Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel finden Sie Antworten auf häufig gestellte Fragen zu Azure Virtual Network Manager.
Allgemein
Welche Azure-Regionen unterstützen Azure Virtual Network Manager?
Aktuelle Informationen zu den unterstützten Regionen finden Sie unter Verfügbare Produkte nach Region.
Hinweis
Alle Regionen verfügen über Verfügbarkeitszonen.
Was sind häufige Anwendungsfälle für Azure Virtual Network Manager?
Sie können Netzwerkgruppen erstellen, um den Sicherheitsanforderungen Ihrer Umgebung und deren Funktionen gerecht zu werden. Sie können beispielsweise Netzwerkgruppen für Ihre Produktions- und Testumgebungen erstellen, um deren Konnektivität und Sicherheitsregeln im großen Stil zu verwalten.
Für Sicherheitsadministratorregeln können Sie eine Sicherheitsadministratorkonfiguration mit zwei Regelsammlungen erstellen. Jede Regelsammlung richtet sich an Ihre Produktions- bzw. Testnetzwerkgruppen. Nach der Bereitstellung erzwingt diese Konfiguration eine Reihe von Sicherheitsadministratorregeln für Netzwerkressourcen für Ihre Produktionsumgebung und einen anderen Satz für Ihre Testumgebung.
Sie können Konnektivitätskonfigurationen anwenden, um eine Mesh- oder eine Hub-and-Spoke-Netzwerktopologie für eine große Anzahl von virtuellen Netzwerken in den Abonnements Ihres Unternehmens zu erstellen.
Sie können Datenverkehr mit hohem Risiko verweigern. Als Administrator eines Unternehmens können Sie bestimmte Protokolle oder Quellen blockieren, die alle Regeln für Netzwerksicherheitsgruppen außer Kraft setzen, die normalerweise den Datenverkehr zulassen würden.
Sie können den Datenverkehr erzwingen. Sie können z. B. einem bestimmten Sicherheitsscanner erlauben, dass immer eine eingehende Verbindung zu all Ihren Ressourcen besteht, auch wenn die Regeln für die Netzwerksicherheitsgruppe so konfiguriert sind, dass der Datenverkehr abgelehnt wird.
Welche Kosten entstehen durch die Verwendung von Azure Virtual Network Manager?
Azure Virtual Network Manager-Gebühren basieren auf der Anzahl der virtuellen Netzwerke mit einer aktiven Virtual Network Manager-Konfiguration, die darauf bereitgestellt wird. Wenn beispielsweise ein Virtual Network Manager-Bereich 100 virtuelle Netzwerke enthält, Konfigurationen jedoch nur in 5 dieser virtuellen Netzwerke bereitgestellt wurden, werden Ihnen diese 5 virtuellen Netzwerke (nicht alle 100) in Rechnung gestellt. Beachten Sie außerdem, dass eine Gebühr für Peering für das Datenverkehrsvolumen virtueller Netzwerke gilt, die von einer bereitgestellten Konnektivitätskonfiguration verwaltet werden (entweder Gitter oder Hub-and-Spoke).
Wenn ein virtuelles Netzwerk über mehrere Konfigurationen verfügt, die von derselben Virtual Network Manager-Instanz bereitgestellt werden, verursacht dieses virtuelle Netzwerk nur einen einzigen Gebührensatz; es werden keine Gebühren dupliziert. Wenn z. B. ein Virtual Network Manager sowohl eine Konnektivitätskonfiguration als auch eine Sicherheitsadministratorkonfiguration auf demselben Satz von 5 virtuellen Netzwerken bereitstellt, werden Ihnen diese 5 virtuellen Netzwerke in Rechnung gestellt, aber nicht zweimal berechnet. Diese Kosten berücksichtigen nicht mehrere Konfigurationen, es sei denn, die Konfigurationen stammen aus verschiedenen Virtual Network Manager-Instanzen.
