Avvio rapido: Creare una topologia di rete mesh con Azure Rete virtuale Manager usando l'interfaccia della riga di comando di Azure

Introduzione ad Azure Rete virtuale Manager usando l'interfaccia della riga di comando di Azure per gestire la connettività per tutte le reti virtuali.

In questa guida di avvio rapido, si distribuiscono tre reti virtuali e si usa Gestione rete virtuale di Azure per creare una topologia di rete mesh. Si verifica quindi che la configurazione della connettività sia stata applicata.

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
• L'interfaccia della riga di comando di Azure più recente oppure è possibile usare Azure Cloud Shell nel portale.
• Estensione azure Rete virtuale Manager. Per aggiungerlo, eseguire az extension add -n virtual-network-manager.
• Per modificare i gruppi di rete dinamici, è necessario che sia stato concesso l'accesso solo tramite l'assegnazione di ruolo Controllo degli accessi in base al ruolo di Azure. L'autorizzazione di amministratore/legacy classica non è supportata.

Accedere al proprio account Azure e selezionare la sottoscrizione

Per iniziare la configurazione, accedere al proprio account Azure. Se si usa la funzionalità Prova di Cloud Shell, si è connessi automaticamente.

az login

Selezionare la sottoscrizione in cui viene distribuito Rete virtuale Manager:

az account set \
    --subscription "<subscriptionID>"

Aggiornare l'estensione Rete virtuale Manager per l'interfaccia della riga di comando di Azure:

az extension update --name virtual-network-manager

Creare un gruppo di risorse

In questa attività si crea un gruppo di risorse per ospitare un'istanza di Network Manager usando az group create. Questo esempio crea un gruppo di risorse denominato gruppo di risorse nella località (Stati Uniti occidentali 2):

az group create \
    --name "resource-group" \
    --location "westus2"

Creare un'istanza di Gestione reti virtuali

In questa attività definire l'ambito e il tipo di accesso per questa istanza di Rete virtuale Manager. Creare l'ambito usando az network manager create. Sostituire il valore <subscriptionID> con la sottoscrizione per cui si vuole che Rete virtuale Manager gestisca le reti virtuali. Sostituire <mgName\> con il gruppo di gestione che si vuole gestire.

az network manager create \
    --location "westus2" \
    --name "network-manager" \
    --resource-group "resource-group" \
    --scope-accesses "Connectivity" "SecurityAdmin" \
    --network-manager-scopes subscriptions="/subscriptions/<subscriptionID>"

Creare un gruppo di rete

In questa attività creare un gruppo di rete usando az network manager group create:

az network manager group create \
    --name "network-group" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group" \
    --description "Network Group for Production virtual networks"

Creare reti virtuali

In questa attività creare tre reti virtuali usando az network vnet create. In questo esempio vengono create reti virtuali denominate tre virtuali nella località Stati Uniti occidentali 2 . Ogni rete virtuale ha un tag usato networkType per l'appartenenza dinamica. Se si dispone già di reti virtuali con cui si vuole creare una rete mesh, è possibile passare alla sezione successiva.

az network vnet create \
    --name "vnet-00" \
    --resource-group "resource-group" \
    --address-prefix "10.0.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-01" \
    --resource-group "resource-group" \
    --address-prefix "10.1.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-02" \
    --resource-group "resource-group" \
    --address-prefix "10.2.0.0/16" \
    --tags "NetworkType=Prod"

Aggiungere una subnet a ogni rete virtuale

In questa attività completare la configurazione delle reti virtuali aggiungendo una subnet /24 a ognuna di esse. Creare una configurazione della subnet denominata default usando az network vnet subnet create:

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-00" \
    --address-prefix "10.0.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-01" \
    --address-prefix "10.1.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-02" \
    --address-prefix "10.2.0.0/24"

Definire l'appartenenza per una configurazione mesh

Azure Rete virtuale Manager consente due metodi per aggiungere l'appartenenza a un gruppo di rete. L'appartenenza statica comporta l'aggiunta manuale di reti virtuali e l'appartenenza dinamica comporta l'uso di Criteri di Azure per aggiungere in modo dinamico reti virtuali in base alle condizioni. Scegliere l'opzione da completare per l'appartenenza alla configurazione mesh.

