Rychlý start: Vytvoření síťové topologie sítě s využitím Azure Virtual Network Manageru pomocí Azure CLI

Začněte používat Azure Virtual Network Manager pomocí Azure CLI ke správě připojení pro všechny virtuální sítě.

V tomto rychlém startu nasadíte tři virtuální sítě a použijete Azure Virtual Network Manager k vytvoření síťové topologie sítě. Pak ověříte, že se použila konfigurace připojení.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
• Nejnovější Rozhraní příkazového řádku Azure CLI nebo azure Cloud Shell můžete použít na portálu.
• Rozšíření Azure Virtual Network Manager. Pokud ho chcete přidat, spusťte az extension add -n virtual-network-managerpříkaz .
• Pokud chcete upravit dynamické skupiny sítí, musíte mít udělený přístup pouze prostřednictvím přiřazení role Azure RBAC. Klasický správce nebo starší verze autorizace se nepodporuje.

Přihlaste se ke svému účtu Azure a vyberte své předplatné.

Pokud chcete zahájit konfiguraci, přihlaste se ke svému účtu Azure. Pokud používáte funkci Vyzkoušet v Cloud Shellu, jste přihlášení automaticky.

az login

Vyberte předplatné, ve kterém je nasazen Nástroj Virtual Network Manager:

az account set \
    --subscription "<subscriptionID>"

Aktualizujte rozšíření Virtual Network Manageru pro Azure CLI:

az extension update --name virtual-network-manager

Vytvoření skupiny zdrojů

V této úloze vytvoříte skupinu prostředků pro hostování instance správce sítě pomocí příkazu az group create. Tento příklad vytvoří skupinu prostředků s názvem skupina prostředků v umístění (USA) – západ 2 :

az group create \
    --name "resource-group" \
    --location "westus2"

Vytvoření instance Virtual Network Manageru

V této úloze definujte obor a typ přístupu pro tuto instanci Virtual Network Manageru. Vytvořte obor pomocí příkazu az network manager create. Nahraďte hodnotu <subscriptionID> předplatným, pro které má Správce virtuálních sítí spravovat virtuální sítě. Nahraďte <mgName\> skupinou pro správu, kterou chcete spravovat.

az network manager create \
    --location "westus2" \
    --name "network-manager" \
    --resource-group "resource-group" \
    --scope-accesses "Connectivity" "SecurityAdmin" \
    --network-manager-scopes subscriptions="/subscriptions/<subscriptionID>"

Vytvoření skupiny sítě

V této úloze vytvořte skupinu sítě pomocí příkazu az network manager group create:

az network manager group create \
    --name "network-group" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group" \
    --description "Network Group for Production virtual networks"

Vytvoření virtuálních sítí

V této úloze vytvořte tři virtuální sítě pomocí příkazu az network vnet create. Tento příklad vytvoří virtuální sítě pojmenované tři virtuální v umístění USA – západ 2 . Každá virtuální síť má značku networkType , která se používá pro dynamické členství. Pokud už máte virtuální sítě, se kterými chcete vytvořit síť sítě, můžete přejít k další části.

az network vnet create \
    --name "vnet-00" \
    --resource-group "resource-group" \
    --address-prefix "10.0.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-01" \
    --resource-group "resource-group" \
    --address-prefix "10.1.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-02" \
    --resource-group "resource-group" \
    --address-prefix "10.2.0.0/16" \
    --tags "NetworkType=Prod"

Přidání podsítě do každé virtuální sítě

V této úloze dokončete konfiguraci virtuálních sítí přidáním podsítě /24 do každé z nich. Pomocí příkazu az network vnet subnet create vytvořte konfiguraci podsítě podsítě s názvem default:

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-00" \
    --address-prefix "10.0.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-01" \
    --address-prefix "10.1.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-02" \
    --address-prefix "10.2.0.0/24"

Definování členství pro konfiguraci sítě

Azure Virtual Network Manager umožňuje dvě metody přidání členství do skupiny sítě. Statické členství zahrnuje ruční přidávání virtuálních sítí a dynamické členství zahrnuje použití služby Azure Policy k dynamickému přidávání virtuálních sítí na základě podmínek. Zvolte možnost, kterou chcete dokončit pro členství v konfiguraci sítě.