Vor März 2025 basierten die Gebühren für Azure Virtual Network Manager standardmäßig auf der Anzahl der Abonnements, die ein virtuelles Netzwerk mit einer aktiven Konfiguration des Virtual Network Manager enthielten, die darauf bereitgestellt wurde. Wenn Sie Ihre Virtual Network Manager-Instanz vor März 2025 erstellt haben, können Sie ihre Preise auf die preisebasierten Preise für virtuelle Netzwerke umstellen.
Das Netzwerküberprüfungstool von Azure Virtual Network Manager berechnet die Kosten pro Ausführung der Reichweitenanalyse, die im Verifier Workspace des Azure Virtual Network Managers ausgeführt wird. Diese Gebühr unterscheidet sich von den Azure Virtual Network Manager-Gebühren.
Die aktuellen Preise für Ihre Region finden Sie auf der Seite Azure Virtual Network Manager – Preise.
Wie stelle ich Azure Virtual Network Manager bereit?
Sie können Azure Virtual Network Manager-Instanzen und Konfigurationen über verschiedene Tools bereitstellen und verwalten, darunter:
Technisch
Kann ein virtuelles Netzwerk zu mehreren Azure Virtual Network Manager-Instanzen gehören?
Ja, ein virtuelles Netzwerk kann zu mehr als einer Azure Virtual Network Manager-Instanz gehören.
Können virtuelle Speichennetzwerke mit einem virtuellen WAN-Hub verbunden werden, während sie sich in einer Gitterkonnektivitätskonfiguration befinden, damit diese virtuellen Speichennetzwerke direkt kommunizieren können?
Ja, virtuelle Speichennetzwerke können während der Gitterkonnektivitätskonfiguration eine Verbindung mit virtuellen WAN-Hubs herstellen. Diese virtuellen Netzwerke in der vermaschten Gruppe verfügen über eine direkte Verbindung zueinander.
Werden Vorgänge an die IP-Präfixe in virtuellen Netzwerken, die Teil des Azure Virtual Network Manager-Gitters sind, automatisch weitergeleitet?
Virtuelle Netzwerke im Gitter werden automatisch synchronisiert. IP-Präfixe werden automatisch aktualisiert. Dies bedeutet, dass der Datenverkehr innerhalb des Meshs auch dann weiterhin funktioniert, wenn Änderungen an IP-Präfixen in virtuellen Netzwerken im Mesh vorgenommen werden.
Wie kann ich überprüfen, ob eine Konfiguration für die Gitterkonnektivität wie beabsichtigt angewendet wird?
In der Dokumentation wird beschrieben, wie angewendete Konfigurationen angezeigt werden. Eine Gitterkonnektivitätskonfiguration verbindet keine virtuellen Netzwerke mit virtuellem Netzwerk-Peering, sodass die Gitterkonnektivität in Peering-Blades nicht angezeigt wird.
Was geschieht, wenn die Region, in der der Azure Virtual Network Manager erstellt wird, deaktiviert ist? Wirkt sich dies auf bereitgestellte Konfigurationen aus, oder werden nur Konfigurationsänderungen verhindert?
Nur die Möglichkeit zum Ändern von Konfigurationen ist beeinträchtigt. Nachdem Azure Virtual Network Manager die Konfiguration programmiert hat, nachdem Sie die Konfiguration committet haben, wird sie weiterhin ausgeführt. Wenn beispielsweise die Azure Virtual Network Manager-Instanz in Region 1 erstellt wird und die Gittermodelltopologie in Region 2 eingerichtet wird, funktioniert das Gittermodell in Region 2 weiterhin, auch wenn Region 1 nicht verfügbar ist.
Was ist eine globale Mesh-Netzwerktopologie?
Eine globale Cloud ermöglicht es, dass virtuelle Netzwerke in verschiedenen Regionen miteinander kommunizieren können. Die Auswirkungen sind ähnlich wie beim globalen virtuellen Netz-Peering.
Gibt es eine Obergrenze für die Anzahl der Netzwerkgruppen, die erstellt werden können?
