共用方式為


Azure Virtual Network Manager 常見問題

本文回答有關 Azure Virtual Network Manager 的常見問題集。

一般

哪些 Azure 區域支援 Azure Virtual Network Manager?

如需區域支援的最新資訊,請參閱依區域提供的產品

注意

除了法國中部以外,所有區域都有可用性區域

Azure Virtual Network Manager 的常見使用案例為何?

  • 您可以建立網路群組,以符合環境及其功能的安全性需求。 例如可以為實際執行環境和測試環境建立網路群組,以大規模管理其連線和安全性規則。

    針對安全性規則,您可以使用兩個集合來建立安全性系統管理員設定。 每個集合分別以生產環境與測試網路群組為目標。 部署之後,此設定會對生產環境的網路資源強制執行一組安全性規則,並為測試環境強制執行一組安全性規則。

  • 您可以套用連線設定,針對組織訂閱中的大量虛擬網路建立網格或中樞和輪輻網路拓撲。

  • 您可以拒絕高風險流量。 身為企業管理員,若特定通訊協定或來源會將任何通常允許流量的網路安全性群組 (NSG) 規則覆寫,您可以加以封鎖。

  • 您可以一律允許流量。 例如,即使已設定 NSG 規則來拒絕流量,您可能仍想要允許特定安全性掃描工具一直保有所有資源的輸入連線能力。

使用 Azure Virtual Network Manager 的成本為何?

Azure Virtual Network Manager 費用是以包含虛擬網路的訂用帳戶數目為基礎,其中部署了作用中的 Virtual Network Manager 設定。 此外,對等互連的費用適用於受部署連線設定所管理虛擬網路的流量 (網格或中樞和輪輻)。

您可以在 [Azure Virtual Network Manager 定價] 頁面上找到您區域的目前定價。

如何部署 Azure Virtual Network Manager?

您可以透過各種工具部署和管理 Azure Virtual Network Manager 執行個體和設定,包括:

技術

虛擬網路是否能屬於數個 Azure Virtual Network Manager 執行個體?

是,虛擬網路可以屬於不只一個 Azure Virtual Network Manager 執行個體。

輪輻 VNet 是否可以在網格拓撲中聯機到 VWAN 中樞,讓這些輪輻 VNet 可以直接通訊?

是,輪輻 VNet 可以在網格群組中聯機到 VWAN 中樞。 網格群組中的那些 VNet 具有直接連線能力。

屬於 Azure 虛擬網絡 Manager 網狀結構一部分的 VNET 中 IP 前置詞的作業是否會自動傳播?

網格中的 VNet 會自動同步處理。IP 前置詞會自動更新。 這表示,即使網狀結構中的 VNet 中有 IP 前置碼變更,網狀結構內的流量仍可運作。

如何? 確認網格拓撲已設定並套用??

請參閱如何檢視已套用的組態。 網格拓撲不是 VNet 對等互連,因此您無法在對等互連中看到網格聯機。

如果 Azure 虛擬網絡 Manager 建立所在的區域已關閉,會發生什麼情況? 它會影響已部署的組態,或只防止組態變更?

只有變更組態的能力才會受到影響。 一旦 Azure 虛擬網絡 管理員在您認可設定之後進行設定程式設計後,它就會繼續運作。 例如,如果在區域 1 中建立 Azure 虛擬網絡 Manager 實例,並在區域 2 中建立網格拓撲,即使區域 1 變成無法使用,區域 2 中的網格仍會繼續運作。

什麼是全域網格網路拓撲?

全域網格可讓跨區域的虛擬網路彼此通訊。 這些效果類似全域虛擬網路對等互連的運作方式。

是否會限制我能建立的網路群組數量?

並未限制您可以建立多少個網路群組。

如何移除所有已套用的設定部署?

您必須部署 [無] 設定至已套用設定的所有區域。

我可以從另一個未管理的訂用帳戶新增虛擬網路嗎?

是,如果您擁有能存取此類虛擬網路的適當權限。

何謂動態群組成員資格?

請參閱動態成員資格

動態成員資格和靜態成員資格部署的設定有何不同?

請參閱 Azure Virtual Network Manager 中的設定部署

如何刪除 Azure Virtual Network Manager 元件?

請參閱移除和更新 Azure Virtual Network Manager 元件檢查清單

Azure Virtual Network Manager 會儲存客戶資料嗎?

否。 Azure Virtual Network Manager 不會儲存任何客戶資料。

Azure Virtual Network Manager 執行個體可以移動嗎?

否。 Azure Virtual Network Manager 目前不支援該功能。 如果您需要移動執行個體,則可以考慮將其刪除,並使用 Azure Resource Manager 範本在另一個位置建立另一個執行個體。

是否可以將具有 Azure 虛擬網絡 Manager 的訂用帳戶移至另一個租使用者?

是的,但有一些考慮要記住:

  • 目標租用戶無法建立 Azure 虛擬網絡 Manager。
  • 網路群組中的輪輻虛擬網路在變更租使用者時可能會失去其參考,因而失去與中樞 vnet 的連線。 若要解決此問題,將訂用帳戶移至另一個租用戶之後,您必須手動將輪輻 vnet 新增至 Azure 虛擬網絡 Manager 的網路群組。

如何查看套用哪些設定來協助我進行疑難排解?

