Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo responde a perguntas frequentes sobre o Azure Virtual Network Manager.
Geral
Quais regiões do Azure suportam o Azure Virtual Network Manager?
Para obter informações atuais sobre o suporte à região, consulte Produtos disponíveis por região.
Nota
Muitas regiões Azure suportam
Quais são os casos de uso comuns do Azure Virtual Network Manager?
Você pode criar grupos de rede para atender aos requisitos de segurança do seu ambiente e suas funções. Por exemplo, você pode criar grupos de rede para seus ambientes de produção e teste para gerenciar suas regras de conectividade e segurança em escala.
Para regras de administração de segurança, você pode criar uma configuração de administrador de segurança com duas coleções de regras. Cada coleção de regras é direcionada aos seus grupos de rede de produção e teste, respectivamente. Após a implantação, essa configuração impõe um conjunto de regras de administração de segurança para recursos de rede para seu ambiente de produção e outro conjunto para seu ambiente de teste.
Você pode aplicar configurações de conectividade para criar uma topologia em malha ou de estilo hub-and-spoke para um grande número de redes virtuais nas subscrições da sua organização.
Você pode negar tráfego de alto risco. Como administrador de uma empresa, você pode bloquear protocolos ou fontes específicos que substituam quaisquer regras de grupo de segurança de rede que normalmente permitiriam o tráfego.
Você pode forçar a permissão do tráfego. Por exemplo, você pode permitir que um verificador de segurança específico sempre tenha conectividade de entrada com todos os seus recursos, mesmo que as regras do grupo de segurança de rede estejam configuradas para negar o tráfego.
Qual é o custo de usar o Azure Virtual Network Manager?
As taxas do Azure Virtual Network Manager baseiam-se no número de redes virtuais com uma configuração ativa do Virtual Network Manager implementada. Por exemplo, se um âmbito do Virtual Network Manager contiver 100 redes virtuais, mas as configurações só foram implementadas em cinco dessas redes virtuais, será cobrado por essas cinco redes virtuais (não por todas as 100). Tenha também em atenção que uma cobrança por emparelhamento se aplica ao volume de tráfego das redes virtuais geridas por uma configuração de conectividade implantada (malha ou hub-and-spoke).
Se uma rede virtual tiver múltiplas configurações implementadas pela mesma instância do Virtual Network Manager, essa rede virtual apenas incorre numa única taxa de cobrança; não duplicará as cobranças. Por exemplo, se um Virtual Network Manager implementar tanto uma configuração de conectividade como uma configuração de administrador de segurança no mesmo conjunto de cinco redes virtuais, será cobrado por essas cinco redes virtuais, mas não cobrado duas vezes. Este custo não inclui múltiplas configurações, a menos que as configurações tenham origem em diferentes instâncias do Virtual Network Manager.
Antes de fevereiro de 2025, as cobranças do Azure Virtual Network Manager eram baseadas por defeito no número de subscrições que continham uma rede virtual com uma configuração ativa do Virtual Network Manager implementada. Se criou a sua instância Virtual Network Manager antes de fevereiro de 2025, pode optar por mudar o preço para o preço baseado em rede virtual.
Azure Virtual Network Manager cobra pela execução da ferramenta verificador de rede por cada análise de alcançabilidade realizada no espaço de trabalho de verificador do Azure Virtual Network Manager. Esta cobrança é separada das taxas do Azure Virtual Network Manager.
Azure Virtual Network Manager cobra pela gestão de endereços IP à taxa horária por cada endereço IP ativo gerido pela ferramenta de gestão de endereços IP do Azure Virtual Network Manager. Um endereço IP ativo é definido como qualquer endereço IP associado a uma interface de rede numa rede virtual associada a um pool IP. Esta cobrança é separada das taxas do Azure Virtual Network Manager.
Pode encontrar preços atualizados para a sua região na página de preços do Azure Virtual Network Manager.
Como é que implemento o Azure Virtual Network Manager?
Pode implementar e gerir uma instância e configurações do Azure Virtual Network Manager através de várias ferramentas, incluindo:
Técnico
Qual é a diferença entre a pertença a grupos de rede estáticos e dinâmicos?
