Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel vindt u antwoorden op veelgestelde vragen over Azure Virtual Network Manager.
Algemeen
Welke Azure regio's ondersteunen Azure Virtual Network Manager?
Raadpleeg producten die beschikbaar zijn per regio voor actuele informatie over regio-ondersteuning.
Opmerking
Veel Azure regio's ondersteunen beschikbaarheidszones. Als u wilt zien welke regio's beschikbaarheidszones ondersteunen, raadpleegt u de lijst met Azure regio's.
Wat zijn veelvoorkomende use cases voor Azure Virtual Network Manager?
U kunt netwerkgroepen maken om te voldoen aan de beveiligingsvereisten van uw omgeving en de bijbehorende functies. U kunt bijvoorbeeld netwerkgroepen maken voor uw productie- en testomgevingen om hun connectiviteits- en beveiligingsregels op schaal te beheren.
Voor beveiligingsbeheerdersregels kunt u een configuratie van een beveiligingsbeheerder maken met twee regelverzamelingen. Elke regelverzameling is respectievelijk gericht op uw productie- en testnetwerkgroepen. Na de implementatie dwingt deze configuratie één set beveiligingsbeheerdersregels af voor netwerkbronnen voor uw productieomgeving en een andere set voor uw testomgeving.
U kunt connectiviteitsconfiguraties toepassen om een mesh- of een hub-and-spoke-netwerktopologie te maken voor een groot aantal virtuele netwerken in de abonnementen van uw organisatie.
U kunt verkeer met een hoog risico weigeren. Als beheerder van een onderneming kunt u specifieke protocollen of bronnen blokkeren die regels voor netwerkbeveiligingsgroepen overschrijven die normaal gesproken het verkeer toestaan.
U kunt verkeer geforceerd toestaan. U kunt bijvoorbeeld toestaan dat een specifieke beveiligingsscanner altijd binnenkomende connectiviteit met al uw resources heeft, zelfs als regels voor netwerkbeveiligingsgroepen zijn geconfigureerd om het verkeer te weigeren.
Wat zijn de kosten voor het gebruik van Azure Virtual Network Manager?
Azure Virtual Network Manager kosten zijn gebaseerd op het aantal virtuele netwerken waarop een actieve Virtual Network Manager-configuratie is geïmplementeerd. Als een Virtual Network Manager bereik bijvoorbeeld 100 virtuele netwerken bevat, maar er alleen configuraties zijn geïmplementeerd op vijf van deze virtuele netwerken, worden er kosten in rekening gebracht voor deze vijf virtuele netwerken (niet alle 100). Houd er ook rekening mee dat kosten voor peering van toepassing zijn op het verkeersvolume van virtuele netwerken die worden beheerd door een geïmplementeerde connectiviteitsconfiguratie (mesh of hub-and-spoke).
Als voor een virtueel netwerk meerdere configuraties zijn geïmplementeerd door hetzelfde Virtual Network Manager exemplaar, worden voor dat virtuele netwerk slechts één kostentarief in rekening gebracht. Er worden geen kosten gedupliceerd. Als een Virtual Network Manager bijvoorbeeld zowel een connectiviteitsconfiguratie als een configuratie van een beveiligingsbeheerder implementeert op dezelfde set van vijf virtuele netwerken, worden er kosten in rekening gebracht voor deze vijf virtuele netwerken, maar niet tweemaal in rekening gebracht. Deze kosten maken geen rekening met meerdere configuraties, tenzij de configuraties afkomstig zijn van verschillende Virtual Network Manager exemplaren.
Vóór februari 2025 werden Azure Virtual Network Manager kosten standaard gebaseerd op het aantal abonnementen dat een virtueel netwerk bevatte met een actieve Virtual Network Manager-configuratie die erop is geïmplementeerd. Als u uw Virtual Network Manager-exemplaar vóór februari 2025 hebt gemaakt, kunt u ervoor kiezen om uw prijzen over te schakelen naar de op virtueel netwerk gebaseerde prijzen.
Azure Virtual Network Manager's network verifier rekent kosten per uitgevoerde bereikanalyse in een Azure Virtual Network Manager verifierwerkruimte. Deze kosten zijn gescheiden van Azure Virtual Network Manager kosten.
