Azure Virtual Network Manager FAQ
In diesem Artikel finden Sie Antworten auf häufig gestellte Fragen zu Azure Virtual Network Manager.
Allgemein
Welche Azure-Regionen unterstützen Azure Virtual Network Manager?
Aktuelle Informationen zu den unterstützten Regionen finden Sie unter Verfügbare Produkte nach Region.
Hinweis
Alle Regionen außer „Frankreich, Mitte“ haben Verfügbarkeitszonen.
Was sind häufige Anwendungsfälle für Azure Virtual Network Manager?
Sie können Netzwerkgruppen erstellen, um den Sicherheitsanforderungen Ihrer Umgebung und deren Funktionen gerecht zu werden. Sie können beispielsweise Netzwerkgruppen für Ihre Produktions- und Testumgebungen erstellen, um deren Konnektivität und Sicherheitsregeln im großen Stil zu verwalten.
Für Sicherheitsregeln können Sie eine Sicherheitsadministratorkonfiguration mit zwei Sammlungen erstellen. Die einzelnen Sammlungen sind jeweils auf Ihre Produktions- bzw. Testnetzwerkgruppen zugeschnitten. Nach der Bereitstellung erzwingt diese Konfiguration je einen Sicherheitsregelsatz für Netzwerkressourcen für Ihre Produktionsumgebung und für Ihre Testumgebung.
Sie können Konnektivitätskonfigurationen anwenden, um eine Mesh- oder eine Hub-and-Spoke-Netzwerktopologie für eine große Anzahl von virtuellen Netzwerken in den Abonnements Ihres Unternehmens zu erstellen.
Sie können Datenverkehr mit hohem Risiko verweigern. Als Administrator eines Unternehmens können Sie bestimmte Protokolle oder Quellen blockieren und dabei alle Regeln für Netzwerksicherheitsgruppen (NSGs) außer Kraft setzen, die den Datenverkehr normalerweise zulassen würden.
Sie können Datenverkehr durchgängig zulassen. Beispielsweise können Sie für einen bestimmten Sicherheitsscanner durchgängig eine eingehende Konnektivität mit all Ihren Ressourcen erlauben, auch wenn NSG-Regeln konfiguriert sind, die den Datenverkehr verweigern.
Welche Kosten entstehen durch die Verwendung von Azure Virtual Network Manager?
Die Gebühren für Azure Virtual Network Manager basieren auf der Anzahl der Abonnements, die ein virtuelles Netzwerk mit einer darin bereitgestellten aktiven Virtual Network Manager-Konfiguration enthalten. Außerdem wird eine Peeringgebühr für das Datenverkehrsvolumen virtueller Netzwerke erhoben, die über eine bereitgestellte Konnektivitätskonfiguration (entweder Cloud oder Hub-and-Spoke) verwaltet werden.
Die aktuellen Preise für Ihre Region finden Sie auf der Seite Azure Virtual Network Manager – Preise.
Wie stelle ich Azure Virtual Network Manager bereit?
Sie können Azure Virtual Network Manager-Instanzen und Konfigurationen über verschiedene Tools bereitstellen und verwalten, darunter:
Technisch
Kann ein virtuelles Netzwerk zu mehreren Azure Virtual Network Manager-Instanzen gehören?
Ja, ein virtuelles Netzwerk kann zu mehr als einer Azure Virtual Network Manager-Instanz gehören.
Können Spoke-VNets mit einem VWAN-Hub verbunden werden, während er sich in einer Gittermodelltopologie befindet, damit diese Spoke-VNets direkt kommunizieren können?
Ja, Spoke-VNets können mit VWAN-Hubs verbunden werden, während sie sich in der Gittermodellgruppe befinden. Diese VNets in der Gittermodellgruppe haben eine direkte Verbindung.
Werden Vorgänge an die IP-Präfixe in VNets, die Teil des Azure Virtual Network Manager-Gittermodells sind, automatisch verteilt?
VNets im Gittermodell werden automatisch synchronisiert. IP-Präfixe werden automatisch aktualisiert. Dies bedeutet, dass der Datenverkehr innerhalb des Gittermodells auch dann funktioniert, wenn IP-Präfixe in VNets im Gittermodell geändert wurden.
