你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文解答了有关Azure Virtual Network Manager的常见问题。
常规
哪些Azure区域支持Azure Virtual Network Manager?
有关区域支持的当前信息,请参阅《可用产品(按区域)》。
注意
许多Azure区域支持 可用性区域。 若要查看哪些区域支持可用性区域,请参阅 Azure 区域列表。
Azure Virtual Network Manager的常见用例是什么?
你可以创建多个网络组以满足环境及其功能的安全要求。 例如,你可以为生产和测试环境创建网络组,以大规模管理其连接和安全规则。
对于安全管理员规则,可以使用两个规则集合创建安全管理员配置。 每个规则集合分别针对生产组和测试网络组。 部署后,此配置为生产环境的网络资源强制实施一组安全管理规则,并为测试环境强制执行另一组安全管理规则。
可以应用连接配置,以便为组织订阅中的大量虚拟网络创建网格或中心辐射型网络拓扑。
可以拒绝高风险流量。 作为企业管理员,可以阻止替代任何通常允许流量的网络安全组规则的特定协议或源。
可以强制允许流量。 例如,可以允许特定安全扫描程序始终与所有资源建立入站连接,即使网络安全组规则配置为拒绝流量也是如此。
使用Azure Virtual Network Manager的成本是多少?
Azure Virtual Network Manager 费用基于其虚拟网络中已部署的活动 虚拟网络管理器 配置数。 例如,如果虚拟网络管理器范围包含 100 个虚拟网络,但配置仅部署到这些虚拟网络中的 5 个,则需为这五个虚拟网络(并非所有 100 个)付费。 此外,请注意,对等互连的费用适用于由已部署的连接配置(网格或中心辐射)管理的虚拟网络的流量。
如果虚拟网络由同一虚拟网络管理器实例部署了多个配置,该虚拟网络只会产生单个费用率;它不会重复费用。 例如,如果虚拟网络管理器同时将连接配置和安全管理员配置部署到同一组五个虚拟网络上,则需要为这五个虚拟网络付费,但不会收取两次费用。 除非这些配置源自不同的虚拟网络管理器实例,否则此成本不会考虑多个配置。
在 2025 年 2 月之前,默认情况下,Azure 虚拟网络管理器的费用是基于包含有已部署活动配置的虚拟网络的订阅数。 如果在 2025 年 2 月之前创建了 虚拟网络管理器 的实例,可以选择将定价切换到基于虚拟网络的定价。
Azure Virtual Network Manager 的网络验证工具按在 Azure Virtual Network Manager 验证工作区中执行的每次可达性分析运行计费。 此费用与Azure Virtual Network Manager费用分开。
Azure Virtual Network Manager 的 IP 地址管理功能按小时对其管理的活动 IP 地址收取费用。 活动 IP 地址定义为与虚拟网络中的网络接口关联的任何 IP 地址,该虚拟网络与 IP 池相关联。 此费用与Azure Virtual Network Manager费用分开。
可以在 Azure Virtual Network Manager 定价页上找到区域的当前定价。
如何部署Azure Virtual Network Manager?
可以通过各种工具部署和管理Azure Virtual Network Manager实例和配置,包括:
技术方面
静态和动态网络组成员身份有何区别?
通过显式添加虚拟网络来手动填充静态网络组。 动态网络组使用基于Azure Policy的规则根据订阅、标记或资源组等条件自动确定成员身份。 这样,符合该规则的现有虚拟网络和新建虚拟网络都可以自动加入该网络组。
虚拟网络是否可以属于多个Azure Virtual Network Manager实例?
是的,虚拟网络可以属于多个Azure Virtual Network Manager实例。
Azure Virtual Network Manager 的作用域如何运作:管理组、订阅和资源组之间有何区别?
Azure Virtual Network Manager 支持管理组级别和订阅级别的作用域。 如果将网络管理器的范围限定到某个管理组,则子订阅及其资源也会纳入该范围。 如果需要范围更小的目标(例如特定的资源组),请使用网络组成员规则,仅包含符合该资源组条件的虚拟网络。
何时应使用中心辐射型还是网格模式,两者可以共存吗?
