Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article répond aux questions fréquemment posées sur Azure Virtual Network Manager.
Général
Quelles régions Azure prennent en charge les Azure Virtual Network Manager ?
Pour obtenir des informations actuelles sur la prise en charge des régions, consultez l’article Produits disponibles par région.
Remarque
De nombreuses régions Azure prennent en charge les zones de disponibilité . Pour voir quelles régions prennent en charge les zones de disponibilité, consultez la liste des régions Azure.
Quels sont les cas d’usage courants pour Azure Virtual Network Manager ?
Vous pouvez créer des groupes réseau pour répondre aux besoins de sécurité de votre environnement et de ses fonctions. Par exemple, vous pouvez créer des groupes réseau pour vos environnements de production et de test pour gérer leurs règles de connectivité et de sécurité à grande échelle.
Pour les règles d’administration de sécurité, vous pouvez créer une configuration d’administrateur de sécurité avec deux regroupements de règles. Chaque collection de règles est ciblée sur vos groupes de réseau de production et de test, respectivement. Après le déploiement, cette configuration applique un ensemble de règles d’administration de sécurité pour les ressources réseau de votre environnement de production et un autre ensemble pour votre environnement de test.
Vous pouvez appliquer des configurations de connectivité pour créer un maillage ou une topologie réseau hub-and-spoke pour un grand nombre de réseaux virtuels dans les abonnements de votre organisation.
Vous pouvez refuser le trafic à haut risque. En tant qu’administrateur d’une entreprise, vous pouvez bloquer des protocoles ou des sources spécifiques qui remplacent les règles de groupe de sécurité réseau qui autorisent normalement le trafic.
Vous pouvez autoriser le trafic de manière forcée. Par exemple, vous pouvez autoriser un scanneur de sécurité spécifique à toujours disposer d’une connectivité entrante à toutes vos ressources, même si les règles de groupe de sécurité réseau sont configurées pour refuser le trafic.
Quel est le coût de l'utilisation de Azure Virtual Network Manager ?
Les frais d'Azure Virtual Network Manager sont basés sur le nombre de réseaux virtuels avec une configuration active de Virtual Network Manager déployée sur eux. Par exemple, si une étendue de Virtual Network Manager contient 100 réseaux virtuels, mais que les configurations n'ont été déployées que sur cinq de ces réseaux virtuels, vous serez facturé pour ces cinq réseaux virtuels (pas tous 100). En outre, veuillez noter que des frais de peering s’appliquent au volume de trafic des réseaux virtuels managés par une configuration de connectivité déployée (maillage ou hub-and-spoke).
Si un réseau virtuel a plusieurs configurations déployées sur celle-ci par la même instance de Virtual Network Manager, ce réseau virtuel n’entraîne qu’un seul taux de frais ; il n’entraîne pas de frais en double. Par exemple, si un Virtual Network Manager déploie à la fois une configuration de connectivité et une configuration d'administrateur de sécurité sur le même ensemble de cinq réseaux virtuels, vous serez facturé pour ces cinq réseaux virtuels, mais pas deux fois. Ce coût ne tient pas compte de plusieurs configurations, sauf si les configurations proviennent de différentes instances Virtual Network Manager.
Avant février 2025, Azure Virtual Network Manager frais étaient basés par défaut sur le nombre d’abonnements qui contenaient un réseau virtuel avec une configuration de Virtual Network Manager active déployée sur celui-ci. Si vous avez créé votre instance de Virtual Network Manager avant février 2025, vous pouvez choisir de switch votre tarification à la tarification basée sur le réseau virtuel.
L’outil de vérification réseau d’Azure Virtual Network Manager facture chaque exécution d’une analyse d’accessibilité dans un espace de travail de vérification Azure Virtual Network Manager. Ces frais sont distincts des frais de Azure Virtual Network Manager.
La fonctionnalité de gestion des adresses IP d’Azure Virtual Network Manager facture, à l’heure, chaque adresse IP active gérée par l’outil de gestion des adresses IP d’Azure Virtual Network Manager. Une adresse IP active est définie comme une adresse IP associée à une interface réseau dans un réseau virtuel associé à un pool d’adresses IP. Ces frais sont distincts des frais de Azure Virtual Network Manager.
