Suporte entre locatários no Gerenciador de Rede Virtual do Azure

Neste artigo, você aprenderá sobre o suporte entre locatários no Gerenciador de Rede Virtual do Azure. O suporte entre locatários permite que as organizações usem uma instância central do Gerenciador de Rede para gerenciar redes virtuais em diferentes locatários e assinaturas.

Visão geral entre locatários

O suporte entre locatários no Gerenciador de Rede Virtual do Azure permite adicionar assinaturas ou grupos de gerenciamento de outros locatários ao gerenciador de rede. Isso é feito estabelecendo uma conexão bidirecional entre o gerenciador de rede e os locatários de destino. Depois de conectado, o gerenciador central pode implantar regras de conectividade e/ou administrador de segurança em redes virtuais entre essas assinaturas conectadas ou grupos de gerenciamento. Esse suporte ajudará as organizações que se ajustam aos seguintes cenários:

  • Aquisições – Em instâncias em que as organizações se mesclam por meio da aquisição e têm vários locatários, o suporte entre locatários permite que um gerenciador de rede central gerencie redes virtuais entre os locatários.

  • Provedor de serviços gerenciados – em cenários de provedor de serviços gerenciados, uma organização pode gerenciar os recursos de outras organizações. O suporte entre locatários permitirá o gerenciamento central de redes virtuais por um provedor de serviços central para vários clientes.

Suporte à conexão entre locatários

O estabelecimento do suporte entre locatários começa com a criação de uma conexão entre dois locatários. O suporte entre locatários requer consentimento bidirecional, um do gerenciador de rede, o outro do hub do gerenciador de rede virtual do locatário de destino. As conexões são as seguintes:

  • Conexão do gerenciador de rede – Você cria uma conexão entre locatários do gerenciador de rede. A conexão inclui o escopo exato das assinaturas do locatário ou grupos de gerenciamento a serem administrados no gerenciador de rede.
  • Conexão do hub do gerenciador de rede virtual – O locatário cria uma conexão entre locatários a partir do hub do gerenciador de rede virtual. Essa conexão inclui o escopo de assinaturas ou grupos de gerenciamento a serem administrados pelo gerenciador de rede central.

Depois que ambas as conexões entre locatários existirem e os escopos forem exatamente os mesmos, será estabelecida uma conexão verdadeira. Os administradores podem usar o gerenciador de rede para adicionar recursos entre locatários aos grupos de rede e gerenciar redes virtuais incluídas no escopo da conexão. As regras de administração de conectividade e/ou segurança existentes serão aplicadas aos recursos com base nas configurações existentes.

Uma conexão entre locatários só pode ser estabelecida e mantida quando ambos os objetos de cada parte existem. Quando uma das conexões é removida, a conexão entre locatários é interrompida. Se você precisar excluir uma conexão entre locatários, você executará o seguinte:

  • Remova a conexão entre locatários do lado do gerenciador de rede por meio das configurações de conexão entre locatários no portal do Azure.
  • Remova a conexão entre locatários do lado do gerenciador de rede por meio das configurações de conexão entre locatários do hub do Gerenciador de rede virtual no portal do Azure.

Observação

Depois que uma conexão for removida de ambos os lados, o gerenciador de rede não poderá mais exibir ou gerenciar os recursos do locatário no escopo da conexão anterior.

Estados da conexão

Os recursos necessários para criar a conexão entre locatários contêm um estado, que representa se o escopo associado foi adicionado ao escopo do Gerenciador de Rede. Os valores de estado possíveis incluem:

  • Conectado: os recursos de Conexão do escopo e de Conexão do Gerenciador de Rede existem. O escopo foi adicionado ao escopo do Gerenciador de Rede.
  • Pendente: um dos dois recursos de aprovação não foi criado. O escopo ainda não foi adicionado ao escopo do Gerenciador de Rede.
  • Conflito: já existe um gerenciador de rede com essa assinatura ou grupo de gerenciamento definido dentro de seu escopo. Dois gerentes de rede com o mesmo acesso de escopo não podem gerenciar diretamente o mesmo escopo, portanto, esse grupo de assinatura/gerenciamento não pode ser adicionado ao escopo do Gerenciador de Rede. Para resolver o conflito, remova o escopo do escopo do gerenciador de rede conflitante e recrie o recurso de conexão.
  • Revogado: o escopo foi adicionado ao escopo do Gerenciador de Rede, mas a remoção de um recurso de aprovação fez com que ele fosse revogado.

O único estado que representa o escopo foi adicionado ao escopo do Gerenciador de Rede é "Conectado".

Permissões necessárias

Para usar a conexão entre locatários no Gerenciador de Rede Virtual do Azure, os usuários precisam das seguintes permissões:

  • O administrador do locatário de gerenciamento central tem uma conta de convidado no locatário gerenciado de destino.

  • A conta de convidado do administrador tem permissões de Colaborador de Rede aplicadas no nível de escopo apropriado (grupo de gerenciamento, assinatura ou rede virtual).

Precisa de ajuda para configurar permissões? Confira como adicionar usuários convidados no portal do Azure e como atribuir funções de usuário a recursos no portal do Azure

Limitações conhecidas

Atualmente, as redes virtuais entre locatários só podem ser adicionadas aos grupos de rede manualmente. Adicionar redes virtuais entre locatários a grupos de rede dinamicamente por meio da Azure Policy é uma funcionalidade futura.

Próximas etapas