Démarrage rapide : Créer une topologie de réseau maillé avec Azure Virtual Network Manager en utilisant Azure CLI

Démarrez avec Azure Virtual Network Manager en utilisant Azure CLI pour gérer la connectivité de tous vos réseaux virtuels.

Dans ce guide de démarrage rapide, vous déployez trois réseaux virtuels et utiliser le gestionnaire de réseau virtuel Azure pour créer une topologie de réseau maillé. Vous vérifiez ensuite que la configuration de la connectivité a été appliquée.

Prérequis

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.
• Le dernier Azure CLI sinon vous pouvez utiliser Azure Cloud Shell dans le portail.
• L’extension Azure Virtual Network Manager. Pour l’ajouter, exécutez az extension add -n virtual-network-manager.
• Pour modifier les groupes dynamiques AVNM, vous devez vous voir accorder l’accès via l’attribution de rôle RBAC Azure uniquement. L’autorisation Administration/héritée classique n’est pas prise en charge.

Vous connecter à votre compte Azure et sélectionner votre abonnement

Pour commencer votre configuration, connectez-vous à votre compte Azure. Si vous utilisez l’option Essayer, vous êtes connecté automatiquement.

az login

Sélectionnez l’abonnement dans lequel le gestionnaire de réseau virtuel est déployé :

az account set \
    --subscription "<subscriptionID>"

Mettez à jour l’extension Virtual Network Manager pour Azure CLI :

az extension update --name virtual-network-manager

Créer un groupe de ressources

Dans cette tâche, vous créez un groupe de ressources pour héberger une instance de Network Manager à l’aide de az group create. Cet exemple crée un groupe de ressources nommé resource-group à l’emplacement USA Ouest 2 :

az group create \
    --name "resource-group" \
    --location "westus2"

Créer une instance Virtual Network Manager

Dans cette tâche, définissez l’étendue et le type d’accès pour cette instance de Virtual Network Manager. Créez l’étendue à l’aide de la commande az network manager create. Remplacez la valeur <subscriptionID> par l’abonnement pour lequel vous souhaitez que Virtual Network Manager gère les réseaux virtuels. Remplacez par <mgName\> le groupe d’administration que vous souhaitez gérer.

az network manager create \
    --location "westus2" \
    --name "network-manager" \
    --resource-group "resource-group" \
    --scope-accesses "Connectivity" "SecurityAdmin" \
    --network-manager-scopes subscriptions="/subscriptions/<subscriptionID>"

Créer un groupe réseau

Dans cette tâche, créez un groupe réseau à l’aide de az network manager group create :

az network manager group create \
    --name "network-group" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group" \
    --description "Network Group for Production virtual networks"

Créer des réseaux virtuels

Dans cette tâche, créez trois réseaux virtuels à l’aide de az network vnet create. Cet exemple crée trois réseaux virtuels à l’emplacement USA Ouest 2. Chaque réseau virtuel a une étiquette networkType utilisée pour l’appartenance dynamique. Si vous avez déjà des réseaux virtuels avec lesquels vous souhaitez créer un réseau maillé, vous pouvez passer à la section suivante.

az network vnet create \
    --name "vnet-00" \
    --resource-group "resource-group" \
    --address-prefix "10.0.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-01" \
    --resource-group "resource-group" \
    --address-prefix "10.1.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-02" \
    --resource-group "resource-group" \
    --address-prefix "10.2.0.0/16" \
    --tags "NetworkType=Prod"

Ajoutez un sous-réseau au réseau virtuel

Dans cette tâche, configurez les réseaux virtuels en ajoutant un sous-réseau /24 à chacun d’eux. Créez une configuration de sous-réseau nommée default avec la commande az network vnet subnet create :

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-00" \
    --address-prefix "10.0.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-01" \
    --address-prefix "10.1.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-02" \
    --address-prefix "10.2.0.0/24"

Définir l’appartenance pour une configuration de maillage

Azure Virtual Network Manager met à votre disposition deux méthodes pour ajouter l’appartenance à un groupe de réseaux. L’appartenance statique implique l’ajout manuel de réseaux virtuels, tandis que l’appartenance dynamique implique l’utilisation d’Azure Policy pour ajouter dynamiquement des réseaux virtuels en fonction de conditions. Choisissez l’option d’appartenance que vous souhaitez utiliser pour votre configuration de maillage.