Vous trouverez la tarification actuelle de votre région dans la page Azure Virtual Network Manager tarification.
Comment déployer Azure Virtual Network Manager ?
Vous pouvez déployer et gérer une instance et des configurations Azure Virtual Network Manager via différents outils, notamment :
Techniques
Un réseau virtuel peut-il appartenir à plusieurs instances de Azure Virtual Network Manager ?
Oui, un réseau virtuel peut appartenir à plusieurs instances Azure Virtual Network Manager.
Les réseaux virtuels spoke peuvent-ils être connectés à un hub Virtual WAN dans une configuration de connectivité de maillage afin que ces réseaux virtuels spoke puissent communiquer directement ?
Oui, les réseaux virtuels spoke peuvent se connecter aux hubs WAN virtuels lors de la configuration en maillage. Ces réseaux virtuels dans le groupe maillé disposent d'une connectivité directe entre eux.
Les opérations effectuées sur les préfixes IP dans les réseaux virtuels qui font partie du maillage Azure Virtual Network Manager se propageront-elles automatiquement ?
Les réseaux virtuels dans le maillage sont automatiquement synchronisés. Les préfixes IP sont mis à jour automatiquement. Cela signifie que le trafic au sein du maillage fonctionne même après avoir modifié les préfixes IP dans les réseaux virtuels dans le maillage.
Comment vérifier qu’une configuration de connectivité de maillage est appliquée comme prévu ?
Reportez-vous à la documentation Comment afficher les configurations appliquées. Une configuration de connectivité maillée ne connecte pas les réseaux virtuels avec l'appairage de réseaux virtuels, vous ne pouvez donc pas voir la connectivité maillée dans les lames d'appairage.
Que se passe-t-il si la région où le Azure Virtual Network Manager est créé est en panne ? Cela affecte-t-il les configurations déployées ou cela empêche-t-il uniquement les modifications de configuration ?
Seule la possibilité de modifier les configurations sera affectée. Une fois Azure Virtual Network Manager a programmé la configuration après avoir validé la configuration, elle continuera à fonctionner. Par exemple, si l’instance de Azure Virtual Network Manager est créée dans la région 1 et que la topologie de maillage est établie dans la région 2, le maillage de la région 2 continue de fonctionner même si la région 1 devient indisponible.
Qu’est-ce qu’une topologie de maillage en réseau global ?
Un maillage global permet aux réseaux virtuels entre régions de communiquer les uns avec les autres. Les effets sont similaires à l’appairage de réseaux virtuels globaux.
Le nombre de groupes réseau que je peux créer est-il limité ?
Le nombre de groupes réseau que vous pouvez créer n’est pas limité.
Comment supprimer le déploiement de toutes les configurations appliquées ?
Vous devez déployer une configuration Aucune dans toutes les régions auxquelles une configuration est appliquée.
Puis-je ajouter les réseaux virtuels d’un autre abonnement que je ne gère pas ?
Oui, si vous disposez des autorisations appropriées pour accéder à ces réseaux virtuels.
Comment le déploiement de la configuration diffère-t-il entre les groupes réseau avec des membres ajoutés manuellement et des membres ajoutés de manière conditionnelle ?
Consultez les déploiements de configuration dans Azure Virtual Network Manager.
Comment supprimer un composant Azure Virtual Network Manager ?
Consultez la liste de contrôle pour supprimer et mettre à jour les composants du Azure Virtual Network Manager.
Est-ce que Azure Virtual Network Manager stocke les données des clients ?
Non. Azure Virtual Network Manager ne stocke aucune donnée client.
Une instance de Azure Virtual Network Manager peut-elle être déplacée ?
Non. Azure Virtual Network Manager ne prend actuellement pas en charge la possibilité de déplacer son instance vers une autre région, un groupe de ressources ou un abonnement. Si vous devez déplacer une instance, envisagez de la supprimer et d’utiliser le modèle Azure Resource Manager pour en créer un autre à l’emplacement souhaité.
