtual Network Manager можно найти текущие цены для вашего региона.
Как развернуть Azure Virtual Network Manager?
Вы можете развертывать экземпляр и конфигурации Azure Virtual Network Manager и управлять ими с помощью различных средств, в том числе:
Технический
Может ли виртуальная сеть принадлежать нескольким экземплярам Azure Virtual Network Manager?
Да, виртуальная сеть может принадлежать нескольким экземплярам Azure Virtual Network Manager.
Могут ли виртуальные сети спиц подключаться к концентратору Virtual WAN в конфигурации ячеистой сети, чтобы эти сети спиц могли напрямую взаимодействовать друг с другом?
Да, спицевые виртуальные сети могут подключаться к концентраторам Virtual WAN в конфигурации сетевого подключения типа mesh. Эти виртуальные сети в мезхированной группе обладают прямым подключением друг к другу.
Будут ли операции с префиксами IP-адресов в виртуальных сетях, которые являются частью сетки Azure Virtual Network Manager распространяться автоматически?
Виртуальные сети в сетке автоматически синхронизируются. Префиксы IP-адресов будут обновляться автоматически. Это означает, что трафик в сетке будет работать даже после изменения префиксов IP-адресов в виртуальных сетях в сетке.
Как убедиться, что конфигурация подключения к сетке применяется как предназначенная?
См. документацию по просмотру примененных конфигураций. Конфигурация сетевого подключения не соединяет виртуальные сети с пирингом виртуальных сетей, следовательно, вы не видите сетевую топологию в панелях пиринга.
Что произойдет, если регион, в котором создан Azure Virtual Network Manager, выйдет из строя? Влияет ли это на развернутые конфигурации или только предотвращает изменения конфигурации?
Будут затронуты только возможности изменения конфигураций. После того как Azure Virtual Network Manager запрограммировал конфигурацию после фиксации конфигурации, она продолжит работать. Например, если экземпляр Azure Virtual Network Manager создается в регионе 1 и топология сетки устанавливается в регионе 2, сетка в регионе 2 будет продолжать функционировать, даже если регион 1 становится недоступным.
Что такое глобальная топология сети сетки?
Глобальная сетка позволяет виртуальным сетям между регионами взаимодействовать друг с другом. Эффекты аналогичны тому, как работает пиринг между глобальной виртуальной сетью.
Существует ли ограничение на количество групп сети, которые можно создать?
Нет ограничений на количество создаваемых сетевых групп.
Как удалить развертывание всех примененных конфигураций?
Необходимо развернуть конфигурацию None во всех регионах, где применена конфигурация.
Можно ли добавить виртуальные сети из другой подписки, которую я не управляю?
Да, если у вас есть соответствующие разрешения для доступа к этим виртуальным сетям.
Как развертывание конфигурации отличается от групп сети с добавленными вручную элементами и условно добавленными членами?
См. статью Configuration deployments in Azure Virtual Network Manager.
Как удалить компонент Azure Virtual Network Manager?
См. контрольный список удаления и обновления компонентов Azure Virtual Network Manager.
Хранит ли Azure Virtual Network Manager данные клиента?
Нет. Azure Virtual Network Manager не сохраняет данные клиента.
Можно ли переместить экземпляр Azure Virtual Network Manager?
Нет. Azure Virtual Network Manager в настоящее время не поддерживает возможность перемещения экземпляра в другой регион, группу ресурсов или подписку. Если необходимо переместить экземпляр, попробуйте удалить его и использовать шаблон Azure Resource Manager для создания другого экземпляра в нужном расположении.
Можно ли переместить подписку с Azure Virtual Network Manager в другой клиент?
Нет, перемещение подписки, в которой существует экземпляр Azure Virtual Network Manager, в другой клиент не поддерживается. Дополнительные сведения см. в разделе Ограничения с Azure Virtual Network Manager.
Как узнать, какие конфигурации применяются для устранения неполадок?
Параметры Azure Virtual Network Manager можно просмотреть в разделе Network Manager для виртуальной сети. В параметрах показаны примененные конфигурации. Дополнительные сведения см. в разделе Просмотр конфигураций, применяемых диспетчером виртуальной сети Azure.
Что происходит, когда все зоны в регионе недоступны с экземпляром Azure Virtual Network Manager?
При возникновении регионального сбоя все конфигурации, применяемые к текущим ресурсам управляемой виртуальной сети, остаются неизменными во время сбоя. Вы не можете создавать новые конфигурации или изменять существующие конфигурации во время сбоя. После устранения сбоя вы можете продолжать управлять ресурсами виртуальной сети, как и раньше.
Может ли виртуальная сеть, управляемая Azure Virtual Network Manager, быть связана с неуправляемой виртуальной сетью?
Да. Azure Virtual Network Manager полностью совместим с уже существующими топологиями концентраторов и периферийных узлов, созданными с помощью пиринга вручную. Вам не нужно удалять существующие пиринговые подключения между концентратором и периферийными виртуальными сетями. Миграция выполняется без простоя вашей сети.
Можно ли перенести существующую топологию концентратора и периферийной в Azure Virtual Network Manager?
Да. Перенос существующих виртуальных сетей в топологию концентраторов и периферийных серверов в Azure Virtual Network Manager прост. Вы можете создать конфигурацию подключения топологии типа "концентратор-спица". При развертывании этой конфигурации Azure Virtual Network Manager автоматически создает необходимые пиринги. Все существующие пиринги остаются неизменными, поэтому простоя нет.
