Comprendre et utiliser les étendues Azure Virtual Network Manager

Dans cet article, vous découvrez comment les étendues permettent aux groupes d’administration ou aux abonnements d’utiliser certaines fonctionnalités d’Azure Virtual Network Manager. Vous découvrez également le concept de hiérarchie et comment il peut affecter les utilisateurs d’Azure Virtual Network Manager.

Ressources de Virtual Network Manager

Une instance Azure Virtual Network Manager inclut les ressources suivantes :

  • Groupes de réseaux : un groupe de réseaux est un conteneur logique où vous pouvez appliquer des stratégies de configuration pour la mise en réseau.

  • Configurations : Azure Virtual Network Manager fournit deux types de configurations :

    • Utilisez des configurations de connectivité pour créer des topologies réseau.
    • Utilisez des configurations de sécurité pour créer une collection de règles que vous pouvez appliquer sur des réseaux virtuels.
  • Règles : vous pouvez définir des règles de sécurité réseau qui peuvent autoriser ou interdire le trafic réseau au niveau global pour vos réseaux virtuels.

Étendue

Une étendue dans Azure Virtual Network Manager représente le niveau d’accès accordé pour la gestion des ressources. La valeur de l’étendue peut être définie au niveau du groupe d’administration ou au niveau de l’abonnement. Pour découvrir comment gérer votre hiérarchie de ressources, consultez Groupes d’administration Azure. Lorsque vous sélectionnez un groupe d’administration en tant qu’étendue, toutes les ressources enfants sont comprises dans l’étendue.

Remarque

Vous ne pouvez pas créer plusieurs instances Azure Virtual Network Manager avec une étendue qui chevauche la même hiérarchie et les mêmes fonctionnalités sélectionnées.

Quand vous spécifiez une étendue au niveau du groupe d’administration, vous devez inscrire le fournisseur Azure Virtual Network auprès de l’étendue du groupe d’administration avant de déployer une instance Virtual Network Manager. Ce processus est inclus dans Créer une instance Virtual Network Manager dans le portail Azure, mais pas avec des méthodes par programmation comme Azure CLI et Azure PowerShell. En savoir plus sur l’inscription de fournisseurs auprès de l’étendue d’un groupe d’administration.

Applicabilité des étendues

Quand vous déployez des configurations, l’instance Virtual Network Manager applique des fonctionnalités seulement aux ressources qui sont dans son étendue. Si vous tentez d’ajouter une ressource à un groupe réseau qui est en dehors de l’étendue, la ressource est ajoutée au groupe pour représenter votre intention. Cependant, Virtual Network Manager n’applique pas les modifications apportées aux configurations.

Vous pouvez mettre à jour l’étendue de l’instance Virtual Network Manager. Les mises à jour déclenchent une réévaluation automatique au niveau de l’étendue, et elles ajoutent potentiellement des fonctionnalités avec l’ajout d’une étendue ou en suppriment avec la suppression d’une étendue.

Étendue sur plusieurs locataires

L’étendue d’une instance Virtual Network Manager peut couvrir plusieurs locataires, un flux d’approbation distinct étant cependant nécessaire pour établir cette étendue.

Tout d’abord, ajoutez une intention pour l’étendue souhaitée depuis l’instance Virtual Network Manager en utilisant la ressource Connexion d’étendue. Deuxièmement, ajoutez une intention pour la gestion de l’instance Virtual Network Manager depuis l’étendue (abonnement ou groupe de gestion) en utilisant la ressource Connexion Network Manager. Ces ressources contiennent un état indiquant si l’étendue associée a été ajoutée à l’étendue de l’instance Virtual Network Manager.

Fonctionnalités

Les fonctionnalités sont les accès aux étendues que vous autorisez Azure Virtual Network Manager à gérer. Azure Virtual Network Manager a actuellement deux étendues de fonctionnalités : Connectivité et Administration de la sécurité. Vous pouvez activer les deux étendues de fonctionnalités sur la même instance Virtual Network Manager.

Hiérarchie

Azure Virtual Network Manager permet de gérer vos ressources réseau dans une hiérarchie. Une hiérarchie signifie que plusieurs instances de Virtual Network Manager peuvent gérer des étendues qui se chevauchent et que les configurations de chaque instance Virtual Network Manager peuvent également se chevaucher.

Par exemple, vous pouvez avoir le groupe d’administration de plus haut niveau comme étendue pour une instance Virtual Network Manager et un groupe d’administration enfant comme étendue pour une autre instance Virtual Network Manager. Quand vous avez un conflit de configuration entre des instances Virtual Network Manager qui contiennent la même ressource, la configuration de l’instance Virtual Network Manager qui a l’étendue de plus haut niveau est celle qui est appliquée.

Étapes suivantes