Schnellstart: Erstellen einer Cloudnetzwerktopologie mit Azure Virtual Network Manager mithilfe der Azure-Befehlszeilenschnittstelle

Erste Schritte mit Azure Virtual Network Manager mithilfe der Azure-Befehlszeilenschnittstelle zum Verwalten der Konnektivität für alle virtuellen Netzwerke

In dieser Schnellstartanleitung stellen Sie drei virtuelle Netzwerke bereit und erstellen Sie mit Azure Virtual Network Manager eine Mesh-Netzwerktopologie. Anschließend überprüfen Sie, ob die Konnektivitätskonfiguration angewandt wurde.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
• Die aktuelle Azure-Befehlszeilenschnittstelle, oder verwenden Sie Azure Cloud Shell im Portal.
• Die Azure Virtual Network Manager-Erweiterung. Führen Sie zum Hinzufügen az extension add -n virtual-network-manager aus.
• Zum Ändern von dynamischen Netzwerkgruppen muss Ihnen der Zugriff nur über die Azure RBAC-Rollenzuweisung gewährt werden. Klassische Administrator-/Legacyautorisierung wird nicht unterstützt.

Melden Sie sich bei Ihrem Azure-Konto an, und wählen Sie Ihr Abonnement aus.

Um mit der Konfiguration zu beginnen, melden Sie sich bei Ihrem Azure-Konto an. Wenn Sie die Cloud Shell-Funktion Ausprobieren verwenden, werden Sie automatisch angemeldet.

az login

Wählen Sie das Abonnement aus, in dem Virtual Network Manager bereitgestellt wird:

az account set \
    --subscription "<subscriptionID>"

Aktualisieren Sie die Virtual Network Manager-Erweiterung für die Azure-Befehlszeilenschnittstelle:

az extension update --name virtual-network-manager

Erstellen einer Ressourcengruppe

In dieser Aufgabe erstellen Sie eine Ressourcengruppe zum Hosten einer Network Manager-Instanz mithilfe von az group create. In diesem Beispiel wird eine Ressourcengruppe namens resource-group in der Region (USA) Westen 2 erstellt:

az group create \
    --name "resource-group" \
    --location "westus2"

Erstellen einer Virtual Network Manager-Instanz

In dieser Aufgabe definieren Sie den Bereich und Zugriffstyp für diese Virtual Network Manager-Instanz. Sie erstellen den Bereich mit az network manager create. Ersetzen Sie den Wert <subscriptionID> durch das Abonnement, für das Virtual Network Manager virtuelle Netzwerke verwalten soll. Ersetzen Sie <mgName\> durch die Verwaltungsgruppe, die Sie verwalten möchten.

az network manager create \
    --location "westus2" \
    --name "network-manager" \
    --resource-group "resource-group" \
    --scope-accesses "Connectivity" "SecurityAdmin" \
    --network-manager-scopes subscriptions="/subscriptions/<subscriptionID>"

Erstellen einer Netzwerkgruppe

In dieser Aufgabe erstellen Sie eine Netzwerkgruppe mithilfe von az network manager group create:

az network manager group create \
    --name "network-group" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group" \
    --description "Network Group for Production virtual networks"

Erstellen virtueller Netzwerke

In dieser Aufgabe erstellen Sie drei virtuelle Netzwerke mithilfe von az network vnet create. In diesem Beispiel werden drei virtuelle Netzwerke in der Region (USA) Westen 2 erstellt. Jedes virtuelle Netzwerk verfügt über ein Tag networkType, das für dynamische Mitgliedschaft verwendet wird. Wenn Sie bereits über virtuelle Netzwerke verfügen, mit denen Sie ein Cloudnetzwerk erstellen möchten, können Sie zum nächsten Abschnitt springen.

az network vnet create \
    --name "vnet-00" \
    --resource-group "resource-group" \
    --address-prefix "10.0.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-01" \
    --resource-group "resource-group" \
    --address-prefix "10.1.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-02" \
    --resource-group "resource-group" \
    --address-prefix "10.2.0.0/16" \
    --tags "NetworkType=Prod"

Hinzufügen eines Subnetzes zu den einzelnen virtuellen Netzwerken

In dieser Aufgabe schließen Sie die Konfiguration der virtuellen Netzwerke ab, indem Sie jedem ein /24-Subnetz hinzufügen. Erstellen Sie eine Subnetzkonfiguration namens default mit az network vnet subnet create:

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-00" \
    --address-prefix "10.0.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-01" \
    --address-prefix "10.1.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-02" \
    --address-prefix "10.2.0.0/24"

Definieren der Mitgliedschaft für eine Meshkonfiguration

Azure Virtual Network Manager ermöglicht zwei Methoden zum Hinzufügen von Mitgliedschaften zu einer Netzwerkgruppe. Statische Mitgliedschaft umfasst das manuelle Hinzufügen virtueller Netzwerke, und dynamische Mitgliedschaft beinhaltet die Verwendung von Azure Policy, um virtuelle Netzwerke basierend auf Bedingungen dynamisch hinzuzufügen. Wählen Sie die Option aus, die Sie für den Abschluss Ihrer Cloudkonfigurationsmitgliedschaft verwenden möchten:

Manuelle Mitgliedschaft

Mithilfe der statischen Mitgliedschaft fügen Sie Ihrer Netzwerkgruppe mit az network manager group static-member create manuell drei virtuelle Netzwerke für Ihre Cloudkonfiguration hinzu. Ersetzen Sie <subscriptionID> durch das Abonnement, in dem diese virtuellen Netzwerke erstellt wurden.

az network manager group static-member create \
    --name "vnet-00" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-00"

az network manager group static-member create \
    --name "vnet-01" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-01"

az network manager group static-member create \
    --name "vnet-02" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-02"

Azure Policy

Mithilfe von Azure Policy können Sie die drei virtuellen Netzwerke mit einem networkType-Wert von Prod dynamisch zur Netzwerkgruppe hinzufügen. Diese drei virtuellen Netzwerke werden nach der Bereitstellung Teil der Cloudkonfiguration.

Sie können Richtlinien auf ein Abonnement oder eine Verwaltungsgruppe anwenden, und Sie müssen sie immer auf oder über der Ebene definieren, auf der Sie sie erstellen. Nur virtuelle Netzwerke innerhalb eines Richtlinienbereichs werden einer Netzwerkgruppe hinzugefügt.

Erstellen einer Richtliniendefinition

In dieser Aufgabe erstellen Sie eine Richtliniendefinition mithilfe von az policy definition create für virtuelle Netzwerke, die als „Prod“ gekennzeichnet sind. Ersetzen Sie <subscriptionID> durch das Abonnement, auf das Sie diese Richtlinie anwenden möchten. Wenn Sie sie auf eine Verwaltungsgruppe anwenden möchten, ersetzen Sie --subscription <subscriptionID> durch --management-group <mgName>.

az policy definition create \
    --name "azure-policy" \
    --description "Choose Prod virtual networks only" \
    --rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"vnet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group\"}}}" \
    --subscription <subscriptionID> \
    --mode "Microsoft.Network.Data"

Erstellen einer Richtliniendefinition

In dieser Aufgabe wenden Sie die zuvor erstellte Richtlinie mithilfe von az policy assignment create an. Ersetzen Sie <subscriptionID> durch das Abonnement, auf das Sie diese Richtlinie anwenden möchten. Wenn Sie sie auf eine Verwaltungsgruppe anwenden möchten, ersetzen Sie --scope "/subscriptions/<subscriptionID>" durch --scope "/providers/Microsoft.Management/managementGroups/<mgName>, und ersetzen Sie <mgName\> durch Ihre Verwaltungsgruppe.

az policy assignment create \
    --name "azure-policy-assignment" \
    --description "Take only virtual networks tagged NetworkType:Prod" \
    --scope "/subscriptions/<subscriptionID>" \
    --policy "/subscriptions/<subscriptionID>/providers/Microsoft.Authorization/azure-policys/azure-policy"

Erstellen einer Konfiguration

In dieser Aufgabe erstellen Sie mithilfe von az network manager connect-config create eine Konfiguration für die Cloud-Netzwerktopologie. Ersetzen Sie <subscriptionID> durch Ihre Abonnement-ID.

az network manager connect-config create \
    --configuration-name "connectivityconfig" \
    --description "Production Mesh Connectivity Config Example" \
    --applies-to-groups '[{"networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group", "groupConnectivity": "None"}]' \
    --connectivity-topology "Mesh" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group"

Commit für Bereitstellung ausführen

Damit die Konfiguration wirksam wird, committen Sie die Konfiguration mit az network manager post-commit in die Zielregionen:

az network manager post-commit \
    --network-manager-name "network-manager" \
    --commit-type "Connectivity" \
    --configuration-ids "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig" \
    --target-locations "westus2" \
    --resource-group "resource-group"

Überprüfen der Konfiguration

Virtuelle Netzwerke zeigen mit az network manager list-effective-connectivity-config die Konfigurationen an, die auf sie angewendet wurden:

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-00"

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-01"


az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-02"

Für die virtuellen Netzwerke, die Teil der Konnektivitätskonfiguration sind, wird eine Ausgabe wie in diesem Beispiel angezeigt:

{
  "skipToken": "",
  "value": [
    {
      "appliesToGroups": [
        {
          "groupConnectivity": "None",
          "isGlobal": "False",
          "networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "useHubGateway": "False"
        }
      ],
      "configurationGroups": [
        {
          "description": "Network Group for Production virtual networks",
          "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "provisioningState": "Succeeded",
          "resourceGroup": "resource-group"
        }
      ],
      "connectivityTopology": "Mesh",
      "deleteExistingPeering": "False",
      "description": "Production Mesh Connectivity Config Example",
      "hubs": [],
      "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig",
      "isGlobal": "False",
      "provisioningState": "Succeeded",
      "resourceGroup": "resource-group"
    }
  ]
}

Bereinigen von Ressourcen

Wenn Sie die Azure Virtual Network Manager-Instanz und die zugehörigen Ressourcen nicht mehr benötigen, löschen Sie die Ressourcengruppe mithilfe von az group delete:

az group delete \
    --name "resource-group"

Nächste Schritte

In diesem Schritt erfahren Sie, wie Sie den Netzwerkdatenverkehr mithilfe einer Sicherheitsadministratorkonfiguration blockieren:

Blockieren von Netzwerkdatenverkehr mit Azure Virtual Network Manager