Um grupo de rede estática é povoado manualmente adicionando explicitamente redes virtuais. Um grupo de rede dinâmica utiliza regras baseadas no Azure Policy para determinar automaticamente a pertença com base em condições como subscrição, etiquetas ou grupo de recursos. Isto permite que tanto redes virtuais existentes como recém-criadas que correspondam à regra se juntem automaticamente ao grupo de rede.
Pode uma rede virtual pertencer a múltiplas instâncias do Azure Virtual Network Manager?
Sim, uma rede virtual pode pertencer a mais do que uma instância do Azure Virtual Network Manager.
Como funciona o âmbito do Azure Virtual Network Manager: grupo de gestão vs. subscrição vs. grupo de recursos?
O Azure Virtual Network Manager suporta escopos a nível de grupo de gestão e subscrição. Se definir um gestor de rede para um grupo de gestão, as subscrições infantis e os seus recursos estão incluídos nesse âmbito. Se precisar de um alvo mais restrito, como um grupo de recursos específico, use regras de pertença a grupos de rede para incluir apenas as redes virtuais que correspondem à condição do grupo de recursos.
Quando devo usar hub-and-spoke ou mesh, e podem ambos coexistir?
Sim. Hub-and-spoke e mesh podem coexistir. A arquitetura hub-and-spoke é útil quando os spokes precisam de serviços partilhados no hub, como gateways, firewalls ou outras infraestruturas centrais. A topologia em malha é útil quando determinadas redes virtuais spoke precisam de conectividade direta entre si por razões de desempenho ou latência. Um padrão comum consiste em manter uma arquitetura hub-and-spoke para serviços partilhados, colocando um subconjunto de ramos numa topologia em malha para que esses ramos possam comunicar diretamente.
O Azure Virtual Network Manager substitui rotas definidas pelo utilizador para roteamento transitivo através de um hub de firewall?
N.º O Azure Virtual Network Manager não substitui automaticamente as rotas definidas pelo utilizador quando pretende que o tráfego spoke-to-spoke ou de saída seja encaminhado através de uma firewall ou de uma appliance virtual de rede no hub. Ainda precisas de regras de roteamento para direcionar o tráfego para esse próximo salto. O Azure Virtual Network Manager pode ajudar a gerir essas definições de encaminhamento em larga escala, aplicando uma configuração consistente entre redes ou subredes virtuais existentes e recém-criadas.
Podem as redes virtuais spoke ser ligadas a um hub da WAN Virtual numa configuração de conectividade mesh, permitindo que comuniquem diretamente entre si?
Sim, as redes virtuais spoke podem ligar-se aos hubs da WAN Virtual enquanto estão na configuração de conectividade em malha. Essas redes virtuais no grupo interligado têm conectividade direta entre si.
As operações para os prefixos IP em redes virtuais que fazem parte da malha do Azure Virtual Network Manager são propagadas automaticamente?
As redes virtuais na malha estão automaticamente sincronizadas. Os prefixos IP serão atualizados automaticamente. Isso significa que o tráfego dentro da malha funcionará mesmo depois que houver alterações nos prefixos IP em redes virtuais na malha.
O Azure Virtual Network Manager consegue gerir ligações hub-and-spoke ou peering global entre regiões?
Sim. O Azure Virtual Network Manager pode gerir cenários de conectividade entre regiões, incluindo padrões globais de conectividade. As características de latência e de custo permanecem as mesmas que as do recurso de rede subjacente do Azure, como o peering global de rede virtual. O Azure Virtual Network Manager centraliza a gestão e automação.
Como verifico se uma configuração de conectividade de malha é aplicada conforme pretendido?
Consulte a documentação Como visualizar as configurações aplicadas. Uma configuração de conectividade de malha não conecta redes virtuais com o emparelhamento de rede virtual, portanto, não é possível ver a conectividade de malha nos painéis de emparelhamento.
O que acontece se a região onde o Azure Virtual Network Manager é criado estiver indisponível? Isso afeta as configurações implantadas ou apenas impede alterações de configuração?