Azure Virtual Network Manager's IP-adresbeheer functie brengt kosten in rekening per actief IP-adres dat wordt beheerd door de IP-adresbeheer tool van Azure Virtual Network Manager, tegen een uurtarief. Een actief IP-adres wordt gedefinieerd als een IP-adres dat is gekoppeld aan een netwerkinterface in een virtueel netwerk dat is gekoppeld aan een IP-adresgroep. Deze kosten zijn gescheiden van Azure Virtual Network Manager kosten.
U vindt de huidige prijzen voor uw regio op de pagina Azure Virtual Network Manager prijzen.
Hoe kan ik Azure Virtual Network Manager implementeren?
U kunt een Azure Virtual Network Manager exemplaar en configuraties implementeren en beheren via verschillende hulpprogramma's, waaronder:
Technisch
Wat is het verschil tussen statisch en dynamisch netwerkgroepslidmaatschap?
Een statische netwerkgroep wordt handmatig ingevuld door expliciet virtuele netwerken toe te voegen. Een dynamische netwerkgroep maakt gebruik van Azure Policy regels om het lidmaatschap automatisch te bepalen op basis van voorwaarden zoals abonnement, tags of resourcegroep. Hierdoor kunnen zowel bestaande als nieuw gemaakte virtuele netwerken die overeenkomen met de regel automatisch lid worden van de netwerkgroep.
Kan een virtueel netwerk deel uitmaken van meerdere Azure Virtual Network Manager exemplaren?
Ja, een virtueel netwerk kan deel uitmaken van meer dan één Azure Virtual Network Manager exemplaar.
Hoe werkt Azure Virtual Network Manager bereik: beheergroep versus abonnement versus resourcegroep?
Azure Virtual Network Manager ondersteunt scopes op het niveau van beheergroepen en abonnementen. Als u een netwerkbeheerder beperkt tot een beheergroep, worden onderliggende abonnementen en hun resources opgenomen in dat bereik. Als u een smaller doel nodig hebt, zoals een specifieke resourcegroep, gebruikt u regels voor lidmaatschap van netwerkgroepen om alleen de virtuele netwerken op te nemen die overeenkomen met de voorwaarde van de resourcegroep.
Wanneer moet ik hub-and-spoke versus mesh gebruiken en kunnen ze naast elkaar bestaan?
Ja. Hub-and-spoke en mesh kunnen naast elkaar bestaan. Het hub-and-spoke-model is nuttig wanneer spaken gebruik moeten maken van gedeelde voorzieningen in de hub, zoals gateways, firewalls of andere centrale infrastructuur. Mesh is nuttig wanneer geselecteerde virtuele spoke-netwerken directe verbindingen met elkaar nodig hebben vanwege prestatie- of latentievereisten. Een veelvoorkomend patroon is om hub-and-spoke voor gedeelde services te handhaven, terwijl een subset van de spokes in een mesh wordt ondergebracht, zodat die spokes rechtstreeks met elkaar kunnen communiceren.
Vervangt Azure Virtual Network Manager door de gebruiker gedefinieerde routes voor transitieve routering via een firewallhub?
Nee. Azure Virtual Network Manager vervangt door de gebruiker gedefinieerde routes niet automatisch wanneer u spoke-to-spoke- of uitgaand verkeer wilt laten stromen via een firewall of virtueel netwerkapparaat in de hub. U hebt nog steeds routeringsregels nodig om verkeer naar die volgende hop te sturen. Azure Virtual Network Manager kunt deze routeringsinstellingen op schaal beheren door een consistente routeringsconfiguratie toe te passen op bestaande en nieuw gemaakte virtuele netwerken of subnetten.
Kunnen virtuele spoke-netwerken worden verbonden met een Virtual WAN hub in een mesh-connectiviteitsconfiguratie, zodat deze spoke-virtuele netwerken rechtstreeks kunnen communiceren?
Ja, spoke-virtuele netwerken kunnen verbinding maken met Virtual WAN-hubs terwijl ze in de connectiviteitsconfiguratie van mesh zijn. Deze virtuele netwerken in de meshed-groep hebben directe connectiviteit met elkaar.