Die Anzahl der Netzwerkgruppen, die Sie erstellen können, ist unbegrenzt.
Gewusst wie kann ich die Bereitstellung aller angewendeten Konfigurationen aufheben?
Sie müssen für alle Regionen, auf die Sie eine Konfiguration angewendet haben, eine Keine-Konfiguration bereitstellen.
Kann ich virtuelle Netzwerke aus einem anderen Abonnement hinzufügen, das ich nicht verwalte?
Ja, wenn Sie über die erforderlichen Berechtigungen verfügen, um auf diese virtuellen Netzwerke zuzugreifen
Wie unterscheidet sich die Bereitstellung der Konfiguration zwischen Netzwerkgruppen mit manuell hinzugefügten Mitgliedern und bedingt hinzugefügten Mitgliedern?
Siehe Konfigurationsbereitstellungen in Azure Virtual Network Manager
Wie kann ich eine Azure Virtual Network Manager-Komponente löschen?
Siehe Komponenten aus der Azure Virtual Network Manager-Checkliste entfernen und aktualisieren
Speichert Azure Virtual Network Manager Kundendaten?
Nein. Azure Virtual Network Manager speichert keine Kundendaten.
Kann eine Azure Virtual Network Manager-Instanz verschoben werden?
Nein. Azure Virtual Network Manager unterstützt derzeit nicht die Möglichkeit, seine Instanz in eine andere Region, Ressourcengruppe oder ein Abonnement zu verschieben. Wenn Sie eine Instanz verschieben müssen, sollten Sie sie löschen und die Azure Resource Manager-Vorlage verwenden, um eine andere an dem gewünschten Speicherort zu erstellen.
Kann ich ein Abonnement mit Azure Virtual Network Manager in einen anderen Mandanten verschieben?
Ja, Sie müssen jedoch einige Punkte berücksichtigen:
- Der Zielmandant kann keinen Azure Virtual Network Manager erstellt haben.
- Die virtuellen Spoke-Netzwerke in der Netzwerkgruppe können beim Ändern von Mandanten ihren Verweis verlieren, wodurch die Verbindung mit dem virtuellen Hubnetzwerk verloren geht. Um dies zu beheben, müssen Sie nach dem Verschieben des Abonnements auf einen anderen Mandanten die virtuellen Speichennetzwerke manuell zur Netzwerkgruppe von Azure Virtual Network Manager hinzufügen.
Wie kann ich sehen, welche Konfigurationen angewendet werden, um mir bei der Fehlersuche zu helfen?
Sie können die Einstellungen des Azure Virtual Network Manager unter Netzwerkmanager für ein virtuelles Netzwerk einsehen. Die Einstellungen zeigen Konfigurationen an, die angewendet werden. Weitere Informationen finden Sie unter Anzeigen der von Azure Virtual Network Manager angewendeten Konfigurationen.
Was geschieht, wenn alle Zonen in einer Region ausgefallen sind, in der sich eine Azure Virtual Network Manager-Instanz befindet?
Bei einem regionalen Ausfall bleiben alle Konfigurationen, die auf aktuelle verwaltete virtuelle Netzwerkressourcen angewendet werden, während des Ausfalls erhalten. Während des Ausfalls können Sie keine neuen Konfigurationen erstellen oder vorhandene Konfigurationen ändern. Nachdem der Ausfall behoben wurde, können Sie Ihre virtuellen Netzwerkressourcen wie zuvor verwalten.
Kann ein virtuelles Netzwerk, das von Azure Virtual Network Manager verwaltet wird, per Peering mit einem nicht verwalteten virtuellen Netzwerk verbunden werden?
Ja. Azure Virtual Network Manager ist vollständig kompatibel mit vorhandenen Hub-and-Spoke-Topologien, die mit manueller Peering erstellt wurden. Sie müssen keine vorhandenen Verbindungen mit Peering zwischen virtuellen Hub- und Spoke-Netzwerken löschen. Die Migration erfolgt ohne Ausfallzeiten in Ihrem Netzwerk.