Apenas a capacidade de alterar configurações será afetada. Depois de o Azure Virtual Network Manager programar e aplicar a configuração, continuará a operar. Por exemplo, se a instância do Azure Virtual Network Manager for criada na região 1 e a topologia da malha for estabelecida na região 2, a malha na região 2 continuará a funcionar mesmo que a região 1 se torne indisponível.
Como é que as alterações de configuração se propagam para redes virtuais?
As configurações só entram em vigor quando as implementas nas regiões alvo. Depois de criar ou atualizar uma configuração e implementá-la, o Azure Virtual Network Manager aplica a configuração às redes virtuais dentro do âmbito nessas regiões.
Como posso reverter uma configuração de conectividade ou segurança se isso causar um problema?
Podes voltar atrás pelo modelo de implementação. Se uma configuração causar um problema numa região, remova ou altere a implementação dessa região para que a configuração deixe de se aplicar aí.
O que é uma topologia de rede de malha global?
Uma malha global permite que redes virtuais entre regiões se comuniquem entre si. Os efeitos são semelhantes ao modo de funcionamento do emparelhamento de redes virtuais globais.
Posso usar o Terraform com o Azure Virtual Network Manager?
Sim. O Azure Virtual Network Manager é suportado através do fornecedor AzureRM Terraform. Templates ARM e Bicep também são suportados, pelo que pode gerir recursos e configurações do Azure Virtual Network Manager através da infraestrutura como fluxos de trabalho de código.
Como é que o Azure Virtual Network Manager se integra com monitorização e diagnóstico?
Pode usar ferramentas de monitorização do Azure para observar e diagnosticar o comportamento do Azure Virtual Network Manager. O Observador de Rede pode ajudar a analisar o tráfego e a diagnosticar se o tráfego está bloqueado por uma regra. Os registos de fluxo podem ajudar a inspecionar padrões de tráfego, e o Azure Monitor Logs juntamente com as definições de diagnóstico podem capturar eventos de configuração e operacionais.
Como posso auditar quem alterou os recursos ou configurações do Azure Virtual Network Manager?
Utilize o Registo de Atividades do Azure. Regista as operações do plano de controlo, incluindo quem executou a ação, que operação foi realizada e quando ocorreu.
O Azure Virtual Network Manager encaminha automaticamente o tráfego spoke através do Azure Firewall no hub?
N.º O Azure Virtual Network Manager não envia automaticamente tráfego spoke através do Azure Firewall só porque existe um firewall no hub. Para encaminhar o tráfego através do firewall, configure o encaminhamento para que os prefixos desejados usem o firewall como próximo salto, e use o Azure Virtual Network Manager para aplicar esse padrão de encaminhamento em escala.
Como funciona o Azure Virtual Network Manager com gateways ExpressRoute ou VPN no hub?
Numa topologia hub-and-spoke, é possível configurar os spokes para utilizarem o gateway remoto do hub. Quando essa opção está ativada, as redes virtuais spoke podem usar o ExpressRoute ou gateway VPN no hub.
Existe um limite para quantos grupos de rede posso criar?
Não há limite para quantos grupos de rede você pode criar.
Como é que as regras de administração de segurança interagem com os grupos de segurança de rede?
As regras de administração de segurança são avaliadas antes das regras do grupo de segurança de rede. Se uma regra de administrador de segurança negar tráfego, o tráfego é bloqueado antes de o grupo de segurança de rede ser avaliado. Isto significa que as regras de administrador de segurança podem bloquear o tráfego que um grupo de segurança de rede permitiria de outra forma.
Como devo lidar com exceções às regras de administração de segurança em toda a organização?
Use um grupo de rede separado para o âmbito das exceções e aplique uma regra de administração de segurança de prioridade superior a esse grupo. Por exemplo, podes negar SSH de entrada da internet para um grupo de rede amplo, depois criar um grupo de exceções mais pequeno para uma equipa de carga de trabalho específica e aplicar uma regra de permissão de prioridade mais alta para SSH a esse grupo.
Como faço para remover a implantação de todas as configurações aplicadas?
Você precisa implantar uma configuração Nenhum em todas as regiões onde você tem uma configuração aplicada.