Worden bewerkingen op de IP-voorvoegsels in virtuele netwerken die deel uitmaken van de Azure Virtual Network Manager-mesh automatisch doorgegeven?
Virtuele netwerken in de mesh worden automatisch gesynchroniseerd. IP-voorvoegsels worden automatisch bijgewerkt. Dit betekent dat verkeer binnen de mesh werkt, zelfs nadat er wijzigingen zijn aangebracht in IP-voorvoegsels in virtuele netwerken in de mesh.
Kan Azure Virtual Network Manager hub-and-spoke-peering in meerdere regio's of globale peering beheren?
Ja. Azure Virtual Network Manager kunt connectiviteitsscenario's voor meerdere regio's beheren, waaronder globale connectiviteitspatronen. De latentie- en kostenkenmerken blijven hetzelfde als de onderliggende Azure netwerkconstructie, zoals wereldwijde peering van virtuele netwerken. Azure Virtual Network Manager centraliseert beheer en automatisering.
Hoe controleer ik of een mesh-connectiviteitsconfiguratie wordt toegepast zoals bedoeld?
Raadpleeg de documentatie over het weergeven van toegepaste configuraties. Een mesh-connectiviteitsconfiguratie verbindt geen virtuele netwerken met peering van virtuele netwerken, zodat u de mesh-connectiviteit niet kunt zien in peering-blades.
Wat gebeurt er als de regio waar de Azure Virtual Network Manager is gemaakt, offline is? Heeft dit invloed op geïmplementeerde configuraties of voorkomt u alleen configuratiewijzigingen?
Alleen de mogelijkheid om configuraties te wijzigen, wordt beïnvloed. Zodra Azure Virtual Network Manager de configuratie heeft geprogrammeerd nadat u de configuratie hebt doorgevoerd, blijft deze actief. Als het Azure Virtual Network Manager exemplaar bijvoorbeeld wordt gemaakt in regio 1 en de mesh-topologie wordt ingesteld in regio 2, blijft de mesh in regio 2 functioneren, zelfs als regio 1 niet meer beschikbaar is.
Hoe worden configuratiewijzigingen doorgegeven aan virtuele netwerken?
Configuraties worden pas van kracht nadat u ze in de doelregio's hebt geïmplementeerd. Nadat u een configuratie hebt gemaakt of bijgewerkt en deze hebt geïmplementeerd, past Azure Virtual Network Manager de configuratie toe op de virtuele netwerken die binnen het bereik vallen in die regio's.
Hoe kan ik een connectiviteits- of beveiligingsconfiguratie terugdraaien als dit een probleem veroorzaakt?
U kunt terugdraaien via het implementatiemodel. Als een configuratie een probleem in een regio veroorzaakt, verwijdert of wijzigt u de implementatie voor die regio, zodat de configuratie daar niet meer van toepassing is.
Wat is een wereldwijde mesh-netwerktopologie?
Met een global mesh kunnen virtuele netwerken tussen regio's met elkaar communiceren. De effecten zijn vergelijkbaar met de werking van wereldwijde peering van virtuele netwerken.
Kan ik Terraform gebruiken met Azure Virtual Network Manager?
Ja. Azure Virtual Network Manager wordt ondersteund via de AzureRM Terraform-provider. ARM-sjablonen en Bicep worden ook ondersteund, zodat u Azure Virtual Network Manager-resources en -configuraties kunt beheren via Infrastructure as Code-werkstromen.
Hoe kan Azure Virtual Network Manager integreren met bewaking en diagnose?
U kunt Azure bewakingshulpprogramma's gebruiken om Azure Virtual Network Manager gedrag te observeren en op te lossen. Network Watcher kan helpen bij het analyseren van verkeer en het oplossen van problemen met het blokkeren van verkeer door een regel. Stroomlogboeken kunnen helpen bij het inspecteren van verkeerspatronen en Azure Monitor Logboeken plus diagnostische instellingen kunnen configuratie- en operationele gebeurtenissen vastleggen.
Hoe kan ik nagaan wie resources of configuraties van Azure Virtual Network Manager heeft gewijzigd?