Kann ich eine bestehende Hub-and-Spoke-Topologie zu Azure Virtual Network Manager migrieren?
Ja. Das Migrieren bestehender virtueller Netzwerke zur Hub-and-Spoke-Topologie in Azure Virtual Network Manager ist einfach. Sie können eine Konnektivitätskonfiguration für eine Hub-and-Spoke-Topologie erstellen. Wenn Sie diese Konfiguration bereitstellen, erstellt Azure Virtual Network Manager automatisch die erforderlichen Peerings. Alle vorhandenen Peerings bleiben erhalten, sodass keine Ausfallzeiten auftreten.
Wie unterscheiden sich verbundene Gruppen vom Peering virtueller Netzwerke im Hinblick auf die Schaffung von Konnektivität zwischen virtuellen Netzwerken?
In Azure stellen das Peering virtueller Netzwerke und verbundene Gruppen zwei Methoden zur Schaffung von Konnektivität zwischen virtuellen Netzwerken dar. Virtuelles Netzwerk-Peering funktioniert, indem eine 1:1-Zuordnung zwischen virtuellen Netzwerken erstellt wird, während verbundene Gruppen ein neues Konstrukt verwenden, das eine Verbindung ohne eine solche Zuordnung herstellt.
In einer verbundenen Gruppe sind alle virtuellen Netzwerke ohne einzelne Peeringbeziehungen miteinander verbunden. Wenn beispielsweise drei virtuelle Netzwerke Teil der gleichen verbundenen Gruppe sind, besteht zwischen den einzelnen virtuellen Netzwerken Konnektivität, ohne dass einzelne Peeringbeziehungen erforderlich sind.
Der Effekt jeder Methode ist identisch, wobei bidirektionale Konnektivität zwischen virtuellen Netzwerken hergestellt wird. Verbundene Gruppen vereinfachen jedoch die Verwaltung der Konnektivität, indem Sie mehrere virtuelle Netzwerke als einzelne Entität verwalten und eine höhere Konnektivitätsskala über Peeringgrenzen hinaus erreichen können.
Wenn Sie virtuelle Netzwerke mit virtuellem Netzwerk-Peering verwalten, führt dies dazu, dass virtuelle Netzwerk-Peering-Gebühren zweimal mit Azure Virtual Network Manager bezahlt werden?
Für das Peering wird keine zweite oder doppelte Gebühr in Rechnung gestellt. Ihr virtueller Netzwerkmanager respektiert alle zuvor erstellten virtuellen Netzwerk-Peerings und migriert diese Verbindungen. Für alle Peering-Ressourcen, unabhängig davon, ob sie innerhalb oder außerhalb eines virtuellen Netzmanagers erstellt werden, fällt eine einzige Peeringgebühr an.
Kann ich Ausnahmen für Sicherheitsadministratorregeln erstellen?
Normalerweise werden Sicherheitsadministratorregeln definiert, um Datenverkehr über virtuelle Netzwerke zu blockieren. Es gibt jedoch Zeiten, in denen bestimmte virtuelle Netzwerke und ihre Ressourcen Datenverkehr für die Verwaltung oder andere Prozesse zulassen müssen. Für diese Szenarios können Sie bei Bedarf Ausnahmen erstellen. Weitere Informationen dazu, wie Sie Ports mit hohem Risiko mit Ausnahmen für diese Szenarios blockieren können, finden Sie unter diesem Link.
Wie kann ich mehrere Sicherheitsadministratorkonfigurationen in einer Region bereitstellen?
Sie können pro Region nur eine Sicherheitsadministratorkonfiguration bereitstellen. Es können jedoch mehrere Verbindungskonfigurationen in einer Region vorhanden sein, wenn Sie mehrere Regelsammlungen in einer Sicherheitsadministratorkonfiguration erstellen.
Gelten Sicherheitsadministratorregeln für private Azure-Endpunkte?
