Vytvoření síťového virtuálního zařízení v centru Azure Virtual WAN

V tomto článku se dozvíte, jak nasadit integrované síťové virtuální zařízení (NVA) v centru Azure Virtual WAN.

Pozadí

Síťová virtuální zařízení nasazená v centru Virtual WAN jsou obvykle rozdělená do tří kategorií:

• Zařízení připojení: Slouží k ukončení připojení VPN a připojení SD-WAN z místního prostředí. Zařízení připojení používají protokol BGP (Border Gateway Protocol) k výměně tras s centrem Virtual WAN.
• Zařízení brány firewall nové generace (NGFW): Používá se se záměrem směrování k zajištění kontroly provozu procházejícího centrem Virtual WAN.
• Připojení s duální rolí a zařízení brány firewall: Jedno zařízení, které připojuje místní zařízení k Azure, a kontroluje provoz procházející centrem Virtual WAN se záměrem směrování.

Seznam síťových virtuálních zařízení, které je možné nasadit v centru Virtual WAN a jejich příslušné možnosti, najdete v tématu Partneři síťového virtuálního zařízení virtual WAN.

Mechanismy nasazení

Síťová virtuální zařízení je možné nasadit prostřednictvím několika různých pracovních postupů. Různí partneři síťového virtuálního zařízení podporují různé mechanismy nasazení. Každý integrovaný partner síťového virtuálního zařízení Virtual WAN podporuje pracovní postup spravované aplikace Azure Marketplace. Informace o jiných metodách nasazení najdete v dokumentaci poskytovatele síťového virtuálního zařízení.

• Spravovaná aplikace Azure Marketplace: Všichni partneři síťového virtuálního zařízení virtual WAN používají spravované aplikace Azure k nasazení integrovaných síťových virtuálních zařízení v centru Virtual WAN. Spravované aplikace Azure nabízejí snadný způsob nasazení síťových virtuálních zařízení do centra Virtual WAN prostřednictvím prostředí webu Azure Portal vytvořeného poskytovatelem síťového virtuálního zařízení. Prostředí webu Azure Portal shromažďuje kritické parametry nasazení a konfigurace potřebné k nasazení a spuštění síťového virtuálního zařízení. Další informace o spravovaných aplikacích Azure najdete v dokumentaci ke spravovaným aplikacím. Odkazujte na dokumentaci poskytovatele k úplnému pracovnímu postupu nasazení prostřednictvím spravované aplikace Azure.
• Nasazení orchestrátoru síťového virtuálního zařízení: Někteří partneři síťového virtuálního zařízení umožňují nasadit síťová virtuální zařízení do centra přímo ze softwaru pro orchestraci nebo správu síťového virtuálního zařízení. Nasazení síťových virtuálních zařízení ze softwaru pro orchestraci síťového virtuálního zařízení obvykle vyžadují poskytnutí instančního objektu Azure softwaru pro orchestraci síťového virtuálního zařízení. Instanční objekt Azure používá software pro orchestraci síťového virtuálního zařízení k interakci s rozhraními API Azure k nasazení a správě síťových virtuálních zařízení v centru. Tento pracovní postup je specifický pro implementaci poskytovatele síťového virtuálního zařízení. Další informace najdete v dokumentaci poskytovatele.
• Další mechanismy nasazení: Partneři síťového virtuálního zařízení mohou také nabídnout další mechanismy pro nasazení síťových virtuálních zařízení v centru, jako jsou šablony ARM a Terraform. Další informace o dalších podporovaných mechanismech nasazení najdete v dokumentaci poskytovatele.

Požadavky

Následující kurz předpokládá, že jste nasadili prostředek Virtual WAN s alespoň jedním centrem Virtual WAN. Tento kurz také předpokládá, že nasazujete síťová virtuální zařízení prostřednictvím spravované aplikace Azure Marketplace.

Požadovaná oprávnění

Pokud chcete nasadit síťové virtuální zařízení v centru Virtual WAN, musí mít uživatel nebo instanční objekt, který vytváří a spravuje síťové virtuální zařízení, minimálně následující oprávnění:

• Microsoft.Network/virtualHubs/read over the Virtual WAN hub, ve kterém je síťové virtuální zařízení nasazeno.
• Microsoft.Network/networkVirtualAppliances/write přes skupinu prostředků, do které je síťové virtuální zařízení nasazené.
• Microsoft.Network/publicIpAddresses/join přes prostředky veřejné IP adresy, které jsou nasazené se síťovým virtuálním zařízením pro případy použití příchozích internetových přenosů .

Tato oprávnění musí být udělena spravované aplikaci Azure Marketplace, aby se zajistilo úspěšné nasazení. Na základě implementace pracovního postupu nasazení vyvinutého partnerem síťového virtuálního zařízení můžou být vyžadována další oprávnění.

Přiřazení oprávnění ke spravované aplikaci Azure

Síťová virtuální zařízení nasazená přes spravovanou aplikaci Azure Marketplace se nasazují ve speciální skupině prostředků ve vašem tenantovi Azure označované jako spravovaná skupina prostředků. Když ve svém předplatném vytvoříte spravovanou aplikaci, vytvoří se ve vašem předplatném odpovídající a samostatná spravovaná skupina prostředků. Všechny prostředky Azure vytvořené spravovanou aplikací (včetně síťového virtuálního zařízení) se nasadí do spravované skupiny prostředků.