Gebruik Azure activiteitenlogboek. Er worden besturingsvlakbewerkingen vastgelegd, waaronder wie de actie heeft uitgevoerd, welke bewerking is uitgevoerd en wanneer deze heeft plaatsgevonden.
Routeert Azure Virtual Network Manager spoke-verkeer automatisch via Azure Firewall in de hub?
Nee. Azure Virtual Network Manager verzendt geen spoke-verkeer automatisch via Azure Firewall alleen omdat er een firewall in de hub bestaat. Als u verkeer via de firewall wilt routeren, configureert u routering zodat de gewenste voorvoegsels de firewall gebruiken als de volgende hop en gebruikt u Azure Virtual Network Manager om dat routeringspatroon op schaal toe te passen.
Hoe werkt Azure Virtual Network Manager met ExpressRoute- of VPN-gateways in de hub?
In een hub-and-spoke-topologie kunt u spaken zo configureren dat ze de externe gateway van de hub gebruiken. Wanneer deze optie is ingeschakeld, kunnen virtuele spoke-netwerken gebruikmaken van de ExpressRoute- of VPN-gateway in de hub.
Is er een limiet voor het aantal netwerkgroepen dat ik kan maken?
Er is geen limiet voor het aantal netwerkgroepen dat u kunt maken.
Hoe communiceren beveiligingsbeheerdersregels met netwerkbeveiligingsgroepen?
Beveiligingsbeheerdersregels worden geëvalueerd vóór regels voor netwerkbeveiligingsgroepen. Als een beveiligingsbeheerdersregel verkeer weigert, wordt het verkeer geblokkeerd voordat de netwerkbeveiligingsgroep wordt geëvalueerd. Dit betekent dat beveiligingsbeheerdersregels verkeer kunnen blokkeren dat een netwerkbeveiligingsgroep anders zou toestaan.
Hoe kan ik uitzonderingen afhandelen voor de regels voor beveiligingsbeheerders voor de hele organisatie?
Gebruik een afzonderlijke netwerkgroep voor het uitzonderingsbereik en pas een beveiligingsbeheerderregel met een hogere prioriteit toe op die groep. U kunt bijvoorbeeld binnenkomende SSH van internet weigeren voor een brede netwerkgroep, vervolgens een kleinere uitzonderingsnetwerkgroep maken voor een specifiek workloadteam en een regel voor toestaan met een hogere prioriteit toepassen voor SSH op die groep.
Hoe verwijder ik de implementatie van alle toegepaste configuraties?
U moet een None-configuratie implementeren in alle regio's waarop u een configuratie hebt toegepast.
Kan ik virtuele netwerken toevoegen vanuit een ander abonnement dat ik niet beheer?
Ja, als u over de juiste machtigingen beschikt om toegang te krijgen tot deze virtuele netwerken.
Hoe verschilt de implementatie van de configuratie tussen netwerkgroepen met handmatig toegevoegde leden en voorwaardelijk toegevoegde leden?
Zie Configuratie-implementaties in Azure Virtual Network Manager.
Hoe verwijder ik een Azure Virtual Network Manager-onderdeel?
Zie Verwijderen en Azure Virtual Network Manager onderdelencontrolelijst bijwerken.
Slaat Azure Virtual Network Manager klantgegevens op?
Nee. Azure Virtual Network Manager slaat geen klantgegevens op.
Kan een Azure Virtual Network Manager exemplaar worden verplaatst?
Nee. Azure Virtual Network Manager biedt momenteel geen ondersteuning voor de mogelijkheid om het exemplaar te verplaatsen naar een andere regio, resourcegroep of abonnement. Als u een exemplaar wilt verplaatsen, kunt u overwegen het te verwijderen en de sjabloon Azure Resource Manager te gebruiken om er een te maken op de gewenste locatie.
Kan ik een abonnement met een Azure Virtual Network Manager verplaatsen naar een andere tenant?
Nee, het abonnement verplaatsen waarin het Azure Virtual Network Manager exemplaar bestaat naar een andere tenant, wordt niet ondersteund. Zie Limitations with Azure Virtual Network Manager voor meer informatie.