是的。 中心辐射式和网状拓扑可以共存。 当辐射网络需要使用中心提供的共享服务(如网关、防火墙或其他中央基础设施)时,中心辐射型架构非常有用。 当所选辐射型虚拟网络因性能或延迟原因需要彼此直接连接时,网状拓扑就非常有用。 一种常见模式是:为共享服务保留轮辐式架构,同时将部分辐射节点纳入网状拓扑,以便这些节点能够直接通信。
Azure Virtual Network Manager 是否会替代用户定义的路由,以通过防火墙中心实现传递路由?
编号 如果希望辐射网络之间的流量或出站流量通过中心网络中的防火墙或网络虚拟设备,Azure Virtual Network Manager 不会自动替换用户定义路由。 你仍然需要路由规则来将流量引导到下一跳。 Azure Virtual Network Manager可以通过跨现有和新创建的虚拟网络或子网应用一致的路由配置,从而大规模管理这些路由设置。
辐条虚拟网络在网状连接配置中是否可以连接到虚拟 WAN 中心,以便这些辐条虚拟网络可以直接通信?
是,分支虚拟网络可以在网格连接配置中连接到虚拟 WAN 中心。 网格组中的这些虚拟网络相互直接连接。
对属于 Azure Virtual Network Manager 网格的虚拟网络中的 IP 前缀执行的操作是否会自动传播?
网格中的虚拟网络会自动同步。IP 前缀将自动更新。 这意味着,即使网格中的虚拟网络中的 IP 前缀发生更改,网格中的流量也会起作用。
Azure Virtual Network Manager 是否可以管理跨区域的中心辐射拓扑或全局对等互连?
是的。 Azure Virtual Network Manager可以管理跨区域连接方案,包括全局连接模式。 延迟和成本特性与底层的 Azure 网络机制(例如全局虚拟网络对等互连)保持一致。 Azure Virtual Network Manager集中管理和自动化。
如何验证网格连接配置是否按预期应用?
请参阅文档 如何查看已应用的配置。 网格连接配置不会通过虚拟网络对等互连来连接虚拟网络,因此你在对等互连边栏选项卡中无法看到网格连接。
如果创建Azure Virtual Network Manager的区域关闭,会发生什么情况? 这种情况是会影响已部署的配置还是仅防止配置更改?
只会影响更改配置的功能。 在提交配置后,Azure Virtual Network Manager对配置进行编程后,它将继续运行。 例如,如果在区域 1 中创建Azure Virtual Network Manager实例,并在区域 2 中建立了网格拓扑,则即使区域 1 变得不可用,区域 2 中的网格也会继续运行。
配置更改如何传播到虚拟网络?
配置在部署到目标区域之前不会生效。 创建或更新配置并将其部署后,Azure Virtual Network Manager将配置应用到这些区域中的作用域内虚拟网络。
如果连接或安全配置导致问题,如何回滚连接或安全配置?
您可以通过部署模型进行回滚。 如果某个配置导致区域中出现问题,请删除或更改该区域的部署,以便配置不再适用。
什么是全局网格网络拓扑?
全局网格允许不同区域中的虚拟网络相互通信。 其效果类似于全局虚拟网络对等互连的工作原理。
是否可以将 Terraform 与Azure Virtual Network Manager配合使用?
是的。 Azure Virtual Network Manager 可通过 AzureRM Terraform 提供程序获得支持。 还支持 ARM 模板和Bicep,因此可以通过基础结构作为代码工作流来管理Azure Virtual Network Manager资源和配置。
Azure Virtual Network Manager如何与监视和诊断集成?
可以使用Azure监视工具来观察和排查Azure Virtual Network Manager行为。 网络观察程序可以帮助分析流量,并排查流量是否被规则阻止的问题。 流日志可以帮助检查流量模式,Azure Monitor日志和诊断设置可以捕获配置和操作事件。
如何审核谁更改了Azure Virtual Network Manager资源或配置?
使用Azure活动日志。 它会记录控制平面操作,包括操作执行者、执行了什么操作以及执行时间。
Azure Virtual Network Manager是否通过中心内的Azure 防火墙自动路由辐射流量?
