Szybki start: tworzenie topologii sieci siatki za pomocą usługi Azure Virtual Network Manager przy użyciu interfejsu wiersza polecenia platformy Azure

Rozpocznij pracę z usługą Azure Virtual Network Manager przy użyciu interfejsu wiersza polecenia platformy Azure, aby zarządzać łącznością dla wszystkich sieci wirtualnych.

W tym przewodniku Szybki start wdrożysz trzy sieci wirtualne i użyjesz usługi Azure Virtual Network Manager, aby utworzyć topologię sieci siatki. Następnie sprawdź, czy konfiguracja łączności została zastosowana.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
• Najnowszy interfejs wiersza polecenia platformy Azure lub możesz użyć usługi Azure Cloud Shell w portalu.
• Rozszerzenie azure Virtual Network Manager. Aby go dodać, uruchom polecenie az extension add -n virtual-network-manager.
• Aby zmodyfikować dynamiczne grupy sieciowe, należy udzielić dostępu tylko za pośrednictwem przypisania roli RBAC platformy Azure. Autoryzacja administratora klasycznego/starszej wersji nie jest obsługiwana.

Zaloguj się do konta platformy Azure i wybierz swoją subskrypcję

Aby rozpocząć konfigurację, zaloguj się do konta platformy Azure. Jeśli używasz funkcji Wypróbuj usługę Cloud Shell, logujesz się automatycznie.

az login

Wybierz subskrypcję, w której wdrożono menedżera sieci wirtualnej:

az account set \
    --subscription "<subscriptionID>"

Zaktualizuj rozszerzenie programu Virtual Network Manager dla interfejsu wiersza polecenia platformy Azure:

az extension update --name virtual-network-manager

Tworzenie grupy zasobów

W tym zadaniu utworzysz grupę zasobów do hostowania wystąpienia menedżera sieci przy użyciu polecenia az group create. W tym przykładzie utworzono grupę zasobów o nazwie resource-group w lokalizacji Zachodnie stany USA 2 :

az group create \
    --name "resource-group" \
    --location "westus2"

Tworzenie wystąpienia programu Virtual Network Manager

W tym zadaniu zdefiniuj zakres i typ dostępu dla tego wystąpienia programu Virtual Network Manager. Utwórz zakres za pomocą polecenia az network manager create. Zastąp wartość <subscriptionID> subskrypcją, dla której menedżer sieci wirtualnej ma zarządzać sieciami wirtualnymi. Zastąp element <mgName\> grupą zarządzania, którą chcesz zarządzać.

az network manager create \
    --location "westus2" \
    --name "network-manager" \
    --resource-group "resource-group" \
    --scope-accesses "Connectivity" "SecurityAdmin" \
    --network-manager-scopes subscriptions="/subscriptions/<subscriptionID>"

Tworzenie grupy sieciowej

W tym zadaniu utwórz grupę sieci za pomocą polecenia az network manager group create:

az network manager group create \
    --name "network-group" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group" \
    --description "Network Group for Production virtual networks"

Tworzenie sieci wirtualnych

W tym zadaniu utwórz trzy sieci wirtualne przy użyciu polecenia az network vnet create. W tym przykładzie tworzone są sieci wirtualne o nazwie trzy wirtualne w lokalizacji Zachodnie stany USA 2 . Każda sieć wirtualna ma tag networkType używany do członkostwa dynamicznego. Jeśli masz już sieci wirtualne, za pomocą których chcesz utworzyć sieć siatki, możesz przejść do następnej sekcji.

az network vnet create \
    --name "vnet-00" \
    --resource-group "resource-group" \
    --address-prefix "10.0.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-01" \
    --resource-group "resource-group" \
    --address-prefix "10.1.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-02" \
    --resource-group "resource-group" \
    --address-prefix "10.2.0.0/16" \
    --tags "NetworkType=Prod"

