Inicio rápido: creación de una topología de red de malla con Azure Virtual Network Manager mediante la CLI de Azure

Introducción a Azure Virtual Network Manager mediante la CLI de Azure para administrar la conectividad de todas las redes virtuales.

En este artículo de inicio rápido, implementará tres redes virtuales y usará Azure Virtual Network Manager para crear una topología de red de malla. Después, compruebe si se ha aplicado la configuración de conectividad.

Requisitos previos

• Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
• La versión de la CLI de Azure más reciente o puede usar Azure Cloud Shell en el portal.
• La extensión de Azure Virtual Network Manager. Para agregarla, ejecute az extension add -n virtual-network-manager.
• Para modificar los grupos de red dinámicos, solo debe tener acceso mediante la asignación de roles de RBAC de Azure. No se admite la administración clásica o la autorización heredada

Iniciar sesión en la cuenta de Azure y seleccione la suscripción

Para empezar la configuración, inicie sesión en la cuenta de Azure. Si usa la característica Pruébelo de CloudShell, inicia sesión de manera automática.

az login

Seleccione la suscripción en la que se implementa Virtual Network Manager:

az account set \
    --subscription "<subscriptionID>"

Actualice la extensión de Virtual Network Manager para la CLI de Azure:

az extension update --name virtual-network-manager

Crear un grupo de recursos

En esta tarea, creará un grupo de recursos para hospedar una instancia de Network Manager mediante az group create. Este ejemplo crea un grupo de recursos denominado grupo de recursos en la ubicación (EE. UU.) Oeste 2:

az group create \
    --name "resource-group" \
    --location "westus2"

Creación de una instancia de Virtual Network Manager

En esta tarea, defina el ámbito y el tipo de acceso para esta instancia de Virtual Network Manager. Cree el ámbito mediante az network manager create. Reemplace el valor <subscriptionID> por la suscripción para la que desea que Virtual Network Manager administre las redes virtuales. Reemplace <mgName\> por el grupo de administración que desea administrar.

az network manager create \
    --location "westus2" \
    --name "network-manager" \
    --resource-group "resource-group" \
    --scope-accesses "Connectivity" "SecurityAdmin" \
    --network-manager-scopes subscriptions="/subscriptions/<subscriptionID>"

Creación de un grupo de red

En esta tarea, cree un grupo de red mediante az network manager group create:

az network manager group create \
    --name "network-group" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group" \
    --description "Network Group for Production virtual networks"

Creación de redes virtuales

En esta tarea, cree tres redes virtuales mediante az network vnet create. En este ejemplo se crean redes virtuales denominadas tres virtuales en la ubicación Oeste de EE. UU. 2. Cada red virtual tiene una etiqueta de networkType que se usa para la pertenencia dinámica. Si ya tiene redes virtuales con las que desea crear una red de malla, puede ir directamente a la sección siguiente.

az network vnet create \
    --name "vnet-00" \
    --resource-group "resource-group" \
    --address-prefix "10.0.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-01" \
    --resource-group "resource-group" \
    --address-prefix "10.1.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-02" \
    --resource-group "resource-group" \
    --address-prefix "10.2.0.0/16" \
    --tags "NetworkType=Prod"

Agregue una subred a cada una de las redes virtuales.

En esta tarea, complete la configuración de las redes virtuales agregando una subred /24 a cada una. Cree una configuración de subred denominada default mediante az network vnet subnet create:

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-00" \
    --address-prefix "10.0.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-01" \
    --address-prefix "10.1.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-02" \
    --address-prefix "10.2.0.0/24"

Definición de pertenencia a una configuración de malla

Azure Virtual Network Manager permite usar dos métodos para agregar pertenencia a un grupo de red. La pertenencia estática implica agregar redes virtuales de forma manual, y la pertenencia dinámica implica el uso de Azure Policy para agregar redes virtuales de manera dinámica en función de las condiciones. Seleccione la opción que desea completar para la pertenencia a la configuración de malla.