编号 Azure Virtual Network Manager 不会仅仅因为中心网络中存在防火墙,就自动将来自辐射网络的流量经由 Azure 防火墙转发。 若要通过防火墙路由流量,请配置路由,以便所需的前缀使用防火墙作为下一跃点,并使用Azure Virtual Network Manager大规模应用该路由模式。
Azure Virtual Network Manager 如何与中心内的 ExpressRoute 或 VPN 网关协同工作?
在中心辐射型网络拓扑中,可以将辐射网络配置为使用中心网络的远程网关。 启用该选项后,辐射网络中的虚拟网络可以使用中心内的 ExpressRoute 或 VPN 网关。
可创建的网络组数量是否有限制?
可创建的网络组数量没有限制。
安全管理员规则如何与网络安全组交互?
安全管理员规则会先于网络安全组规则进行评估。 如果安全管理员规则拒绝流量,则会在评估网络安全组之前阻止流量。 这意味着安全管理员规则可以阻止网络安全组允许的流量。
如何处理整个组织的安全管理员规则的例外情况?
对异常范围使用单独的网络组,并将优先级更高的安全管理规则应用于该组。 例如,您可以先对一个覆盖范围较大的网络组拒绝来自互联网的入站 SSH,然后再为特定工作负载团队创建一个较小的例外网络组,并对该组应用一条更高优先级的 SSH 允许规则。
如何删除所有已应用的配置的部署?
您需要将 "无" 配置部署到所有已应用配置的区域。
是否可以从我不管理的其他订阅添加虚拟网络?
是,只要你具有访问这些虚拟网络的适当权限。
使用手动添加的成员和有条件添加的成员的网络组之间的配置部署有何不同?
请参阅 Azure Virtual Network Manager 中的配置部署。
如何删除Azure Virtual Network Manager组件?
Azure Virtual Network Manager存储客户数据吗?
编号 Azure Virtual Network Manager不存储任何客户数据。
是否可以移动Azure Virtual Network Manager实例?
编号 Azure Virtual Network Manager目前不支持将其实例移动到另一个区域、资源组或订阅的功能。 如果需要移动实例,请考虑将其删除,并使用Azure 资源管理器模板在所需位置创建另一个实例。
是否可以将具有Azure Virtual Network Manager的订阅移动到另一个租户?
否,不支持将Azure Virtual Network Manager实例所在的订阅移到另一个租户。 有关详细信息,请参阅 limitations with Azure Virtual Network Manager。
如何查看已应用的配置来帮助进行故障排除?
可以在虚拟网络的 Network Manager 下查看Azure Virtual Network Manager设置。 这些设置显示应用的配置。 有关详细信息,请参阅 由 Azure Virtual Network Manager 应用的配置视图。
当具有Azure Virtual Network Manager实例的区域中的所有区域关闭时,会发生什么情况?
如果发生区域性中断,应用于当前托管虚拟网络资源的所有配置在中断期间将保持不变。 无法在中断期间创建新配置或修改现有配置。 中断解决后,可以继续像以前一样管理虚拟网络资源。
使用Azure虚拟网络管理器管理的虚拟网络可以与未管理的虚拟网络对等互连吗?
是的。 Azure Virtual Network Manager 与使用手动对等互连创建的现有中心和分支拓扑完全兼容。 无需删除中心和分支虚拟网络之间的任何现有对等互连的连接。 迁移过程不会给网络带来任何停机时间。
是否可以将现有中心辐射型拓扑迁移到 Azure Virtual Network Manager?
是的。 将现有虚拟网络迁移到Azure Virtual Network Manager中的中心辐射型拓扑非常简单。 可以创建中心辐射型拓扑连接配置。 部署此配置时,Azure Virtual Network Manager 会自动创建必要的对等连接。 任何预先存在的对等互连将保持不变,因此不会出现停机。
在建立虚拟网络之间的连接时,连接的组与虚拟网络对等互连有何不同?