Wie kann ich überprüfen, ob eine Gittermodelltopologie konfiguriert ist und angewendet wird?
Weitere Informationen finden Sie in der Dokumentation Anzeigen der angewendeten Konfigurationen. Eine Gittermodelltopologie ist kein VNet-Peering, sodass keine Gittermodellkonnektivität im Peering angezeigt wird.
Was geschieht, wenn die Region, in der der Azure Virtual Network Manager erstellt wird, deaktiviert ist? Wirkt sich dies auf bereitgestellte Konfigurationen aus, oder werden nur Konfigurationsänderungen verhindert?
Nur die Möglichkeit zum Ändern von Konfigurationen ist beeinträchtigt. Nachdem Azure Virtual Network Manager die Konfiguration programmiert hat, nachdem Sie die Konfiguration committet haben, wird sie weiterhin ausgeführt. Wenn beispielsweise die Azure Virtual Network Manager-Instanz in Region 1 erstellt wird und die Gittermodelltopologie in Region 2 eingerichtet wird, funktioniert das Gittermodell in Region 2 weiterhin, auch wenn Region 1 nicht verfügbar ist.
Was ist eine globale Mesh-Netzwerktopologie?
Eine globale Cloud ermöglicht es, dass virtuelle Netzwerke in verschiedenen Regionen miteinander kommunizieren können. Die Auswirkungen sind ähnlich wie beim globalen virtuellen Netz-Peering.
Gibt es eine Obergrenze für die Anzahl der Netzwerkgruppen, die erstellt werden können?
Die Anzahl der Netzwerkgruppen, die Sie erstellen können, ist unbegrenzt.
Gewusst wie kann ich die Bereitstellung aller angewendeten Konfigurationen aufheben?
Sie müssen für alle Regionen, auf die Sie eine Konfiguration angewendet haben, eine Keine-Konfiguration bereitstellen.
Kann ich virtuelle Netzwerke aus einem anderen Abonnement hinzufügen, das ich nicht verwalte?
Ja, wenn Sie über die erforderlichen Berechtigungen verfügen, um auf diese virtuellen Netzwerke zuzugreifen
Was bedeutet dynamische Gruppenmitgliedschaft?
Siehe Dynamische Mitgliedschaft
Wie ist die Bereitstellung der Konfiguration bei dynamischer Mitgliedschaft und statischer Mitgliedschaft unterschiedlich?
Siehe Konfigurationsbereitstellungen in Azure Virtual Network Manager
Wie kann ich eine Azure Virtual Network Manager-Komponente löschen?
Siehe Komponenten aus der Azure Virtual Network Manager-Checkliste entfernen und aktualisieren
Speichert Azure Virtual Network Manager Kundendaten?
Nein. Azure Virtual Network Manager speichert keine Kundendaten.
Kann eine Azure Virtual Network Manager-Instanz verschoben werden?
Nein Azure Virtual Network Manager unterstützt diese Funktion derzeit nicht. Wenn Sie eine Instanz verschieben müssen, können Sie sie löschen und die Azure Resource Manager-Vorlage verwenden, um eine andere Instanz an einem anderen Speicherort zu erstellen.
Kann ich ein Abonnement mit Azure Virtual Network Manager in einen anderen Mandanten verschieben?
Ja, Sie müssen jedoch einige Punkte berücksichtigen:
- Im Zielmandant darf keine Azure Virtual Network Manager-Instanz erstellt worden sein.
- Die Spoke-VNets in der Netzwerkgruppe verlieren möglicherweise ihren Verweis, wenn die Mandanten geändert werden, wodurch die Verbindung mit dem Hub-VNet verloren geht. Um dies zu beheben, müssen Sie nach dem Verschieben des Abonnements in einen anderen Mandanten die Spoke-VNets manuell der Netzwerkgruppe von Azure Virtual Network Manager hinzufügen.
Wie kann ich sehen, welche Konfigurationen angewendet werden, um mir bei der Fehlersuche zu helfen?
Sie können die Einstellungen des Azure Virtual Network Manager unter Netzwerkmanager für ein virtuelles Netzwerk einsehen. In den Einstellungen können Sie sowohl die Konnektivitäts- als auch die Sicherheitsadministratorkonfigurationen sehen, die angewendet werden. Weitere Informationen finden Sie unter Anzeigen der von Azure Virtual Network Manager angewendeten Konfigurationen.
