Configurer une connexion multilocataire dans Azure Virtual Network Manager (préversion) - CLI

Dans cet article, vous allez découvrir comment créer des connexions multilocataires dans Azure Virtual Network Manager en utilisant l’interface Azure CLI. La prise en charge multilocataire permet aux organisations d’utiliser un gestionnaire de réseau central pour gérer les réseaux virtuels entre différents locataires et abonnements.

Tout d’abord, vous allez créer la connexion d’étendue sur le gestionnaire de réseau central. Ensuite, vous allez créer la connexion du gestionnaire de réseau sur le locataire de connexion et vérifier la connexion. Pour finir, vous ajouterez des réseaux virtuels de différents locataires et vous procéderez aux vérifications. Une fois que vous aurez terminé toutes les tâches, vous pourrez gérer de manière centralisée les ressources d’autres locataires à partir de votre gestionnaire de réseau.

Prérequis

• Deux locataires Azure avec des réseaux virtuels que vous souhaitez gérer via Azure Réseau virtuel Manager. Cet article fait référence aux locataires comme suit :
  • Locataire de gestion centrale : locataire où une instance Azure Virtual Network Manager est installée, et vous allez gérer de manière centralisée les groupes réseau à partir de connexions entre locataires.
  • Locataire géré cible : locataire contenant des réseaux virtuels à gérer. Ce locataire est connecté au locataire de gestion centrale.
• Azure Virtual Network Manager déployé dans le locataire de gestion centrale.
• Ces autorisations :
  • L’administrateur du locataire de gestion centrale dispose d’un compte invité dans le locataire managé cible.
  • Le compte invité administrateur dispose des autorisations Contributeur réseau appliquées au niveau de l’étendue appropriée (groupe d’administration, abonnement ou réseau virtuel).

Vous avez besoin d’aide pour configurer des autorisations ? Découvrez comment ajouter des utilisateurs invités dans le portail Azure et comment attribuer des rôles d’utilisateur aux ressources dans le portail Azure.

Créer une connexion d’étendue dans le gestionnaire de réseau

La création de la connexion d’étendue commence sur le locataire de gestion centrale avec un gestionnaire de réseau déployé. Il s’agit du gestionnaire de réseau dans lequel vous envisagez de gérer toutes vos ressources entre les locataires.

Dans cette tâche, vous configurez une connexion d’étendue pour ajouter un abonnement à partir d’un locataire cible. Vous utiliserez l’ID d’abonnement et l’ID de tenant du gestionnaire de réseau cible. Si vous souhaitez utiliser un groupe d’administration, modifiez l’argument –resource-id pour obtenir à peu près ceci : /providers/Microsoft.Management/managementGroups/{mgId}.

# Create a scope connection in the network manager in the central management tenant
az network manager scope-connection create --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" --description "This is a connection to manage resources in the target managed tenant" --resource-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" --tenant-id "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Créer une connexion de gestionnaire de réseau sur l’abonnement dans d’autres locataires

Après avoir créé la connexion d’étendue, vous basculez vers votre locataire cible pour la connexion du gestionnaire de réseau. Dans cette tâche, vous connectez le locataire cible à la connexion d’étendue que vous avez créée précédemment. Vérifiez aussi l’état de la connexion.

1. Entrez la commande suivante pour vous connecter au locataire managé cible avec les informations de votre compte d’administration :

   
   # Log in to the target managed tenant
   # Change the --tenant value to the appropriate tenant ID
   az login --tenant "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   

   Vous devez vous authentifier auprès de votre organisation, conformément aux stratégies mises en place par votre organisation.

2. Entrez les commandes suivantes pour définir l’abonnement et créer la connexion multilocataire sur le locataire de gestion centrale. L’abonnement est identique à celui référencé par la connexion à l’étape précédente.

   # Set the Azure subscription
   az account set --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
   
   
   # Create a cross-tenant connection to the central management tenant
   az network manager connection subscription create --connection-name "toCentralManagementTenant" --description "This connection allows management of the tenant by a central management tenant" --network-manager-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRG/providers/Microsoft.Network/networkManagers/myAVNM"
   

Vérifiez l’état de la connexion

1. Entrez la commande suivante pour vérifier l’état de la connexion :

   # Check connection status
   az network manager connection subscription show --name "toCentralManagementTenant"
   

2. Revenez au locataire de gestion centrale. Utilisez la commande show pour que le gestionnaire de réseau affiche l’abonnement qui a été ajouté via la propriété pour les étendues multilocataires :

   # View the subscription added to the network manager
   az network manager show --resource-group myAVNMResourceGroup --name myAVNM
   

Ajouter des membres statiques à un groupe réseau

Dans cette tâche, vous ajoutez un réseau virtuel multilocataire à votre groupe réseau en utilisant une appartenance statique. Dans la commande suivante, l’abonnement du réseau virtuel est identique à celui que vous avez référencé lorsque vous avez créé les connexions précédemment.

# Create a network group with a static member from the target managed tenant
az network manager group static-member create --network-group-name "CrossTenantNetworkGroup" --network-manager-name "myAVNM" --resource-group "myAVNMResourceGroup" --static-member-name "targetVnet01" --resource-id="/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
/resourceGroups/myScopeAVNM/providers/Microsoft.Network/virtualNetworks/targetVnet01"

Supprimer les configurations du gestionnaire de réseau

Maintenant que le réseau virtuel se trouve dans le groupe réseau, les configurations sont appliquées. Pour supprimer les ressources multilocataires ou de membres statiques, utilisez les commandes delete correspondantes :

# Delete the static member group
az network manager group static-member delete --network-group-name  "CrossTenantNetworkGroup" --network-manager-name " myAVNM" --resource-group "myRG" --static-member-name "targetVnet01” 

# Delete scope connections
az network manager scope-connection delete --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" 

# Switch to a managed tenant if needed 
az network manager connection subscription delete --name "toCentralManagementTenant"  

Étapes suivantes

• Découvrez-en plus sur les règles d’administration de la sécurité.

• Découvrez comment créer une topologie de réseau maillé avec Azure Virtual Network Manager en utilisant le portail Azure.

• Consultez la FAQ sur Azure Virtual Network Manager.