Чем подключенные группы отличаются от пиринга виртуальных сетей при установлении связи между виртуальными сетями?
В Azure пиринг между виртуальными сетями и подключенными группами — это два метода установления подключения между виртуальными сетями. Пиринг между виртуальными сетями работает за счет создания один-к-одному сопоставления виртуальных сетей, тогда как подключенные группы виртуальных сетей используют новую структуру, устанавливающую подключение без такого сопоставления.
В подключенной группе все виртуальные сети соединены без отдельных пиринговых подключений. Например, если три виртуальные сети являются частью одной подключенной группы, обеспечивается подключение между каждой парой виртуальных сетей без необходимости отдельных отношений пиринга.
Эффект каждого метода одинаков, где между виртуальными сетями устанавливается двунаправленное подключение. Однако подключенные группы упрощают управление подключением, позволяя управлять несколькими виртуальными сетями как одной сущностью и обеспечить более высокий масштаб подключения за пределы пиринга.
При управлении виртуальными сетями с помощью пиринга виртуальных сетей, приводит ли это к двойной оплате расходов на пиринг в Azure Virtual Network Manager?
Нет повторной или двойной платы за пиринг. Диспетчер виртуальных сетей учитывает все ранее созданные пиринги виртуальных сетей и переносит эти подключения. Все ресурсы пиринга, независимо от того, созданы ли они внутри диспетчера виртуальных сетей или вне его, подлежат единой плате за пиринг.
Можно ли создавать исключения для правил администратора безопасности?
Как правило, правила администратора безопасности определяются для блокировки трафика между виртуальными сетями. Однако существуют случаи, когда определенные виртуальные сети и их ресурсы должны разрешать трафик для управления или других процессов. Для этих сценариев можно создавать исключения , если это необходимо. Узнайте, как блокировать порты с высоким риском с исключениями для этих сценариев.
Как развернуть несколько конфигураций администратора безопасности в регионе?
В регионе можно развернуть только одну конфигурацию администратора безопасности. Однако в регионе может существовать несколько конфигураций подключения. Чтобы развернуть несколько наборов правил администратора безопасности в регионе, создайте несколько коллекций правил в конфигурации администратора безопасности.
Применяются ли правила администратора безопасности к Azure частным конечным точкам?
В настоящее время правила администратора безопасности не применяются к Azure частным конечным точкам, которые находятся под областью виртуальной сети, управляемой Azure Virtual Network Manager.
Может ли центр Azure Virtual WAN быть частью сетевой группы?
Нет, в настоящее время Azure Virtual WAN концентратор не может находиться в группе сети.
Можно ли использовать экземпляр Azure Virtual WAN в качестве концентратора в конфигурации подключения «концентратор-периферия» в Azure Virtual Network Manager?
Нет, в настоящее время центр Azure Virtual WAN не поддерживается в качестве концентратора в топологии концентратор-ответвление.
Моя виртуальная сеть не получает конфигурации, которые я ожидаю. Как устранить неполадки?
Используйте следующие вопросы для возможных решений.
Развернули конфигурацию в регионе виртуальной сети?
Конфигурации в Azure Virtual Network Manager не вступают в силу, пока они не будут развернуты. Выполните развертывание в регионе виртуальной сети с соответствующими настройками.
Входит ли виртуальная сеть в зону охвата?
Сетевому диспетчеру предоставляется только такой объем доступа, который позволяет применять конфигурации к виртуальным сетям в пределах вашей области. Если ресурс находится в вашей сетевой группе, но выходит за пределы действия, он не получает никаких конфигураций.
Применяются ли правила безопасности к виртуальной сети, содержащей управляемые экземпляры?
Azure SQL Managed Instance имеет некоторые требования к сети. Эти требования применяются через сетевые политики с высоким приоритетом, цель которых конфликтует с правилами безопасности администраторов. По умолчанию применение административного правила пропускается в виртуальных сетях, содержащих одну из этих политик намерений. Так как правила Разрешить не представляют риска конфликта, вы можете применить правила Разрешить только, установив параметр AllowRulesOnly на securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Применяются ли правила безопасности к виртуальной сети или подсети, содержащей службы, которые блокируют правила конфигурации безопасности?
Для правильной работы некоторых служб требуются определенные требования к сети. По умолчанию правила администратора безопасности не применяются к виртуальным сетям, содержащим Azure SQL Managed Instance или Azure Databricks. Кроме того, правила администратора безопасности не применяются на уровне подсети для таких служб, как Azure Application Gateway, Azure Bastion, Azure Firewall, Azure Route Server, Azure VPN Gateway, Azure Virtual WAN и шлюз Azure ExpressRoute. Полный список см. в разделе «Неисполнение правил безопасности администратора». Для неаппликации на уровне виртуальной сети, так как правила Allow не представляют риска конфликтов, вы можете применить Allow Only правила, задав поле конфигураций безопасности AllowRulesOnly в классе securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET.
Ограничения
Каковы ограничения службы Azure Virtual Network Manager?
Наиболее актуальную информацию см. в разделе Ограничения в Azure Virtual Network Manager.
Дальнейшие шаги
- Создайте экземпляр Azure Virtual Network Manager с помощью портала Azure.