Quickstart: Een mesh-netwerktopologie maken met Azure Virtual Network Manager met behulp van de Azure CLI

Ga aan de slag met Azure Virtual Network Manager met behulp van de Azure CLI om connectiviteit voor al uw virtuele netwerken te beheren.

In deze quickstart implementeert u drie virtuele netwerken en gebruikt u Azure Virtual Network Manager om een mesh-netwerktopologie te maken. Vervolgens controleert u of de connectiviteitsconfiguratie is toegepast.

Vereisten

• Een Azure-account met een actief abonnement. Gratis een account maken
• De nieuwste Azure CLI of u kunt Azure Cloud Shell gebruiken in de portal.
• De Azure Virtual Network Manager-extensie. Voer uit az extension add -n virtual-network-managerom het toe te voegen.
• Als u dynamische netwerkgroepen wilt wijzigen, moet u alleen toegang krijgen via Azure RBAC-roltoewijzing . Klassieke beheerder/verouderde autorisatie wordt niet ondersteund.

Aanmelden bij uw Azure-account en uw abonnement selecteren

Meld u aan bij uw Azure-account om de configuratie te starten. Als u de Cloud Shell Try It-functie gebruikt, wordt u automatisch aangemeld.

az login

Selecteer het abonnement waarin Virtual Network Manager is geïmplementeerd:

az account set \
    --subscription "<subscriptionID>"

Werk de Virtual Network Manager-extensie voor Azure CLI bij:

az extension update --name virtual-network-manager

Een brongroep maken

In deze taak maakt u een resourcegroep voor het hosten van een netwerkbeheerexemplaren met behulp van az group create. In dit voorbeeld wordt een resourcegroep met de naam resourcegroep gemaakt op de locatie (VS) - west 2 :

az group create \
    --name "resource-group" \
    --location "westus2"

Een Virtual Network Manager-exemplaar maken

In deze taak definieert u het bereik en het toegangstype voor dit Virtual Network Manager-exemplaar. Maak het bereik met behulp van az network manager create. Vervang de waarde <subscriptionID> door het abonnement waarvoor Virtual Network Manager virtuele netwerken moet beheren. Vervang door <mgName\> de beheergroep die u wilt beheren.

az network manager create \
    --location "westus2" \
    --name "network-manager" \
    --resource-group "resource-group" \
    --scope-accesses "Connectivity" "SecurityAdmin" \
    --network-manager-scopes subscriptions="/subscriptions/<subscriptionID>"

Een netwerkgroep maken

In deze taak maakt u een netwerkgroep met behulp van az network manager group create:

az network manager group create \
    --name "network-group" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group" \
    --description "Network Group for Production virtual networks"

Virtuele netwerken maken

In deze taak maakt u drie virtuele netwerken met az network vnet create. In dit voorbeeld worden virtuele netwerken met de naam drie virtuele netwerken gemaakt op de locatie VS - west 2 . Elk virtueel netwerk heeft een tag die networkType wordt gebruikt voor dynamisch lidmaatschap. Als u al virtuele netwerken hebt waarmee u een mesh-netwerk wilt maken, kunt u doorgaan naar de volgende sectie.

az network vnet create \
    --name "vnet-00" \
    --resource-group "resource-group" \
    --address-prefix "10.0.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-01" \
    --resource-group "resource-group" \
    --address-prefix "10.1.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-02" \
    --resource-group "resource-group" \
    --address-prefix "10.2.0.0/16" \
    --tags "NetworkType=Prod"

Een subnet toevoegen aan elk virtueel netwerk

In deze taak voltooit u de configuratie van de virtuele netwerken door een /24-subnet aan elk netwerk toe te voegen. Maak een subnetconfiguratie met de naam standaard met behulp van az network vnet subnet create:

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-00" \
    --address-prefix "10.0.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-01" \
    --address-prefix "10.1.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-02" \
    --address-prefix "10.2.0.0/24"

Lidmaatschap definiëren voor een mesh-configuratie

Azure Virtual Network Manager biedt twee methoden voor het toevoegen van lidmaatschap aan een netwerkgroep. Statisch lidmaatschap omvat het handmatig toevoegen van virtuele netwerken en dynamisch lidmaatschap omvat het gebruik van Azure Policy om dynamisch virtuele netwerken toe te voegen op basis van voorwaarden. Kies de optie die u wilt voltooien voor uw mesh-configuratielidmaatschap.