Was geschieht, wenn alle Zonen in einer Region mit einer Virtual Network Manager-Instanz ausgefallen sind?
Bei einem regionalen Ausfall bleiben alle Konfigurationen, die auf aktuelle verwaltete virtuelle Netzwerkressourcen angewendet werden, während des Ausfalls erhalten. Während des Ausfalls können Sie keine neuen Konfigurationen erstellen oder vorhandene Konfigurationen ändern. Nachdem der Ausfall behoben wurde, können Sie Ihre virtuellen Netzwerkressourcen wie zuvor verwalten.
Kann ein virtuelles Netzwerk, das von Azure Virtual Network Manager verwaltet wird, per Peering mit einem nicht verwalteten virtuellen Netzwerk verbunden werden?
Ja. Azure Virtual Network Manager ist vollständig mit bereits vorhandenen Bereitstellungen mit Hub-and-Spoke-Topologie kompatibel, die Peering verwenden. Sie müssen keine bestehenden Peeringverbindungen zwischen den Spokes und dem Hub löschen. Die Migration erfolgt ohne Ausfallzeiten in Ihrem Netzwerk.
Kann ich eine bestehende Hub-and-Spoke-Topologie zu Azure Virtual Network Manager migrieren?
Ja. Das Migrieren bestehender virtueller Netzwerke zur Hub-and-Spoke-Topologie in Azure Virtual Network Manager ist einfach. Sie können eine Konnektivitätskonfiguration für eine Hub-and-Spoke-Topologie erstellen. Wenn Sie diese Konfiguration bereitstellen, erstellt Virtual Network Manager automatisch die erforderlichen Peerings. Alle bereits vorhandenen Peerings bleiben intakt, sodass es keine Downtime gibt.
Wie unterscheiden sich verbundene Gruppen vom Peering virtueller Netzwerke im Hinblick auf die Schaffung von Konnektivität zwischen virtuellen Netzwerken?
In Azure stellen das Peering virtueller Netzwerke und verbundene Gruppen zwei Methoden zur Schaffung von Konnektivität zwischen virtuellen Netzwerken dar. Während beim Peering eine 1-zu-1-Zuordnung von virtuellen Netzwerken stattfindet, verwenden verbundene Gruppen ein neues Konstrukt, das die Konnektivität ohne eine solche Zuordnung schafft.
In einer verbundenen Gruppe sind alle virtuellen Netzwerke ohne einzelne Peeringbeziehungen miteinander verbunden. Wenn beispielsweise drei virtuelle Netzwerke Teil der gleichen verbundenen Gruppe sind, besteht zwischen den einzelnen virtuellen Netzwerken Konnektivität, ohne dass einzelne Peeringbeziehungen erforderlich sind.
Wenn virtuelle Netzwerke verwaltet werden, die derzeit VNet-Peering verwenden, führt dies dazu, dass die VNet-Peeringgebühren mit Azure Virtual Network Manager doppelt bezahlt werden?
Für das Peering wird keine zweite oder doppelte Gebühr in Rechnung gestellt. Azure Virtual Network Manager berücksichtigt alle zuvor erstellten VNet-Peerings und migriert diese Verbindungen. Für alle Peering-Ressourcen, unabhängig davon, ob sie innerhalb oder außerhalb eines virtuellen Netzmanagers erstellt werden, fällt eine einzige Peeringgebühr an.
Kann ich Ausnahmen für Sicherheitsadministratorregeln erstellen?
Normalerweise werden Sicherheitsadministratorregeln definiert, um Datenverkehr über virtuelle Netzwerke zu blockieren. Es gibt jedoch Zeiten, in denen bestimmte virtuelle Netzwerke und ihre Ressourcen Datenverkehr für die Verwaltung oder andere Prozesse zulassen müssen. Für diese Szenarios können Sie bei Bedarf Ausnahmen erstellen. Weitere Informationen dazu, wie Sie Ports mit hohem Risiko mit Ausnahmen für diese Szenarios blockieren können, finden Sie unter diesem Link.
Wie kann ich mehrere Sicherheitsadministratorkonfigurationen in einer Region bereitstellen?