Puis-je déplacer un abonnement avec un Azure Virtual Network Manager vers un autre locataire ?
Non, le déplacement de l'abonnement où existe l'instance Azure Virtual Network Manager vers un autre locataire n'est pas pris en charge. Pour plus d’informations, consultez Limitations avec Azure Virtual Network Manager.
Comment voir quelles sont les configurations appliquées pour m’aider à résoudre les problèmes ?
Vous pouvez afficher les paramètres Azure Virtual Network Manager sous Network Manager pour un réseau virtuel. Les paramètres affichent les configurations appliquées. Pour plus d’informations, consultez les configurations View appliquées par Azure Virtual Network Manager.
Que se passe-t-il lorsque toutes les zones sont en panne dans une région avec une instance de Azure Virtual Network Manager ?
Si une panne régionale se produit, toutes les configurations appliquées aux ressources de réseau virtuel managé actuelles restent intactes pendant la panne. Vous ne pouvez pas créer de configurations ni modifier des configurations existantes pendant la panne. Une fois la panne résolue, vous pouvez continuer à gérer vos ressources de réseau virtuel comme avant.
Un réseau virtuel géré par Azure Virtual Network Manager peut-il être appairé à un réseau virtuel non managé ?
Oui. Azure Virtual Network Manager est entièrement compatible avec les topologies hub-and-spoke préexistantes créées avec le peering manuel. Vous n’avez pas besoin de supprimer les connexions homologues existantes entre les réseaux virtuels hub et spoke. La migration se produit sans temps d’arrêt sur votre réseau.
Puis-je migrer une topologie hub-and-spoke existante vers Azure Virtual Network Manager ?
Oui. La migration de réseaux virtuels existants vers la topologie hub-and-spoke dans Azure Virtual Network Manager est simple. Vous pouvez créer une configuration de connectivité de la topologie hub-and-spoke. Lorsque vous déployez cette configuration, Azure Virtual Network Manager crée automatiquement les peerings nécessaires. Les appairages préexistants restent intacts ; il n’y a donc aucun temps d’arrêt.
Quelle est la différence entre des groupes connectés et un appairage de réseaux virtuels dans l’établissement d’une connectivité entre des réseaux virtuels ?
Dans Azure, le peering de réseaux virtuels et les groupes connectés sont deux méthodes d’établissement de la connectivité entre les réseaux virtuels. Le peering de réseaux virtuels fonctionne en créant un mappage un-à-un entre des réseaux virtuels, tandis que les groupes connectés utilisent une nouvelle construction qui établit la connectivité sans ce mappage.
Dans un groupe connecté, tous les réseaux virtuels sont connectés sans relations individuelles d’appairage. Par exemple, si trois réseaux virtuels font partie du même groupe connecté, la connectivité est établie d’un réseau virtuel à l’autre sans nécessiter de relations individuelles de peering.
L’effet de chaque méthode est le même, où la connectivité bidirectionnelle est établie entre les réseaux virtuels. Toutefois, les groupes connectés simplifient la gestion de la connectivité en vous permettant de gérer plusieurs réseaux virtuels en tant qu’entité unique et de vous permettre d’obtenir une plus grande échelle de connectivité au-delà des limites de peering.
Lors de la gestion des réseaux virtuels à l’aide du peering de réseaux virtuels, cela entraîne-t-il une double facturation des frais de peering avec Azure Virtual Network Manager ?
Il n’y a pas de deuxième ou double frais pour l’appairage. Votre gestionnaire de réseau virtuel respecte tous les peerings de réseaux virtuels créés précédemment et migre ces connexions. Toutes les ressources de peering, qu’elles soient créées à l’intérieur d’un gestionnaire de réseau virtuel ou en dehors, entraînent une charge de peering unique.
Puis-je créer des exceptions aux règles d’administration de sécurité ?
Normalement, les règles d’administration de sécurité sont définies pour bloquer le trafic entre les réseaux virtuels. Toutefois, il existe des moments où certains réseaux virtuels et leurs ressources doivent autoriser le trafic pour la gestion ou d’autres processus. Pour ces scénarios, vous pouvez créer des exceptions si nécessaire. Découvrez comment bloquer des ports à haut risque avec des exceptions pour ces scénarios.