Hoe kan ik zien welke configuraties worden toegepast om me te helpen bij het oplossen van problemen?
U kunt Azure Virtual Network Manager instellingen bekijken onder Network Manager voor een virtueel netwerk. In de instellingen worden configuraties weergegeven die worden toegepast. Zie View-configuraties die zijn toegepast door Azure Virtual Network Manager voor meer informatie.
Wat gebeurt er wanneer alle zones uitvallen in een regio met een Azure Virtual Network Manager instantie?
Als er een regionale storing optreedt, blijven alle configuraties die worden toegepast op huidige beheerde virtuele netwerkbronnen intact tijdens de storing. U kunt geen nieuwe configuraties maken of bestaande configuraties wijzigen tijdens de storing. Nadat de storing is opgelost, kunt u uw virtuele netwerkbronnen blijven beheren zoals voorheen.
Kan een virtueel netwerk dat wordt beheerd door Azure Virtual Network Manager worden gekoppeld aan een onbeheerd virtueel netwerk?
Ja. Azure Virtual Network Manager is volledig compatibel met bestaande hub-and-spoke-topologieën die zijn gemaakt met handmatige peering. U hoeft geen bestaande peer-verbindingen tussen de hub- en spoke-virtuele netwerken te verwijderen. De migratie vindt plaats zonder downtime voor uw netwerk.
Kan ik een bestaande hub-and-spoke-topologie migreren naar Azure Virtual Network Manager?
Ja. Het migreren van bestaande virtuele netwerken naar de hub-and-spoke-topologie in Azure Virtual Network Manager is eenvoudig. U kunt een connectiviteitsconfiguratie voor hub-and-spoke-topologie maken. Wanneer u deze configuratie implementeert, maakt Azure Virtual Network Manager automatisch de benodigde peerings. Bestaande peerings blijven intact, dus er is geen downtime.
Hoe verschillen verbonden groepen van peering van virtuele netwerken bij het tot stand brengen van connectiviteit tussen virtuele netwerken?
In Azure zijn peering van virtuele netwerken en verbonden groepen twee methoden om connectiviteit tussen virtuele netwerken tot stand te brengen. Peering van virtuele netwerken werkt door een een-op-een-toewijzing tussen virtuele netwerken te maken, terwijl verbonden groepen een nieuwe constructie gebruiken die connectiviteit tot stand brengt zonder een dergelijke toewijzing.
In een verbonden groep zijn alle virtuele netwerken verbonden zonder afzonderlijke peeringrelaties. Als bijvoorbeeld drie virtuele netwerken deel uitmaken van dezelfde verbonden groep, wordt de connectiviteit tussen elk virtueel netwerk ingeschakeld zonder dat er afzonderlijke peeringrelaties nodig zijn.
Het effect van elke methode is hetzelfde, waarbij bidirectionele connectiviteit tussen virtuele netwerken tot stand wordt gebracht. Verbonden groepen vereenvoudigen echter het beheer van connectiviteit door u in staat te stellen meerdere virtuele netwerken als één entiteit te beheren en u in staat te stellen een hogere schaal van connectiviteit te bereiken dan peeringlimieten.
Bij het beheren van virtuele netwerken met behulp van peering van virtuele netwerken, leidt dit ertoe dat er met Azure Virtual Network Manager twee keer kosten voor peering van virtuele netwerken in rekening worden gebracht?
Er worden geen tweede of dubbele kosten in rekening gebracht voor peering. Uw virtuele netwerkbeheerder respecteert alle eerder gemaakte peerings voor virtuele netwerken en migreert deze verbindingen. Voor alle peering-resources, ongeacht of deze zijn gemaakt binnen een virtuele netwerkbeheerder of buiten, worden kosten in rekening gebracht voor één peering.
Kan ik uitzonderingen maken op beveiligingsbeheerdersregels?
Normaal gesproken worden beveiligingsbeheerdersregels gedefinieerd om verkeer tussen virtuele netwerken te blokkeren. Er zijn echter momenten waarop bepaalde virtuele netwerken en hun resources verkeer moeten toestaan voor beheer of andere processen. Voor deze scenario's kunt u waar nodig uitzonderingen maken . Meer informatie over het blokkeren van poorten met een hoog risico met uitzonderingen voor deze scenario's.