Derzeit gelten Sicherheitsadministratorregeln nicht für private Azure-Endpunkte, die in den Bereich eines virtuellen Netzwerks fallen, das mit Azure Virtual Network Manager verwaltet wird.
Ausgangsregeln
| Hafen | Protocol | `Source` | Destination | Aktion |
|---|---|---|---|---|
| 443, 12000 | TCP | VirtualNetwork |
AzureCloud |
Allow |
| Beliebig | Beliebig | VirtualNetwork |
VirtualNetwork |
Allow |
Kann ein Azure Virtual WAN-Hub Teil einer Netzwerkgruppe sein?
Nein, ein Azure Virtual WAN-Hub kann sich aktuell nicht in einer Netzwerkgruppe befinden.
Kann ich eine Azure Virtual WAN-Instanz als Hub in einer Azure Virtual Network Manager-Hub-and-Spoke-Konnektivitätskonfiguration verwenden?
Nein, Azure Virtual WAN-Hubs werden aktuell nicht als Hubs in einer Hub-and-Spoke-Topologie unterstützt.
Mein virtuelles Netzwerk empfängt nicht die Konfigurationen, die ich erwartet. Wie führe ich eine Problembehandlung durch?
Sehen Sie sich für mögliche Lösungen die folgenden Fragen an.
Haben Sie Ihre Konfiguration in der Region des virtuellen Netzwerks bereitgestellt?
Konfigurationen in Azure Virtual Network Manager werden erst wirksam, wenn sie bereitgestellt werden. Führen Sie in der Region des virtuellen Netzwerks eine Bereitstellung mit den entsprechenden Konfigurationen durch.
Sind neue Konfigurationen für Ihr virtuelles Netzwerk vorgesehen?
Netzwerkmanager erhalten nur die erforderlichen Zugriffsberechtigungen, um Konfigurationen auf die virtuellen Netzwerke in Ihrem Bereich anzuwenden. Wenn sich eine Ressource in Ihrer Netzwerkgruppe, aber außerhalb des Bereichs befindet, erhält sie keine Konfigurationen.
Werden Sicherheitsregeln auf ein virtuelles Netzwerk angewendet, das verwaltete Instanzen enthält?
Azure SQL Managed Instance weist einige Netzwerkanforderungen auf. Diese Anforderungen werden durch Netzwerkabsichtsrichtlinien mit hoher Priorität erzwungen, deren Zweck mit Sicherheitsadministratorregeln in Konflikt steht. Standardmäßig wird die Anwendung von Administratorregeln in virtuellen Netzwerken übersprungen, die solche Absichtsrichtlinien enthalten. Da Zulassen-Regeln keine Konfliktgefahr mit sich bringen, können Sie sich für die Anwendung von Nur zulassen-Regeln entscheiden, indem Sie AllowRulesOnly auf securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices festlegen.
Werden Sicherheitsregeln auf ein virtuelles Netzwerk oder Subnetz angewendet, das Dienste enthält, die Sicherheitskonfigurationsregeln blockieren?
Bei bestimmten Diensten sind bestimmte Netzwerkanforderungen erforderlich, damit sie ordnungsgemäß funktionieren. Zu diesen Diensten gehören Azure SQL Managed Instance, Azure Databricks und Azure Application Gateway. Standardmäßig wird die Anwendung von Sicherheitsadministratorregeln in virtuellen Netzwerken und Subnetzen übersprungen, die solche Dienste enthalten. Da Zulassen-Regeln keine Konfliktgefahr mit sich bringen, können Sie sich für die Anwendung von Nur zulassen-Regeln entscheiden, indem Sie in den Sicherheitskonfigurationen das Feld AllowRulesOnly auf die .NET-Klasse securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices festlegen.
Einschränkungen
Welche Serviceeinschränkungen hat Azure Virtual Network Manager?
Die aktuellsten Informationen finden Sie unter Einschränkungen bei Azure Virtual Network Manager.
Nächste Schritte
- Erstellen Sie eine Azure Virtual Network Manager-Instanz über das Azure-Portal.