Sie können pro Region nur eine Sicherheitsadministratorkonfiguration bereitstellen. Regionen können jedoch über mehrere Konnektivitätskonfigurationen verfügen, wenn Sie mehrere Regelsammlungen in einer Sicherheitskonfiguration erstellen.
Gelten Sicherheitsadministratorregeln für private Azure-Endpunkte?
Derzeit gelten Sicherheitsadministratorregeln nicht für private Azure-Endpunkte, die in den Bereich eines virtuellen Netzwerks fallen, das mit Azure Virtual Network Manager verwaltet wird.
Ausgangsregeln
Port | Protokoll | Quelle | Ziel | Aktion |
---|---|---|---|---|
443, 12000 | TCP | VirtualNetwork |
AzureCloud |
Allow |
Any | Any | VirtualNetwork |
VirtualNetwork |
Allow |
Kann ein Azure Virtual WAN-Hub Teil einer Netzwerkgruppe sein?
Nein, ein Azure Virtual WAN-Hub kann sich aktuell nicht in einer Netzwerkgruppe befinden.
Kann ich eine Azure Virtual WAN-Instanz als Hub in einer Hub-and-Spoke-Topologiekonfiguration für Virtual Network Manager verwenden?
Nein, Azure Virtual WAN-Hubs werden aktuell nicht als Hubs in einer Hub-and-Spoke-Topologie unterstützt.
Mein virtuelles Netzwerk erhält nicht die Konfigurationen, die ich erwarte. Wie führe ich eine Problembehandlung durch?
Sehen Sie sich für mögliche Lösungen die folgenden Fragen an.
Haben Sie Ihre Konfiguration in der Region des virtuellen Netzwerks bereitgestellt?
Konfigurationen in Azure Virtual Network Manager werden erst wirksam, wenn sie bereitgestellt werden. Führen Sie in der Region des virtuellen Netzwerks eine Bereitstellung mit den entsprechenden Konfigurationen durch.
Sind neue Konfigurationen für Ihr virtuelles Netzwerk vorgesehen?
Netzwerkmanager erhalten nur die erforderlichen Zugriffsberechtigungen, um Konfigurationen auf die virtuellen Netzwerke in Ihrem Bereich anzuwenden. Wenn sich eine Ressource in Ihrer Netzwerkgruppe, aber außerhalb des Bereichs befindet, erhält sie keine Konfigurationen.
Werden Sicherheitsregeln auf ein virtuelles Netzwerk angewendet, das verwaltete Instanzen enthält?
Azure SQL Managed Instance weist einige Netzwerkanforderungen auf. Diese Anforderungen werden durch Netzwerkabsichtsrichtlinien mit hoher Priorität erzwungen, deren Zweck mit Sicherheitsadministratorregeln in Konflikt steht. Standardmäßig wird die Anwendung von Administratorregeln in virtuellen Netzwerken übersprungen, die solche Absichtsrichtlinien enthalten. Da Zulassen-Regeln keine Konfliktgefahr mit sich bringen, können Sie sich für die Anwendung von Nur zulassen-Regeln entscheiden, indem Sie AllowRulesOnly
auf securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
festlegen.
Werden Sicherheitsregeln auf ein virtuelles Netzwerk oder Subnetz angewendet, das Dienste enthält, die Sicherheitskonfigurationsregeln blockieren?
Bei bestimmten Diensten sind bestimmte Netzwerkanforderungen erforderlich, damit sie ordnungsgemäß funktionieren. Zu diesen Diensten gehören Azure SQL Managed Instance, Azure Databricks und Azure Application Gateway. Standardmäßig wird die Anwendung von Sicherheitsadministratorregeln in virtuellen Netzwerken und Subnetzen übersprungen, die solche Dienste enthalten. Da Zulassen-Regeln keine Konfliktgefahr mit sich bringen, können Sie sich für die Anwendung von Nur zulassen-Regeln entscheiden, indem Sie in den Sicherheitskonfigurationen das Feld AllowRulesOnly
auf die .NET-Klasse securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
festlegen.
Grenzwerte
Welche Serviceeinschränkungen hat Azure Virtual Network Manager?
Die aktuellsten Informationen finden Sie unter Einschränkungen bei Azure Virtual Network Manager.
Nächste Schritte
- Erstellen Sie eine Azure Virtual Network Manager-Instanz über das Azure-Portal.