Konfigurowanie grup sieci za pomocą usługi Azure Policy w usłudze Azure Virtual Network Manager
Z tego artykułu dowiesz się, jak usługa Azure Policy jest używana w usłudze Azure Virtual Network Manager do definiowania dynamicznego członkostwa w grupie sieci. Dynamiczne grupy sieciowe umożliwiają tworzenie skalowalnych i dynamicznie dostosowujących się środowisk sieci wirtualnych w organizacji.
Omówienie zasad platformy Azure
Usługa Azure Policy ocenia zasoby na platformie Azure, porównując właściwości tych zasobów z regułami biznesowymi. Te reguły biznesowe, opisane w formacie JSON, są nazywane definicjami zasad. Po utworzeniu reguł biznesowych definicja zasad jest przypisywana do dowolnego zakresu zasobów, które pomoc techniczna platformy Azure, takich jak grupy zarządzania, subskrypcje, grupy zasobów lub poszczególne zasoby. Przypisanie dotyczy wszystkich zasobów w zakresie usługi Resource Manager tego przypisania. Dowiedz się więcej o użyciu zakresu z zakresem w usłudze Azure Policy.
Uwaga
Usługa Azure Policy jest używana tylko do definicji dynamicznego członkostwa w grupie sieci.
Definicja zasad grupy sieciowej
Tworzenie i implementowanie zasad w usłudze Azure Policy rozpoczyna się od utworzenia zasobu definicji zasad. Każda definicja zasad ma warunki wymuszania i zdefiniowany efekt, który ma miejsce w przypadku spełnienia warunków.
W przypadku grup sieci definicja zasad zawiera wyrażenie warunkowe do dopasowywania sieci wirtualnych spełniających kryteria i określa docelową grupę sieci, w której znajdują się pasujące zasoby. addToNetworkGroup Efekt jest używany do umieszczania zasobów w docelowej grupie sieci. Oto przykład definicji reguły zasad z addToNetworkGroup efektem. Dla wszystkich zasad mode niestandardowych właściwość jest ustawiona na Microsoft.Network.Data docelową dostawcę zasobów grupy sieci i jest wymagana do utworzenia definicji zasad dla usługi Azure Virtual Network Manager.
"mode": "Microsoft.Network.Data",
"policyRule": {
"if": {
"allOf": [
{
"field": "Name",
"contains": "-gen"
}
]
},
"then": {
"effect": "addToNetworkGroup",
"details": {
"networkGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
}
}
}
Ważne
Podczas definiowania zasad networkGroupId element musi być pełnym identyfikatorem zasobu docelowej grupy sieciowej, jak pokazano w przykładowej definicji. Nie obsługuje parametryzacji w definicji zasad. Jeśli musisz sparametryzować grupę sieci, możesz użyć szablonu usługi Azure Resource Manager, aby utworzyć definicję i przypisanie zasad.
Gdy usługa Azure Policy jest używana z usługą Azure Virtual Network Manager, zasady dotyczą właściwości Microsoft.Network.DataDostawcy zasobów . W związku z tym należy określić typ zasad Custom w definicji zasad. Podczas tworzenia zasad w celu dynamicznego dodawania członków w menedżerze sieci wirtualnej jest ona stosowana automatycznie po utworzeniu zasad. Musisz wybrać custom tylko podczas tworzenia nowej definicji zasad za pomocą usługi Azure Policy lub innych narzędzi poza pulpitem nawigacyjnym menedżera sieci wirtualnej.
Oto przykład definicji zasad z właściwością ustawioną policyType na Custom.
"properties": {
"displayName": "myProdAVNM",
"policyType": "Custom",
"mode": "Microsoft.Network.Data",
"metadata": {
"category": "Azure Virtual Network Manager",
"createdBy": "-----------------------------",
"createdOn": "2023-04-10T15:35:35.9308987Z",
"updatedBy": null,
"updatedOn": null
}
}
Dowiedz się więcej o strukturze definicji zasad.
Tworzenie przypisania zasad
Podobnie jak w przypadku konfiguracji programu Virtual Network Manager definicje zasad nie będą natychmiast obowiązywać podczas ich tworzenia. Aby rozpocząć stosowanie, należy utworzyć przypisanie zasad, które przypisuje definicję do oceny w danym zakresie. Obecnie wszystkie zasoby w zakresie są oceniane względem definicji, co umożliwia przypisanie pojedynczej definicji wielokrotnego użytku w wielu miejscach w celu uzyskania bardziej szczegółowej kontroli członkostwa w grupach. Dowiedz się więcej na temat struktury przypisania dla usługi Azure Policy.