Posso adicionar redes virtuais a partir de outra subscrição que não gerencio?
Sim, se você tiver as permissões apropriadas para acessar essas redes virtuais.
Como a implantação da configuração difere entre grupos de rede com membros adicionados manualmente e membros adicionados condicionalmente?
Ver Implementações de configuração em Azure Virtual Network Manager.
Como posso eliminar um componente do Azure Virtual Network Manager?
Consulte a lista de verificação para remover e atualizar componentes do Azure Virtual Network Manager.
O Azure Virtual Network Manager armazena dados dos clientes?
N.º O Azure Virtual Network Manager não armazena quaisquer dados de clientes.
Pode uma instância do Azure Virtual Network Manager ser movida?
N.º O Azure Virtual Network Manager atualmente não suporta a capacidade de mover a sua instância para outra região, grupo de recursos ou subscrição. Se precisares de mover uma instância, considera apagá-la e usar o modelo do Azure Resource Manager para criar outra no local desejado.
Posso transferir uma subscrição com um Azure Virtual Network Manager para outro tenant?
Não, mover a subscrição onde existe a instância do Azure Virtual Network Manager para outro tenant não é suportado. Para mais informações, consulte Limitações com Azure Virtual Network Manager.
Como posso ver quais configurações são aplicadas para me ajudar a solucionar problemas?
Podes ver as definições Azure Virtual Network Manager em Network Manager para uma rede virtual. As definições mostram as configurações que são aplicadas. Para mais informações, consulte configurações View aplicadas por Azure Virtual Network Manager.
O que acontece quando todas as zonas estão offline numa região com uma instância do Azure Virtual Network Manager?
Se ocorrer uma interrupção regional, todas as configurações aplicadas aos recursos de rede virtual gerenciados atuais permanecerão intactas durante a interrupção. Não é possível criar novas configurações ou modificar configurações existentes durante a interrupção. Depois que a interrupção for resolvida, você poderá continuar a gerenciar seus recursos de rede virtual como antes.
Pode uma rede virtual gerida pelo Azure Virtual Network Manager ser emparelhada com uma rede virtual não gerida?
Sim. O Azure Virtual Network Manager é totalmente compatível com topologias hub-and-spoke pré-existentes criadas com peering manual. Você não precisa excluir nenhuma conexão emparelhada existente entre o hub e as redes virtuais faladas. A migração ocorre sem qualquer interrupção para a sua rede.
Posso migrar uma topologia hub-and-spoke existente para o Azure Virtual Network Manager?
Sim. Migrar redes virtuais existentes para a topologia hub-and-spoke no Azure Virtual Network Manager é simples. Você pode criar uma configuração de conectividade de topologia hub-and-spoke. Quando implementa esta configuração, o Azure Virtual Network Manager cria automaticamente os peerings necessários. Todos os peerings preexistentes permanecem intactos, portanto, não há interrupção.
Como os grupos conectados diferem do emparelhamento de rede virtual no estabelecimento de conectividade entre redes virtuais?
No Azure, o peering de redes virtuais e os grupos conectados são dois métodos para estabelecer conectividade entre redes virtuais. O emparelhamento de rede virtual funciona criando um mapeamento um-para-um entre redes virtuais, enquanto os grupos conectados usam uma nova construção que estabelece conectividade sem esse mapeamento.
Em um grupo conectado, todas as redes virtuais estão conectadas sem relações de peer individuais. Por exemplo, se três redes virtuais fizerem parte do mesmo grupo conectado, a conectividade será habilitada entre cada rede virtual sem a necessidade de relações de emparelhamento individuais.
O efeito de cada método é o mesmo, onde a conectividade bidirecional é estabelecida entre redes virtuais. No entanto, os grupos conectados simplificam o gerenciamento da conectividade, permitindo que você gerencie várias redes virtuais como uma única entidade e permitindo que você obtenha uma escala mais alta de conectividade além dos limites de emparelhamento.
Ao gerir redes virtuais utilizando emparelhamento de rede virtual, isso resulta no pagamento duplicado de taxas de emparelhamento de rede virtual com o Gestor de Rede Virtual do Azure?
