Configurare una connessione tra tenant nell'anteprima di Azure Rete virtuale Manager - Interfaccia della riga di comando

Questo articolo illustra come creare connessioni tra tenant in Azure Rete virtuale Manager usando l'interfaccia della riga di comando di Azure. Il supporto tra tenant consente alle organizzazioni di usare un gestore di rete centrale per la gestione delle reti virtuali tra tenant e sottoscrizioni.

Prima di tutto, si creerà la connessione dell'ambito nel gestore di rete centrale. Si creerà quindi la connessione di gestione rete nel tenant di connessione e si verificherà la connessione. Infine, si aggiungeranno reti virtuali da tenant diversi e si verificherà. Dopo aver completato tutte le attività, è possibile gestire centralmente le risorse di altri tenant dal gestore di rete.

Prerequisiti

• Due tenant di Azure con reti virtuali da gestire tramite Azure Rete virtuale Manager. Questo articolo fa riferimento ai tenant come indicato di seguito:
  • Tenant di gestione centrale: tenant in cui è installata un'istanza di Azure Rete virtuale Manager e in cui si gestiranno centralmente i gruppi di rete dalle connessioni tra tenant.
  • Tenant gestito di destinazione: tenant che contiene reti virtuali da gestire. Questo tenant verrà connesso al tenant di gestione centrale.
• Azure Rete virtuale Manager distribuito nel tenant di gestione centrale.
• Queste autorizzazioni:
  • L'amministratore del tenant di gestione centrale ha un account guest nel tenant gestito di destinazione.
  • L'account guest amministratore dispone delle autorizzazioni Collaboratore rete applicate a livello di ambito appropriato (gruppo di gestione, sottoscrizione o rete virtuale).

Serve aiuto per la configurazione delle autorizzazioni? Vedere come aggiungere utenti guest nel portale di Azure e come assegnare ruoli utente alle risorse nel portale di Azure.

Creare una connessione di ambito all'interno di un gestore di rete

La creazione della connessione di ambito inizia nel tenant di gestione centrale con un gestore di rete distribuito. Si tratta del gestore di rete in cui si prevede di gestire tutte le risorse tra i tenant.

In questa attività viene configurata una connessione di ambito per aggiungere una sottoscrizione da un tenant di destinazione. Si useranno l'ID sottoscrizione e l'ID tenant del gestore di rete di destinazione. Se si vuole usare un gruppo di gestione, modificare l'argomento –resource-id in modo che sia simile /providers/Microsoft.Management/managementGroups/{mgId}a .

# Create a scope connection in the network manager in the central management tenant
az network manager scope-connection create --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" --description "This is a connection to manage resources in the target managed tenant" --resource-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" --tenant-id "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Creare una connessione di gestione di rete in una sottoscrizione in un altro tenant

Dopo aver creato la connessione dell'ambito, passare al tenant di destinazione per la connessione di gestione rete. In questa attività si connette il tenant di destinazione alla connessione dell'ambito creata in precedenza. È anche possibile verificare lo stato della connessione.

1. Immettere il comando seguente per connettersi al tenant gestito di destinazione usando l'account amministrativo:

   
   # Log in to the target managed tenant
   # Change the --tenant value to the appropriate tenant ID
   az login --tenant "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   

   È necessario completare l'autenticazione con l'organizzazione, in base ai criteri dell'organizzazione.

2. Immettere i comandi seguenti per impostare la sottoscrizione e creare la connessione tra tenant nel tenant di gestione centrale. La sottoscrizione corrisponde a quella a cui fa riferimento la connessione nel passaggio precedente.

   # Set the Azure subscription
   az account set --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
   
   
   # Create a cross-tenant connection to the central management tenant
   az network manager connection subscription create --connection-name "toCentralManagementTenant" --description "This connection allows management of the tenant by a central management tenant" --network-manager-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRG/providers/Microsoft.Network/networkManagers/myAVNM"
   

Verificare lo stato della connessione

1. Immettere il comando seguente per controllare lo stato della connessione:

   # Check connection status
   az network manager connection subscription show --name "toCentralManagementTenant"
   

2. Tornare al tenant di gestione centrale. Usare il show comando per gestione di rete per visualizzare la sottoscrizione aggiunta tramite la proprietà per gli ambiti tra tenant:

   # View the subscription added to the network manager
   az network manager show --resource-group myAVNMResourceGroup --name myAVNM
   

Aggiungere membri statici a un gruppo di rete

In questa attività si aggiunge una rete virtuale tra tenant al gruppo di rete usando l'appartenenza statica. Nel comando seguente, la sottoscrizione di rete virtuale corrisponde a quella a cui si fa riferimento quando sono state create le connessioni in precedenza.

# Create a network group with a static member from the target managed tenant
az network manager group static-member create --network-group-name "CrossTenantNetworkGroup" --network-manager-name "myAVNM" --resource-group "myAVNMResourceGroup" --static-member-name "targetVnet01" --resource-id="/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
/resourceGroups/myScopeAVNM/providers/Microsoft.Network/virtualNetworks/targetVnet01"

Eliminare le configurazioni di Gestione rete

Ora che la rete virtuale si trova nel gruppo di rete, vengono applicate le configurazioni. Per rimuovere il membro statico o le risorse tra tenant, usare i comandi corrispondenti delete :

# Delete the static member group
az network manager group static-member delete --network-group-name  "CrossTenantNetworkGroup" --network-manager-name " myAVNM" --resource-group "myRG" --static-member-name "targetVnet01” 

# Delete scope connections
az network manager scope-connection delete --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" 

# Switch to a managed tenant if needed 
az network manager connection subscription delete --name "toCentralManagementTenant"  

Passaggi successivi

• Altre informazioni sulle regole di amministrazione della sicurezza.

• Informazioni su come creare una topologia di rete mesh con Azure Rete virtuale Manager usando il portale di Azure.

• Vedere le domande frequenti su Azure Rete virtuale Manager.