Azure Marketplace vlastní instanční objekt první strany, který provádí nasazení prostředků do spravované skupiny prostředků. Tento objekt zabezpečení první strany má oprávnění vytvářet prostředky ve spravované skupině prostředků, ale nemá oprávnění ke čtení, aktualizaci nebo vytváření prostředků Azure mimo spravovanou skupinu prostředků.

Pokud chcete zajistit, aby se nasazení síťového virtuálního zařízení provádělo s dostatečnou úrovní oprávnění, udělte instančnímu objektu nasazení Azure Marketplace další oprávnění nasazení nasazením spravované aplikace s uživatelsky přiřazenou identitou, která má oprávnění k centru Virtual WAN a veřejné IP adrese, kterou chcete použít se síťovým virtuálním zařízením. Tato spravovaná identita přiřazená uživatelem se používá pouze pro počáteční nasazení prostředků ve spravované skupině prostředků a používá se výhradně v kontextu nasazení spravované aplikace.

Poznámka:

Ke spravovaným aplikacím Azure je možné přiřadit pouze identity systému přiřazené uživatelem za účelem nasazení síťových virtuálních zařízení v centru Virtual WAN. Identity přiřazené systémem se nepodporují.

1. Vytvořte novou identitu přiřazenou uživatelem. Postup vytvoření nových identit přiřazených uživatelem najdete v dokumentaci ke spravované identitě. Můžete také použít existující identitu přiřazenou uživatelem.
2. Přiřaďte oprávnění k vaší identitě přiřazené uživatelem, aby měla minimálně oprávnění popsaná v části Požadovaná oprávnění a všechna oprávnění, která vyžaduje váš zprostředkovatel síťového virtuálního zařízení. Identitě přiřazené uživatelem můžete také udělit integrovanou roli Azure, jako je Přispěvatel sítě, která obsahuje nadmnožinu potřebných oprávnění.

Případně můžete také vytvořit vlastní roli s následující ukázkovou definicí a přiřadit vlastní roli spravované identitě přiřazené uživatelem.

{  
"Name": "Virtual WAN NVA Operator", 
  "IsCustom": true,
  "Description": "Can perform deploy and manage NVAs in the Virtual WAN hub.",
  "Actions": [
    "Microsoft.Network/virtualHubs/read",
    "Microsoft.Network/publicIPAddresses/join",
    "Microsoft.Network/networkVirtualAppliances/*",
    "Microsoft.Network/networkVirtualAppliances/inboundSecurityRules/*"    
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscription where Virtual Hub and NVA is deployed}",
    "/subscriptions/{subscription where Public IP used for NVA is deployed}",
  ]
}

Nasazení síťového virtuálního zařízení

Následující část popisuje kroky potřebné k nasazení síťového virtuálního zařízení do centra Virtual WAN pomocí spravované aplikace Azure Marketplace.

1. Přejděte do centra Virtual WAN a v části Poskytovatelé třetích stran vyberte síťové virtuální zařízení.

2. Vyberte Vytvořit síťové virtuální zařízení.

3. Zvolte dodavatele síťového virtuálního zařízení. V tomto příkladu je vybrána možnost fortinet-ngfw a vyberte Vytvořit. V tomto okamžiku budete přesměrováni na spravovanou aplikaci Azure Marketplace partnera síťového virtuálního zařízení.

4. Pokud chcete nasadit síťové virtuální zařízení a odkazovat na dokumentaci poskytovatele, postupujte podle prostředí pro vytváření spravovaných aplikací. Ujistěte se, že je jako součást pracovního postupu vytváření spravované aplikace vybraná identita systému přiřazená uživatelem vytvořená v předchozí části.

Běžné chyby nasazení

Chyby oprávnění

Poznámka:

Chybová zpráva přidružená k LinkedAuthorizationFailed zobrazuje pouze jedno chybějící oprávnění. V důsledku toho se po aktualizaci oprávnění přiřazených k instančnímu objektu, spravované identitě nebo uživateli může zobrazit jiné chybějící oprávnění.

• Pokud se zobrazí chybová zpráva s kódem chyby LinkedAuthorizationFailed, identita přiřazená uživatelem zadaná jako součást nasazení spravované aplikace neměla přiřazená správná oprávnění. Přesná oprávnění, která chybí, jsou popsána v chybové zprávě. V následujícím příkladu pečlivě zkontrolujte, jestli spravovaná identita přiřazená uživatelem má oprávnění ke čtení přes centrum Virtual WAN, do kterého se pokoušíte nasadit síťové virtuální zařízení.

The client with object id '<>' does not have authorization to perform action 'Microsoft.Network/virtualHubs/read' over scope '/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>' or the scope is invalid. If access was recently granted, please refresh your credentials

Další kroky

• Další informace o službě Virtual WAN najdete v tématu Co je Virtual WAN?
• Další informace o síťových virtuálních zařízeních v centru Virtual WAN najdete v tématu O síťovém virtuálním zařízení v centru Virtual WAN.