Comment puis-je déployer plusieurs configurations d’administration de sécurité dans une région ?
Vous ne pouvez déployer qu’une seule configuration d’administration de sécurité dans une région. Toutefois, plusieurs configurations de connectivité peuvent exister dans une région. Pour déployer plusieurs ensembles de règles d’administration de sécurité dans une région, créez plusieurs regroupements de règles dans une configuration d’administrateur de sécurité.
Les règles d’administration de sécurité s’appliquent-elles à Azure points de terminaison privés ?
Actuellement, les règles d'administration de sécurité ne s'appliquent pas aux points de terminaison privés Azure qui appartiennent à l'étendue d'un réseau virtuel géré par Azure Virtual Network Manager.
Un hub Azure Virtual WAN peut-il faire partie d’un groupe réseau ?
Non, un hub Azure Virtual WAN ne peut pas se trouver dans un groupe réseau pour l'instant.
Puis-je utiliser une instance d'Azure Virtual WAN comme hub dans une configuration de connectivité hub-and-spoke d'Azure Virtual Network Manager ?
Non, un hub Azure Virtual WAN n'est pas pris en charge en tant que hub dans une topologie hub-and-spoke pour l'instant.
Mon réseau virtuel ne reçoit pas les configurations attendues. Comment puis-je résoudre ce problème ?
Utilisez les questions suivantes pour connaître les solutions possibles.
Avez-vous déployé votre configuration dans la région du réseau virtuel ?
Les configurations dans Azure Virtual Network Manager ne prennent pas effet tant qu'elles ne sont pas déployées. Déployez les configurations appropriées dans la région du réseau virtuel.
Votre réseau virtuel se trouve-t-il dans l’étendue ?
Un gestionnaire de réseau obtient uniquement l’accès délégué dont il a besoin pour appliquer les configurations aux réseaux virtuels situés dans votre étendue. Si une ressource se trouve dans votre groupe réseau, mais qu’elle est en dehors de l’étendue, elle ne reçoit aucune configuration.
Appliquez-vous des règles de sécurité à un réseau virtuel contenant des instances gérées ?
Azure SQL Managed Instance a certaines exigences réseau. Ces exigences sont appliquées par le biais de stratégies d’intention réseau à haute priorité, dont l’objectif est en conflit avec des règles d’administration de sécurité. Par défaut, l’application de règles d’administration est ignorée sur les réseaux virtuels contenant l’une de ces stratégies d’intention. Étant donné que les règles Autoriser ne présentent aucun risque de conflit, vous pouvez choisir d’appliquer les règles Autoriser uniquement en définissant AllowRulesOnly sur securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.
Appliquez-vous des règles de sécurité à un réseau virtuel ou à un sous-réseau qui contient des services qui bloquent les règles de configuration de sécurité ?
Certains services nécessitent des exigences réseau spécifiques pour fonctionner correctement. Par défaut, les règles d'administration de sécurité ne sont pas appliquées aux réseaux virtuels contenant Azure SQL Managed Instance ou Azure Databricks. En outre, les règles d'administration de sécurité ne sont pas appliquées au niveau du sous-réseau pour les services tels que Azure Application Gateway, Azure Bastion, Azure Firewall, Azure Route Server, Azure VPN Gateway, Azure Virtual WAN et passerelle Azure ExpressRoute. Pour obtenir la liste complète, consultez Non-application des règles d’administration de sécurité. Pour la non-application au niveau du réseau virtuel, car Allow règles ne présentent aucun risque de conflit, vous pouvez choisir d'appliquer Allow uniquement règles en définissant le champ AllowRulesOnly des configurations de sécurité sur la classe securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET.
limites
Quelles sont les limitations de service de Azure Virtual Network Manager ?
Pour plus d’informations, consultez Limitations avec Azure Virtual Network Manager.
Étapes suivantes
- Créez une instance Azure Virtual Network Manager à l’aide du portail Azure.