Handmatig lidmaatschap

Met behulp van statisch lidmaatschap voegt u handmatig drie virtuele netwerken voor uw mesh-configuratie toe aan uw netwerkgroep via az network manager group static-member create. Vervang <subscriptionID> door het abonnement waarvoor deze virtuele netwerken zijn gemaakt.

az network manager group static-member create \
    --name "vnet-00" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-00"

az network manager group static-member create \
    --name "vnet-01" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-01"

az network manager group static-member create \
    --name "vnet-02" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-02"

Azure Policy

Met behulp van Azure Policy kunt u de drie virtuele netwerken dynamisch toevoegen met een networkType waarde van Prod de netwerkgroep. Deze drie virtuele netwerken worden onderdeel van de mesh-configuratie zodra ze zijn geïmplementeerd.

U kunt beleidsregels toepassen op een abonnement of een beheergroep en u moet deze altijd definiëren op of boven het niveau waarop u ze maakt. Alleen virtuele netwerken binnen een beleidsbereik worden toegevoegd aan een netwerkgroep.

Een beleidsdefinitie maken

In deze taak maakt u een beleidsdefinitie met behulp van az policy definition create for virtual networks tagged as Prod. Vervang <subscriptionID> door het abonnement waarop u dit beleid wilt toepassen. Als u deze wilt toepassen op een beheergroep, vervangt u deze --management-group <mgName>door --subscription <subscriptionID> .

az policy definition create \
    --name "azure-policy" \
    --description "Choose Prod virtual networks only" \
    --rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"vnet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group\"}}}" \
    --subscription <subscriptionID> \
    --mode "Microsoft.Network.Data"

Een beleidsdefinitie toepassen

In deze taak past u het eerder gemaakte beleid toe met az policy assignment create. Vervang <subscriptionID> door het abonnement waarop u dit beleid wilt toepassen. Als u deze wilt toepassen op een beheergroep, vervangt u deze door --scope "/subscriptions/<subscriptionID>" --scope "/providers/Microsoft.Management/managementGroups/<mgName>en vervangt u deze door <mgName\> uw beheergroep.

az policy assignment create \
    --name "azure-policy-assignment" \
    --description "Take only virtual networks tagged NetworkType:Prod" \
    --scope "/subscriptions/<subscriptionID>" \
    --policy "/subscriptions/<subscriptionID>/providers/Microsoft.Authorization/azure-policys/azure-policy"

Een configuratie maken

In deze taak maakt u een mesh-netwerktopologieconfiguratie met behulp van az network manager connect-config create. Vervang door <subscriptionID> uw abonnements-id.

az network manager connect-config create \
    --configuration-name "connectivityconfig" \
    --description "Production Mesh Connectivity Config Example" \
    --applies-to-groups '[{"networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group", "groupConnectivity": "None"}]' \
    --connectivity-topology "Mesh" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group"

De implementatie doorvoeren

Voordat de configuratie van kracht wordt, voert u de configuratie door naar de doelregio's met behulp van az network manager post-commit:

az network manager post-commit \
    --network-manager-name "network-manager" \
    --commit-type "Connectivity" \
    --configuration-ids "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig" \
    --target-locations "westus2" \
    --resource-group "resource-group"

De configuratie controleren

Virtuele netwerken geven configuraties weer die erop zijn toegepast wanneer u az network manager list-effective-connectivity-config gebruikt:

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-00"

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-01"


az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-02"

Voor de virtuele netwerken die deel uitmaken van de connectiviteitsconfiguratie krijgt u uitvoer die vergelijkbaar is met dit voorbeeld:

{
  "skipToken": "",
  "value": [
    {
      "appliesToGroups": [
        {
          "groupConnectivity": "None",
          "isGlobal": "False",
          "networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "useHubGateway": "False"
        }
      ],
      "configurationGroups": [
        {
          "description": "Network Group for Production virtual networks",
          "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "provisioningState": "Succeeded",
          "resourceGroup": "resource-group"
        }
      ],
      "connectivityTopology": "Mesh",
      "deleteExistingPeering": "False",
      "description": "Production Mesh Connectivity Config Example",
      "hubs": [],
      "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig",
      "isGlobal": "False",
      "provisioningState": "Succeeded",
      "resourceGroup": "resource-group"
    }
  ]
}

Resources opschonen

Als u het Exemplaar van Azure Virtual Network Manager en andere resources niet meer nodig hebt, verwijdert u de resourcegroep met behulp van az group delete:

az group delete \
    --name "resource-group"

Volgende stappen

In deze stap leert u hoe u netwerkverkeer blokkeert met behulp van een configuratie van een beveiligingsbeheerder:

Netwerkverkeer blokkeren met Azure Virtual Network Manager