您可以在虛擬網路的 [網路管理員] 底下檢視 Azure Virtual Network Manager 設定。 這些設定會顯示已套用的連線和安全性管理員設定。 如需詳細資訊,請參閱檢視 Azure Virtual Network Manager 所套用的設定

當具有 Virtual Network Manager 執行個體之區域中的所有區域都關閉時,會發生什麼事?

如果發生區域性中斷,則套用至目前受控虛擬網路資源的所有設定都會在中斷期間保持不變。 您無法在中斷期間建立新的設定或修改現有的設定。 解決中斷情況之後,您可以繼續如常管理虛擬網路資源。

Azure Virtual Network Manager 所管理的虛擬網路,是否可以對等互連至非受控虛擬網路?

是。 Azure Virtual Network Manager 與使用對等互連的預先存在中樞和輪輻拓撲部署完全相容。 您不需要刪除輪輻與中樞之間的任何現有對等互連連線。 移轉會在您的網路沒有任何停機的情況下進行。

我可以將現有的中樞和輪輻拓撲移轉至 Azure Virtual Network Manager 嗎?

是。 將現有的虛擬網路移轉至 Azure Virtual Network Manager 中的中樞和輪輻拓撲很簡單。 您可以建立中樞輪輻拓撲連線設定。 當您部署此設定時,Virtual Network Manager 會自動建立必要的對等互連。 任何預先存在的對等互連都會保持不變,因此不會停機。

連線群組與虛擬網路對等互連在建立虛擬網路之間的連線有何不同?

在 Azure 中,虛擬網路對等互連和連線群組是建立虛擬網路之間連線的兩種方法。 對等互連的運作方式是建立虛擬網路之間的一對一對應,而連線群組則使用新的建構來建立沒有此類對應的連線。

在連線群組中,所有虛擬網路都會連線,而不需要個別的對等互連關聯性。 例如,如果三個虛擬網路是相同連線群組的一部分,則會在每個虛擬網路之間啟用連線,而不需要個別對等互連關聯性。

管理目前使用 VNet 對等互連的虛擬網路時,這會導致使用 Azure Virtual Network Manager 支付 VNet 對等互連費用兩次嗎?

對等互連沒有第二或雙重費用。 您的虛擬網路管理員會遵守所有先前建立的 VNet 對等互連,並移轉這些連線。 所有對等互連資源,無論是在虛擬網路管理員內部或外部建立,都會產生單一對等互連費用。

我可以建立安全性系統管理員規則的例外狀況嗎?

通常,系統會定義安全性系統管理員規則來封鎖虛擬網路之間的流量。 不過,有時候某些虛擬網路及其資源會需要允許流量以便管理或進行其他程序。 在這些案例中,您可以視需要建立例外狀況。 了解如何在這些案例下,封鎖具有例外狀況的高風險連接埠

如何將多個安全性系統管理員設定部署到區域?

您只能將一個安全性系統管理員設定部署到區域。 不過,如果您在安全性設定中建立多個規則集合,則區域中可以存在多個連線設定。

安全性系統管理員規則是否會套用至 Azure 私人端點?

目前,安全性系統管理員規則不會套用至屬於 Azure Virtual Network Manager 所管理虛擬網路範圍的 Azure 私人端點。

輸出規則

連接埠 通訊協定 來源 Destination 動作
443、12000 TCP VirtualNetwork AzureCloud 允許
任意 任意 VirtualNetwork VirtualNetwork 允許

Azure Virtual WAN 中樞是否可以成為網路群組的一部分?

否,Azure Virtual WAN 中樞目前不能位於網路群組中。

是否可以使用 Azure 虛擬 WAN 執行個體作為 Virtual Network Manager 中樞和輪輻拓撲組態中的中樞?

否,目前不支援 Azure 虛擬 WAN 中樞作為中樞和輪輻拓撲中的中樞。

我的虛擬網路未收到預期中的設定。 如何進行疑難排解?

針對可能的解決方案,請使用下列問題。

您是否已將設定部署至虛擬網路的區域?

Azure Virtual Network Manager 中的設定在部署之前不會生效。 請使用適當設定,部署至虛擬網路區域。

您的虛擬網路是否在範圍內?

僅會將剛剛好的存取權委派給網路管理員,以將設定套用至您範圍內的虛擬網路。 若資源位於您的網路群組中,但在範圍之外,亦不會收到任何設定。

您是否將安全性規則套用至包含受控執行個體的虛擬網路?

Azure SQL 受控執行個體有一些網路需求。 這些需求會透過高優先順序網路意圖原則的強制執行,其用途與安全性管理員規則相互衝突。 根據預設,系統管理規則應用程式會跳過包含這些意圖原則的任何虛擬網路。 因為 [允許] 規則不會造成衝突的風險,因此您可以選擇在 securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices 上設定 AllowRulesOnly,以套用 [僅限允許] 規則。

您是否將安全性規則套用至包含封鎖安全性設定規則之服務的虛擬網路或子網路?

某些服務需要特定的網路需求才能正常運作。 這些服務包括 Azure SQL 受控執行個體、Azure Databricks 和 Azure 應用程式閘道。 根據預設,在包含這些服務之虛擬網路和子網路上,系統會跳過安全性系統管理員規則的應用程式。 因為 [允許] 規則不會造成衝突的風險,因此您可以選擇在 securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET 類別上設定安全性設定的 AllowRulesOnly 欄位來套用 [僅限允許] 規則。

限制

Azure Virtual Network Manager 有什麼服務限制?

如需最新的資訊,請參閱 Azure Virtual Network Manager 的限制

下一步