Pertenencia manual

Con la pertenencia estática, usted agrega de forma manual tres redes virtuales para la configuración de malla al grupo de red con az network manager group static-member create. Reemplace <subscriptionID> por la suscripción con la que se han creado estas redes virtuales.

az network manager group static-member create \
    --name "vnet-00" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-00"

az network manager group static-member create \
    --name "vnet-01" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-01"

az network manager group static-member create \
    --name "vnet-02" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-02"

Azure Policy

Mediante el uso de Azure Policy, puede agregar dinámicamente las tres redes virtuales con un valor de networkType al grupo de red Prod. Estas tres redes virtuales forman parte de la configuración de malla una vez implementada.

Puede aplicar directivas a una suscripción o a un grupo de administración y siempre debe definirlas en o por encima del nivel en el que las cree. Solo se agregan a un grupo de redes las redes virtuales dentro de un ámbito de directiva.

Crear una definición de directiva

En esta tarea, cree una definición de directiva mediante az policy definition create para redes virtuales etiquetadas como Prod. Reemplace <subscriptionID> por la suscripción a la que desea aplicar esta directiva. Si desea aplicarlo a un grupo de administración, reemplace --subscription <subscriptionID> por --management-group <mgName>.

az policy definition create \
    --name "azure-policy" \
    --description "Choose Prod virtual networks only" \
    --rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"vnet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group\"}}}" \
    --subscription <subscriptionID> \
    --mode "Microsoft.Network.Data"

Aplicar una definición de directiva

En esta tarea, aplicará la directiva creada anteriormente mediante az policy assignment create. Reemplace <subscriptionID> por la suscripción a la que desea aplicar esta directiva. Si desea aplicarla a un grupo de administración, reemplace --scope "/subscriptions/<subscriptionID>" por --scope "/providers/Microsoft.Management/managementGroups/<mgName> y <mgName\> por el grupo de administración.

az policy assignment create \
    --name "azure-policy-assignment" \
    --description "Take only virtual networks tagged NetworkType:Prod" \
    --scope "/subscriptions/<subscriptionID>" \
    --policy "/subscriptions/<subscriptionID>/providers/Microsoft.Authorization/azure-policys/azure-policy"

Creación de una configuración

En esta tarea, cree una configuración de topología de red de malla mediante az network manager connect-config create. Reemplace <subscriptionID> con el Id. de suscripción.

az network manager connect-config create \
    --configuration-name "connectivityconfig" \
    --description "Production Mesh Connectivity Config Example" \
    --applies-to-groups '[{"networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group", "groupConnectivity": "None"}]' \
    --connectivity-topology "Mesh" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group"

Confirmación de la implementación

Para que la configuración surta efecto, confirme la configuración en las regiones de destino mediante az network manager post-commit:

az network manager post-commit \
    --network-manager-name "network-manager" \
    --commit-type "Connectivity" \
    --configuration-ids "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig" \
    --target-locations "westus2" \
    --resource-group "resource-group"

Comprobar la configuración

Las redes virtuales muestran las configuraciones aplicadas a estas al usar az network manager list-effective-connectivity-config:

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-00"

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-01"


az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-02"

En el caso de las redes virtuales que forman parte de la configuración de conectividad, obtendrá un resultado similar al siguiente ejemplo:

{
  "skipToken": "",
  "value": [
    {
      "appliesToGroups": [
        {
          "groupConnectivity": "None",
          "isGlobal": "False",
          "networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "useHubGateway": "False"
        }
      ],
      "configurationGroups": [
        {
          "description": "Network Group for Production virtual networks",
          "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "provisioningState": "Succeeded",
          "resourceGroup": "resource-group"
        }
      ],
      "connectivityTopology": "Mesh",
      "deleteExistingPeering": "False",
      "description": "Production Mesh Connectivity Config Example",
      "hubs": [],
      "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig",
      "isGlobal": "False",
      "provisioningState": "Succeeded",
      "resourceGroup": "resource-group"
    }
  ]
}

Limpieza de recursos

Si ya no necesita la instancia de Azure Virtual Network Manager y otros recursos, elimine el grupo de recursos mediante az group delete:

az group delete \
    --name "resource-group"

Pasos siguientes

En este paso, aprenderá a bloquear el tráfico de red mediante una configuración de administrador de seguridad:

Bloquear el tráfico de red con Azure Virtual Network Manager