Não há segunda ou dupla cobrança para peering. O seu gestor de rede virtual respeita todos os emparelhamentos de rede virtual criados anteriormente e migra essas conexões. Todos os recursos de peering, sejam criados dentro de um gestor de rede virtual ou fora dele, incorrem numa única taxa de peering.
Posso criar exceções às regras de administração de segurança?
Normalmente, as regras de administração de segurança são definidas para bloquear o tráfego em redes virtuais. No entanto, há momentos em que certas redes virtuais e seus recursos precisam permitir tráfego para gerenciamento ou outros processos. Para esses cenários, você pode criar exceções quando necessário. Saiba como bloquear portas de alto risco com exceções para esses cenários.
Como posso implantar várias configurações de administrador de segurança em uma região?
Você pode implantar apenas uma configuração de administrador de segurança em uma região. No entanto, várias configurações de conectividade podem existir em uma região. Para implementar múltiplos conjuntos de regras de administrador de segurança numa região, crie múltiplas coleções de regras numa configuração de administrador de segurança.
As regras de administração de segurança aplicam-se aos endpoints privados do Azure?
Atualmente, as regras de administração de segurança não se aplicam aos endpoints privados do Azure que se enquadram no âmbito de uma rede virtual gerida pelo Azure Virtual Network Manager.
Pode um hub WAN Virtual do Azure fazer parte de um grupo de rede?
Não, um hub WAN Virtual do Azure não pode estar num grupo de rede neste momento.
Posso usar uma instância WAN Virtual do Azure como hub numa configuração de conectividade hub-and-spoke do Azure Virtual Network Manager?
Não, um hub WAN Virtual do Azure não é suportado como hub numa topologia hub-and-spoke neste momento.
Minha rede virtual não está recebendo as configurações que eu esperava. Como faço para solucionar problemas?
Use as perguntas a seguir para possíveis soluções.
Você implantou sua configuração na região da rede virtual?
As configurações no Azure Virtual Network Manager só entram em vigor até serem implementadas. Faça uma implantação na região da rede virtual com as configurações apropriadas.
Está a sua rede virtual dentro do âmbito?
A um gestor de rede é delegado apenas acesso suficiente para aplicar configurações a redes virtuais dentro do seu âmbito. Se um recurso estiver no seu grupo de rede, mas fora do escopo, ele não receberá nenhuma configuração.
Você está aplicando regras de segurança a uma rede virtual que contém instâncias gerenciadas?
O Azure SQL Managed Instance tem alguns requisitos de rede. Esses requisitos são aplicados por meio de políticas de intenção de rede de alta prioridade cuja finalidade entra em conflito com as regras de administração de segurança. Por padrão, a aplicação das regras de administração é ignorada em redes virtuais que contêm quaisquer dessas políticas de intenção. Como as regras Permitir não representam risco de conflito, pode optar por aplicar apenas as regras Permitir Somente definindo AllowRulesOnly em securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Você está aplicando regras de segurança a uma rede virtual ou sub-rede que contém serviços que bloqueiam regras de configuração de segurança?
Alguns serviços requerem requisitos de rede específicos para funcionarem corretamente. Por defeito, as regras de administração de segurança não são aplicadas a redes virtuais que contenham Azure SQL Managed Instance ou Azure Databricks. Além disso, as regras de administração de segurança não são aplicadas ao nível da subnet para serviços como Gateway de Aplicação do Azure, Azure Bastion, Azure Firewall, Azure Route Server, Gateway de VPN do Azure, WAN Virtual do Azure e Azure ExpressRoute Gateway. Para a lista completa, veja Não aplicação das regras de administração de segurança. Para o nível de rede virtual não aplicacional, como as regras Allow não apresentam risco de conflito, pode optar por aplicar regras Allow Only ao definir o campo AllowRulesOnly das configurações de segurança na classe securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET.
Limites
Quais são as limitações de serviço do Azure Virtual Network Manager?
Para informações mais recentes, consulte Limitações com Azure Virtual Network Manager.
Próximos passos
- Crie uma instância Azure Virtual Network Manager usando o portal Azure.