Ruční členství

Pomocí statického členství ručně přidáte do skupiny sítě tři virtuální sítě prostřednictvím příkazu az network manager group static-member create. Nahraďte <subscriptionID> předplatným, pod kterým byly tyto virtuální sítě vytvořeny.

az network manager group static-member create \
    --name "vnet-00" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-00"

az network manager group static-member create \
    --name "vnet-01" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-01"

az network manager group static-member create \
    --name "vnet-02" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-02"

Azure Policy

Pomocí služby Azure Policy můžete dynamicky přidávat tři virtuální sítě s networkType hodnotou Prod do skupiny sítí. Tyto tři virtuální sítě se po nasazení stanou součástí konfigurace sítě.

Zásady můžete použít u předplatného nebo skupiny pro správu a vždy je musíte definovat na úrovni, na které je vytváříte. Do skupiny sítě se přidají jenom virtuální sítě v rámci oboru zásad.

Vytvoření definice zásady

V této úloze vytvořte definici zásady pomocí příkazu az policy definition create pro virtuální sítě označené jako Prod. Nahraďte <subscriptionID> předplatným, na které chcete tuto zásadu použít. Pokud ho chcete použít pro skupinu pro správu, nahraďte --subscription <subscriptionID> ji .--management-group <mgName>

az policy definition create \
    --name "azure-policy" \
    --description "Choose Prod virtual networks only" \
    --rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"vnet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group\"}}}" \
    --subscription <subscriptionID> \
    --mode "Microsoft.Network.Data"

Použití definice zásady

V této úloze použijete dříve vytvořenou zásadu pomocí příkazu az policy assignment create. Nahraďte <subscriptionID> předplatným, na které chcete tuto zásadu použít. Pokud ji chcete použít u skupiny pro správu, nahraďte --scope "/subscriptions/<subscriptionID>" ji --scope "/providers/Microsoft.Management/managementGroups/<mgName>a nahraďte <mgName\> ji skupinou pro správu.

az policy assignment create \
    --name "azure-policy-assignment" \
    --description "Take only virtual networks tagged NetworkType:Prod" \
    --scope "/subscriptions/<subscriptionID>" \
    --policy "/subscriptions/<subscriptionID>/providers/Microsoft.Authorization/azure-policys/azure-policy"

Vytvoření konfigurace

V této úloze vytvořte konfiguraci síťové topologie sítě pomocí příkazu az network manager connect-config create. Nahraďte <subscriptionID> ID předplatného.

az network manager connect-config create \
    --configuration-name "connectivityconfig" \
    --description "Production Mesh Connectivity Config Example" \
    --applies-to-groups '[{"networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group", "groupConnectivity": "None"}]' \
    --connectivity-topology "Mesh" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group"

Potvrzení nasazení

Aby se konfigurace projevila, potvrďte konfiguraci do cílových oblastí pomocí příkazu az network manager post-commit:

az network manager post-commit \
    --network-manager-name "network-manager" \
    --commit-type "Connectivity" \
    --configuration-ids "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig" \
    --target-locations "westus2" \
    --resource-group "resource-group"

Ověření konfigurace

Pokud použijete příkaz az network manager list-effective-connectivity-config, zobrazí se na ně konfigurace virtuálních sítí:

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-00"

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-01"


az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-02"

Pro virtuální sítě, které jsou součástí konfigurace připojení, získáte výstup podobný tomuto příkladu:

{
  "skipToken": "",
  "value": [
    {
      "appliesToGroups": [
        {
          "groupConnectivity": "None",
          "isGlobal": "False",
          "networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "useHubGateway": "False"
        }
      ],
      "configurationGroups": [
        {
          "description": "Network Group for Production virtual networks",
          "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "provisioningState": "Succeeded",
          "resourceGroup": "resource-group"
        }
      ],
      "connectivityTopology": "Mesh",
      "deleteExistingPeering": "False",
      "description": "Production Mesh Connectivity Config Example",
      "hubs": [],
      "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig",
      "isGlobal": "False",
      "provisioningState": "Succeeded",
      "resourceGroup": "resource-group"
    }
  ]
}

Vyčištění prostředků

Pokud už instanci Azure Virtual Network Manageru a další prostředky nepotřebujete, odstraňte skupinu prostředků pomocí příkazu az group delete:

az group delete \
    --name "resource-group"

Další kroky

V tomto kroku zjistíte, jak blokovat síťový provoz pomocí konfigurace správce zabezpečení:

Blokování síťového provozu pomocí Azure Virtual Network Manageru