Appartenance manuelle

En utilisant l’appartenance statique, vous ajoutez manuellement 3 réseaux virtuels à votre groupe de réseaux pour votre configuration de maillage via az network manager group static-member create. Remplacer <subscriptionID> avec l’abonnement qui a été utilisé pour créer ces réseaux virtuels.

az network manager group static-member create \
    --name "vnet-00" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-00"

az network manager group static-member create \
    --name "vnet-01" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-01"

az network manager group static-member create \
    --name "vnet-02" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-02"

Azure Policy

En utilisant Azure Policy, vous pouvez ajouter dynamiquement les trois réseaux virtuels avec une networkType valeur de Prod au groupe réseau. Ces trois réseaux virtuels font partie de la configuration de maillage une fois qu’ils ont été déployés.

Vous pouvez appliquer des stratégies à un abonnement ou à un groupe d’administration, et vous devez toujours les définir au niveau où vous les créez ou au-delà . Seuls les réseaux virtuels au sein d’une étendue de stratégie sont ajoutés à un groupe de réseaux.

Créer une définition de stratégie

Dans cette tâche, créez une définition de stratégie à l’aide de az policy definition create pour les réseaux virtuels portant la balise Prod. Remplacez par <subscriptionID> l’abonnement auquel vous souhaitez appliquer cette stratégie. Si vous souhaitez l’appliquer à un groupe d’administration, remplacez --subscription <subscriptionID> par --management-group <mgName>.

az policy definition create \
    --name "azure-policy" \
    --description "Choose Prod virtual networks only" \
    --rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"vnet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group\"}}}" \
    --subscription <subscriptionID> \
    --mode "Microsoft.Network.Data"

Appliquer une définition de stratégie

Dans cette tâche, vous appliquez la stratégie créée plus tôt à l’aide de az policy assignment create. Remplacez par <subscriptionID> l’abonnement auquel vous souhaitez appliquer cette stratégie. Si vous souhaitez l’appliquer à un groupe d’administration, remplacez --scope "/subscriptions/<subscriptionID>" par --scope "/providers/Microsoft.Management/managementGroups/<mgName> et remplacez <mgName\> par votre groupe d’administration.

az policy assignment create \
    --name "azure-policy-assignment" \
    --description "Take only virtual networks tagged NetworkType:Prod" \
    --scope "/subscriptions/<subscriptionID>" \
    --policy "/subscriptions/<subscriptionID>/providers/Microsoft.Authorization/azure-policys/azure-policy"

Créer une configuration

Dans cette tâche, créez une configuration de topologie de réseau maillé à l’aide de az network manager connect-config create. Remplacez <subscriptionID> par votre ID d’abonnement.

az network manager connect-config create \
    --configuration-name "connectivityconfig" \
    --description "Production Mesh Connectivity Config Example" \
    --applies-to-groups '[{"networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group", "groupConnectivity": "None"}]' \
    --connectivity-topology "Mesh" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group"

Valider le déploiement

Pour que la configuration prenne effet, validez-la auprès des régions cibles en utilisant az network manager post-commit :

az network manager post-commit \
    --network-manager-name "network-manager" \
    --commit-type "Connectivity" \
    --configuration-ids "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig" \
    --target-locations "westus2" \
    --resource-group "resource-group"

Vérifier la configuration

az network manager list-effective-connectivity-config permet d’afficher les configurations appliquées aux réseaux virtuels :

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-00"

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-01"


az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-02"

Pour les réseaux virtuels qui font partie de la configuration de la connectivité, vous recevez une sortie similaire à cet exemple :

{
  "skipToken": "",
  "value": [
    {
      "appliesToGroups": [
        {
          "groupConnectivity": "None",
          "isGlobal": "False",
          "networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "useHubGateway": "False"
        }
      ],
      "configurationGroups": [
        {
          "description": "Network Group for Production virtual networks",
          "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "provisioningState": "Succeeded",
          "resourceGroup": "resource-group"
        }
      ],
      "connectivityTopology": "Mesh",
      "deleteExistingPeering": "False",
      "description": "Production Mesh Connectivity Config Example",
      "hubs": [],
      "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig",
      "isGlobal": "False",
      "provisioningState": "Succeeded",
      "resourceGroup": "resource-group"
    }
  ]
}

Nettoyer les ressources

Si vous n’avez plus besoin de l’instance d’Azure Virtual Network Manager ni d’autres ressources, supprimez le groupe de ressources à l’aide de az group delete :

az group delete \
    --name "resource-group"

Étapes suivantes

Au cours de cette étape, vous allez découvrir comment bloquer le trafic réseau à l’aide d’une configuration d’administrateur de la sécurité :

Bloquer le trafic réseau virtuel avec Azure Virtual Network Manager