Definicje zasad i przypisanie można tworzyć za pomocą interfejsu API/ps/interfejsu wiersza polecenia lub witryny Azure Policy Portal.
Wymagane uprawnienia
Aby korzystać z grup sieciowych w usłudze Azure Policy, użytkownicy muszą mieć następujące uprawnienia:
Microsoft.Authorization/policyassignments/WriteiMicrosoft.Authorization/policydefinitions/Writesą potrzebne w zakresie, który przypisujesz.Microsoft.Network/networkManagers/networkGroups/join/actionakcja jest wymagana w docelowej grupie sieciowej, do których odwołuje się sekcja Dodaj do grupy sieciowej. To uprawnienie umożliwia dodawanie i usuwanie obiektów z docelowej grupy sieciowej.- W przypadku używania definicji zestawu do przypisywania wielu zasad jednocześnie wymagane są współbieżne
Microsoft.Network/networkManagers/networkGroups/join/actionuprawnienia do wszystkich definicji przypisywanych w momencie przypisania.
Aby ustawić wymagane uprawnienia, użytkownicy mogą mieć przypisane wbudowane role z kontrolą dostępu opartą na rolach:
- Rola Współautor sieci w docelowej grupie sieciowej.
- Rola Współautor zasad zasobów na poziomie zakresu docelowego.
Aby uzyskać bardziej szczegółowe przypisanie roli, możesz utworzyć role niestandardowe przy użyciu Microsoft.Network/networkManagers/networkGroups/join/action uprawnień i policy/write uprawnień.
Ważne
Aby zmodyfikować grupy dynamiczne AVNM, należy udzielić dostępu tylko za pośrednictwem przypisania roli RBAC platformy Azure. Autoryzacja administratora klasycznego/starszej wersji nie jest obsługiwana; Oznacza to, że jeśli twoje konto zostało przypisane tylko do roli subskrypcji współadministratora, nie masz uprawnień do grup dynamicznych AVNM.
Oprócz wymaganych uprawnień subskrypcje i grupy zarządzania muszą być zarejestrowane u następujących dostawców zasobów:
Microsoft.Networkprogram jest wymagany do tworzenia sieci wirtualnych.Microsoft.PolicyInsightsjest wymagane do korzystania z usługi Azure Policy.
Aby ustawić rejestrację wymaganych dostawców, użyj polecenia Register-AzResourceProvider w programie Azure PowerShell lub az provider register w interfejsie wiersza polecenia platformy Azure.
Przydatne porady
Filtrowanie typów
Podczas konfigurowania definicji zasad zalecamy uwzględnienie warunku typu w celu określenia zakresu ich w sieciach wirtualnych. Ten warunek pozwala zasadom odfiltrować operacje nienależące do sieci wirtualnej i zwiększyć wydajność zasobów zasad.
Fragmentowanie regionalne
Zasoby zasad są globalne, co oznacza, że każda zmiana ma wpływ na wszystkie zasoby w zakresie przypisania, niezależnie od regionu. Jeśli regionalne wycięcie i stopniowe wdrażanie jest dla Ciebie problemem, zalecamy uwzględnienie where location in [] warunku. Następnie można stopniowo rozszerzać listę lokalizacji, aby stopniowo wprowadzać efekt.
Określanie zakresu przydziału
Jeśli obserwujesz najlepsze rozwiązania dotyczące grup zarządzania przy użyciu grup zarządzania platformy Azure, prawdopodobnie masz już zasoby zorganizowane w strukturze hierarchii. Przy użyciu przypisań można przypisać tę samą definicję do wielu odrębnych zakresów w hierarchii, co pozwala mieć większą kontrolę szczegółowości nad tym, które zasoby kwalifikują się do grupy sieciowej.
Usuwanie definicji usługi Azure Policy skojarzonej z grupą sieciową
Możesz być wystąpieniami, w których nie potrzebujesz już definicji usługi Azure Policy. Wystąpienia obejmują usunięcie grupy sieciowej skojarzonej z zasadami lub nieużywane zasady, które nie są już potrzebne. Aby usunąć zasady, należy usunąć obiekt skojarzenia zasad, a następnie usunąć definicję zasad w usłudze Azure Policy. Po zakończeniu usuwania nie można ponownie użyć nazwy definicji ani odwołać się ponownie podczas kojarzenia nowej definicji z grupą sieciową.
Następne kroki
- Utwórz wystąpienie usługi Azure Virtual Network Manager.
- Dowiedz się więcej o wdrożeniach konfiguracji w usłudze Azure Virtual Network Manager.
- Dowiedz się, jak blokować ruch sieciowy przy użyciu konfiguracji SecurityAdmin.