Appartenenza manuale

Usando l'appartenenza statica, si aggiungono manualmente tre reti virtuali per la configurazione mesh al gruppo di rete tramite az network manager group static-member create. Sostituire <subscriptionID> con la sottoscrizione in cui sono state create queste reti virtuali.

az network manager group static-member create \
    --name "vnet-00" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-00"

az network manager group static-member create \
    --name "vnet-01" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-01"

az network manager group static-member create \
    --name "vnet-02" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-02"

Criteri di Azure

Usando Criteri di Azure, è possibile aggiungere dinamicamente le tre reti virtuali con un networkType valore di al gruppo di Prod rete. Queste tre reti virtuali diventano parte della configurazione mesh dopo la distribuzione.

È possibile applicare criteri a una sottoscrizione o a un gruppo di gestione ed è necessario definirli sempre al di sopra del livello in cui vengono creati. Solo le reti virtuali all'interno di un ambito dei criteri vengono aggiunte a un gruppo di rete.

Creare una definizione di criteri

In questa attività creare una definizione di criteri usando az policy definition create per le reti virtuali contrassegnate come Prod. Sostituire <subscriptionID> con la sottoscrizione a cui si vuole applicare questo criterio. Se si vuole applicarlo a un gruppo di gestione, sostituire --subscription <subscriptionID> con --management-group <mgName>.

az policy definition create \
    --name "azure-policy" \
    --description "Choose Prod virtual networks only" \
    --rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"vnet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group\"}}}" \
    --subscription <subscriptionID> \
    --mode "Microsoft.Network.Data"

Applicare una definizione di criteri

In questa attività si applicano i criteri creati in precedenza usando az policy assignment create. Sostituire <subscriptionID> con la sottoscrizione a cui si vuole applicare questo criterio. Se si vuole applicarlo a un gruppo di gestione, sostituire --scope "/subscriptions/<subscriptionID>" con --scope "/providers/Microsoft.Management/managementGroups/<mgName>e sostituire <mgName\> con il gruppo di gestione.

az policy assignment create \
    --name "azure-policy-assignment" \
    --description "Take only virtual networks tagged NetworkType:Prod" \
    --scope "/subscriptions/<subscriptionID>" \
    --policy "/subscriptions/<subscriptionID>/providers/Microsoft.Authorization/azure-policys/azure-policy"

Creare una configurazione

In questa attività creare una configurazione della topologia di rete mesh usando az network manager connect-config create. Sostituire <subscriptionID> con l'ID della sottoscrizione.

az network manager connect-config create \
    --configuration-name "connectivityconfig" \
    --description "Production Mesh Connectivity Config Example" \
    --applies-to-groups '[{"networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group", "groupConnectivity": "None"}]' \
    --connectivity-topology "Mesh" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group"

Eseguire il commit della distribuzione

Per rendere effettiva la configurazione, eseguire il commit della configurazione nelle aree di destinazione usando az network manager post-commit:

az network manager post-commit \
    --network-manager-name "network-manager" \
    --commit-type "Connectivity" \
    --configuration-ids "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig" \
    --target-locations "westus2" \
    --resource-group "resource-group"

Verificare la configurazione

Le reti virtuali visualizzano le configurazioni applicate quando si usa az network manager list-effective-connectivity-config:

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-00"

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-01"


az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-02"

Per le reti virtuali che fanno parte della configurazione della connettività, si ottiene un output simile a questo esempio:

{
  "skipToken": "",
  "value": [
    {
      "appliesToGroups": [
        {
          "groupConnectivity": "None",
          "isGlobal": "False",
          "networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "useHubGateway": "False"
        }
      ],
      "configurationGroups": [
        {
          "description": "Network Group for Production virtual networks",
          "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "provisioningState": "Succeeded",
          "resourceGroup": "resource-group"
        }
      ],
      "connectivityTopology": "Mesh",
      "deleteExistingPeering": "False",
      "description": "Production Mesh Connectivity Config Example",
      "hubs": [],
      "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig",
      "isGlobal": "False",
      "provisioningState": "Succeeded",
      "resourceGroup": "resource-group"
    }
  ]
}

Pulire le risorse

Se l'istanza di Azure Rete virtuale Manager e altre risorse non sono più necessarie, eliminare il gruppo di risorse usando az group delete:

az group delete \
    --name "resource-group"

Passaggi successivi

In questo passaggio si apprenderà come bloccare il traffico di rete usando una configurazione di amministratore della sicurezza:

Bloccare il traffico di rete con gestione rete virtuale di Azure