在Azure中,虚拟网络对等互联和连接组是建立虚拟网络之间连接的两种方法。 虚拟网络对等互连的工作原理是在虚拟网络之间创建一对一映射,而连接组则使用建立连接的新构造,而无需进行此类映射。
在连接的组中,所有虚拟网络都是在没有单独对等互连关系的情况下连接的。 例如,如果三个虚拟网络属于同一个连接的组,则系统会在每个虚拟网络之间启用连接,而无需建立单独的对等互连关系。
每个方法的效果都是相同的,即在虚拟网络之间建立双向连接。 但是,连接组允许将多个虚拟网络作为单个实体进行管理,并使你能够实现超出对等互连限制的连接规模,从而简化连接管理。
使用虚拟网络对等互连管理虚拟网络时,这是否会导致使用Azure Virtual Network Manager支付虚拟网络对等互连费用两次?
对等互连不会二次收费或收取双重费用。 Virtual Network Manager 遵循以前创建的所有虚拟网络对等互连,并迁移这些连接。 所有对等互连资源(无论是在虚拟网络管理器内部还是外部创建)都会产生一笔对等互连费用。
是否可以创建安全管理规则的例外?
通常,安全管理员规则用于阻止跨虚拟网络的流量。 但是,有时某些虚拟网络及其资源需要允许用于管理或其他进程的流量。 对于这些情况,可以在需要时创建例外。 针对这些情况,了解如何阻止包含例外的高风险端口。
如何将多个安全管理配置部署到一个区域?
只能为一个区域部署一个安全管理员配置。 但是,一个区域中可以存在多个连接配置。 若要将多个安全管理规则集部署到区域,请在安全管理员配置 中创建多个规则集合 。
安全管理员规则是否适用于Azure专用终结点?
目前,安全管理员规则不适用于属于Azure Virtual Network Manager管理的虚拟网络范围内的Azure专用终结点。
Azure 虚拟 WAN中心是否可以属于网络组?
否,Azure 虚拟 WAN中心目前不能位于网络组中。
是否可以在 Azure Virtual Network Manager 中心辐射型连接配置中使用 Azure 虚拟 WAN 实例作为中心?
否,目前不支持 Azure 虚拟 WAN 中心作为中心辐射型拓扑中的中心。
我的虚拟网络未收到我预期的配置。 如何进行故障排除?
使用以下问题寻找可能的解决方案。
你是否已将配置部署到虚拟网络的区域?
Azure Virtual Network Manager中的配置在部署之前不会生效。 使用适当的配置部署到虚拟网络的区域。
虚拟网络是否在范围内?
网络管理员获得了足够的访问权限才能将配置应用于范围内的虚拟网络。 如果某个资源在你的网络组中,但不在范围内,它也不会收到任何配置。
你是否正将安全规则应用于包含托管实例的虚拟网络?
Azure SQL 托管实例有一些网络要求。 这些要求是通过高优先级网络意向策略强制执行的,这些策略的目的与安全管理员规则冲突。 默认情况下,在包含其中任一意向策略的虚拟网络上跳过管理员规则应用程序。 由于“允许”规则不会带来冲突的风险,因此可以通过在 上设置 来选择应用“仅允许”规则。AllowRulesOnlysecurityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices
你是否正将安全规则应用于包含阻止安全配置规则的服务的虚拟网络或子网?
某些服务需要特定的网络要求才能正常运行。 默认情况下,安全管理员规则不会应用于包含Azure SQL 托管实例或Azure Databricks的虚拟网络。 此外,安全管理员规则不会在子网级别应用于以下服务,例如 Azure 应用程序网关、Azure Bastion、Azure 防火墙、Azure 路由服务器、Azure VPN 网关、Azure 虚拟 WAN 和 Azure ExpressRoute Gateway。 有关完整列表,请参阅 安全管理员规则的非应用。 对于虚拟网络级别的非应用,由于 Allow 规则没有冲突风险,因此可以通过在 .NET 类上设置安全配置AllowRulesOnly字段来选择应用 securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices 规则。
限制
Azure Virtual Network Manager的服务限制是什么?
有关最新信息,请参阅 Azure 虚拟网络管理器的限制。
后续步骤
- 使用 Azure 门户创建 Azure Virtual Network Manager 实例。