Een cross-tenantverbinding configureren in Azure Virtual Network Manager Preview - CLI

In dit artikel leert u hoe u verbindingen tussen tenants maakt in Azure Virtual Network Manager met behulp van de Azure CLI. Met ondersteuning voor meerdere tenants kunnen organisaties een centrale netwerkbeheerder gebruiken voor het beheren van virtuele netwerken tussen tenants en abonnementen.

Eerst maakt u de bereikverbinding op de centrale netwerkbeheerder. Vervolgens maakt u de netwerkbeheerverbinding op de verbindingstenant en controleert u de verbinding. Ten slotte voegt u virtuele netwerken van verschillende tenants toe en controleert u deze. Nadat u alle taken hebt voltooid, kunt u de resources van andere tenants centraal beheren vanuit uw netwerkbeheerder.

Vereisten

• Twee Azure-tenants met virtuele netwerken die u wilt beheren via Azure Virtual Network Manager. Dit artikel verwijst als volgt naar de tenants:
  • Centrale beheertenant: de tenant waar een Exemplaar van Azure Virtual Network Manager is geïnstalleerd en waar u netwerkgroepen centraal beheert vanuit verbindingen tussen tenants.
  • Doel beheerde tenant: de tenant die virtuele netwerken bevat die moeten worden beheerd. Deze tenant wordt verbonden met de centrale beheertenant.
• Azure Virtual Network Manager geïmplementeerd in de centrale beheertenant.
• Deze machtigingen:
  • De beheerder van de centrale beheertenant heeft een gastaccount in de beheerde doeltenant.
  • Het gastaccount van de beheerder heeft machtigingen voor netwerkbijdrager toegepast op het juiste bereikniveau (beheergroep, abonnement of virtueel netwerk).

Hulp nodig bij het instellen van machtigingen? Bekijk hoe u gastgebruikers toevoegt in Azure Portal en hoe u gebruikersrollen toewijst aan resources in Azure Portal.

Een bereikverbinding maken binnen een netwerkbeheerder

Het maken van de bereikverbinding begint op de centrale beheertenant met een netwerkbeheerder die is geïmplementeerd. Dit is de netwerkbeheerder waar u van plan bent om al uw resources in tenants te beheren.

In deze taak stelt u een bereikverbinding in om een abonnement toe te voegen vanuit een doeltenant. U gebruikt de abonnements-id en tenant-id van de doelnetwerkbeheerder. Als u een beheergroep wilt gebruiken, wijzigt u het argument zodat het –resource-id er als volgt /providers/Microsoft.Management/managementGroups/{mgId}uitziet.

# Create a scope connection in the network manager in the central management tenant
az network manager scope-connection create --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" --description "This is a connection to manage resources in the target managed tenant" --resource-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" --tenant-id "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Een netwerkbeheerverbinding maken voor een abonnement in een andere tenant

Nadat u de bereikverbinding hebt gemaakt, schakelt u over naar uw doeltenant voor de netwerkbeheerverbinding. In deze taak verbindt u de doeltenant met de bereikverbinding die u eerder hebt gemaakt. U controleert ook de verbindingsstatus.

1. Voer de volgende opdracht in om verbinding te maken met de doelbeheertenant met behulp van uw beheerdersaccount:

   
   # Log in to the target managed tenant
   # Change the --tenant value to the appropriate tenant ID
   az login --tenant "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   

   U moet verificatie met uw organisatie voltooien op basis van het beleid van uw organisatie.

2. Voer de volgende opdrachten in om het abonnement in te stellen en de verbinding tussen tenants op de centrale beheertenant te maken. Het abonnement is hetzelfde als het abonnement waarnaar in de vorige stap wordt verwezen.

   # Set the Azure subscription
   az account set --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
   
   
   # Create a cross-tenant connection to the central management tenant
   az network manager connection subscription create --connection-name "toCentralManagementTenant" --description "This connection allows management of the tenant by a central management tenant" --network-manager-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRG/providers/Microsoft.Network/networkManagers/myAVNM"
   

De verbindingsstatus controleren

1. Voer de volgende opdracht in om de verbindingsstatus te controleren:

   # Check connection status
   az network manager connection subscription show --name "toCentralManagementTenant"
   

2. Ga terug naar de centrale beheertenant. Gebruik de show opdracht voor de netwerkbeheerder om het abonnement weer te geven dat is toegevoegd via de eigenschap voor meerdere tenantbereiken:

   # View the subscription added to the network manager
   az network manager show --resource-group myAVNMResourceGroup --name myAVNM
   

Statische leden toevoegen aan een netwerkgroep

In deze taak voegt u een virtueel netwerk tussen tenants toe aan uw netwerkgroep met behulp van statisch lidmaatschap. In de volgende opdracht is het abonnement op het virtuele netwerk hetzelfde als het abonnement waarnaar u hebt verwezen toen u eerder verbindingen hebt gemaakt.

# Create a network group with a static member from the target managed tenant
az network manager group static-member create --network-group-name "CrossTenantNetworkGroup" --network-manager-name "myAVNM" --resource-group "myAVNMResourceGroup" --static-member-name "targetVnet01" --resource-id="/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
/resourceGroups/myScopeAVNM/providers/Microsoft.Network/virtualNetworks/targetVnet01"

Netwerkbeheerconfiguraties verwijderen

Nu het virtuele netwerk zich in de netwerkgroep bevindt, worden configuraties toegepast. Als u het statische lid of de resources voor meerdere tenants wilt verwijderen, gebruikt u de bijbehorende delete opdrachten:

# Delete the static member group
az network manager group static-member delete --network-group-name  "CrossTenantNetworkGroup" --network-manager-name " myAVNM" --resource-group "myRG" --static-member-name "targetVnet01” 

# Delete scope connections
az network manager scope-connection delete --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" 

# Switch to a managed tenant if needed 
az network manager connection subscription delete --name "toCentralManagementTenant"  

Volgende stappen

• Meer informatie over beveiligingsbeheerdersregels.

• Meer informatie over het maken van een mesh-netwerktopologie met Azure Virtual Network Manager met behulp van Azure Portal.

• Bekijk de veelgestelde vragen over Azure Virtual Network Manager.