Hoe kan ik meerdere configuraties voor beveiligingsbeheerders implementeren in een regio?
U kunt slechts één configuratie van een beveiligingsbeheerder implementeren in een regio. Er kunnen echter meerdere connectiviteitsconfiguraties bestaan in een regio. Als u meerdere beveiligingsbeheerdersregelsets wilt implementeren in een regio, maakt u meerdere regelverzamelingen in een configuratie van een beveiligingsbeheerder.
Gelden er beveiligingsbeheerdersregels voor Azure privé-eindpunten?
Op dit moment zijn beveiligingsbeheerdersregels niet van toepassing op Azure privé-eindpunten die vallen onder het bereik van een virtueel netwerk dat wordt beheerd door Azure Virtual Network Manager.
Kan een Azure Virtual WAN hub deel uitmaken van een netwerkgroep?
Nee, op dit moment kan een Azure Virtual WAN hub zich niet in een netwerkgroep bevinden.
Kan ik een Azure Virtual WAN-exemplaar gebruiken als de hub in een Azure Virtual Network Manager hub-and-spoke-connectiviteitsconfiguratie?
Nee, een Azure Virtual WAN hub wordt momenteel niet ondersteund als de hub in een hub-and-spoke-topologie.
Mijn virtuele netwerk ontvangt niet de configuraties die ik verwacht. Hoe kan ik problemen oplossen?
Gebruik de volgende vragen voor mogelijke oplossingen.
Hebt u uw configuratie geïmplementeerd in de regio van het virtuele netwerk?
Configuraties in Azure Virtual Network Manager pas van kracht worden nadat ze zijn geïmplementeerd. Maak een implementatie naar de regio van het virtuele netwerk met de juiste configuraties.
Valt uw virtuele netwerk binnen de reikwijdte?
Een netwerkbeheerder is slechts voldoende toegang gedelegeerd om configuraties toe te passen op virtuele netwerken binnen uw bereik. Als een resource zich in uw netwerkgroep bevindt, maar buiten het bereik valt, ontvangt deze geen configuraties.
Past u beveiligingsregels toe op een virtueel netwerk dat beheerde exemplaren bevat?
Azure SQL Managed Instance heeft een aantal netwerkvereisten. Deze vereisten worden afgedwongen via beleid voor netwerkintentie met hoge prioriteit waarvan het doel strijdig is met regels voor beveiligingsbeheerders. De toepassing voor beheerdersregels wordt standaard overgeslagen in virtuele netwerken die een van deze intentiebeleidsregels bevatten. Omdat sta-toe-regels geen risico op conflicten vormen, kunt u ervoor kiezen om alleen-sta-toe-regels toe te passen door AllowRulesOnly in te stellen op securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Past u beveiligingsregels toe op een virtueel netwerk of subnet dat services bevat die beveiligingsconfiguratieregels blokkeren?
Voor bepaalde services zijn specifieke netwerkvereisten vereist om goed te functioneren. Beveiligingsbeheerdersregels worden standaard niet toegepast op virtuele netwerken met Azure SQL Managed Instance of Azure Databricks. Bovendien worden beveiligingsbeheerdersregels niet toegepast op subnetniveau voor services zoals Azure Application Gateway, Azure Bastion, Azure Firewall, Azure Route Server, Azure VPN-gateway, Azure Virtual WAN en Azure ExpressRoute Gateway. Zie Niet-toepassing van beveiligingsbeheerdersregels voor de volledige lijst. Voor niet-toepassing op virtueel netwerkniveau, omdat Allow regels geen conflict opleveren, kunt u ervoor kiezen om Allow Only regels toe te passen door het AllowRulesOnlyveld van de beveiligingsconfiguraties in te stellen op de klasse securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET.
Grenzen
Wat zijn de servicebeperkingen van Azure Virtual Network Manager?
Zie Limitations with Azure Virtual Network Manager voor de meest recente informatie.
Volgende stappen
- Maak een Azure Virtual Network Manager-exemplaar met behulp van de Azure-portal.