Dodawanie podsieci do każdej sieci wirtualnej

W tym zadaniu ukończ konfigurację sieci wirtualnych, dodając podsieć /24 do każdej z nich. Utwórz konfigurację podsieci o nazwie default przy użyciu polecenia az network vnet subnet create:

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-00" \
    --address-prefix "10.0.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-01" \
    --address-prefix "10.1.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-02" \
    --address-prefix "10.2.0.0/24"

Definiowanie członkostwa dla konfiguracji siatki

Usługa Azure Virtual Network Manager umożliwia dodawanie członkostwa do grupy sieciowej za pomocą dwóch metod. Członkostwo statyczne obejmuje ręczne dodawanie sieci wirtualnych, a członkostwo dynamiczne obejmuje używanie usługi Azure Policy do dynamicznego dodawania sieci wirtualnych na podstawie warunków. Wybierz opcję, którą chcesz ukończyć dla członkostwa w konfiguracji siatki.

Członkostwo ręczne

Korzystając z członkostwa statycznego, ręcznie dodasz trzy sieci wirtualne dla konfiguracji siatki do grupy sieciowej za pomocą polecenia az network manager group static-member create. Zastąp <subscriptionID> element subskrypcją utworzoną w ramach tych sieci wirtualnych.

az network manager group static-member create \
    --name "vnet-00" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-00"

az network manager group static-member create \
    --name "vnet-01" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-01"

az network manager group static-member create \
    --name "vnet-02" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-02"

Azure Policy

Za pomocą usługi Azure Policy można dynamicznie dodawać trzy sieci wirtualne z wartością networkTypeProd do grupy sieci. Te trzy sieci wirtualne stają się częścią konfiguracji siatki po wdrożeniu.

Zasady można stosować do subskrypcji lub grupy zarządzania i zawsze należy je zdefiniować na poziomie lub wyższym od miejsca ich utworzenia. Do grupy sieci są dodawane tylko sieci wirtualne w zakresie zasad.

Utworzenie definicji zasad

W tym zadaniu utwórz definicję zasad za pomocą polecenia az policy definition create dla sieci wirtualnych oznaczonych jako Prod. Zastąp <subscriptionID> ciąg subskrypcją, do której chcesz zastosować te zasady. Jeśli chcesz zastosować go do grupy zarządzania, zastąp --management-group <mgName>ciąg --subscription <subscriptionID> .

az policy definition create \
    --name "azure-policy" \
    --description "Choose Prod virtual networks only" \
    --rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"vnet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group\"}}}" \
    --subscription <subscriptionID> \
    --mode "Microsoft.Network.Data"

Stosowanie definicji zasad

W tym zadaniu zastosujesz wcześniej utworzone zasady przy użyciu polecenia az policy assignment create. Zastąp <subscriptionID> ciąg subskrypcją, do której chcesz zastosować te zasady. Jeśli chcesz zastosować go do grupy zarządzania, zastąp ciąg , i zastąp --scope "/subscriptions/<subscriptionID>"--scope "/providers/Microsoft.Management/managementGroups/<mgName><mgName\> element grupą zarządzania.

az policy assignment create \
    --name "azure-policy-assignment" \
    --description "Take only virtual networks tagged NetworkType:Prod" \
    --scope "/subscriptions/<subscriptionID>" \
    --policy "/subscriptions/<subscriptionID>/providers/Microsoft.Authorization/azure-policys/azure-policy"

Tworzenie konfiguracji

W tym zadaniu utwórz konfigurację topologii sieci siatki za pomocą polecenia az network manager connect-config create. Zastąp <subscriptionID> ciąg identyfikatorem subskrypcji.

az network manager connect-config create \
    --configuration-name "connectivityconfig" \
    --description "Production Mesh Connectivity Config Example" \
    --applies-to-groups '[{"networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group", "groupConnectivity": "None"}]' \
    --connectivity-topology "Mesh" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group"

Zatwierdzanie wdrożenia

Aby konfiguracja weszła w życie, zatwierdź konfigurację w regionach docelowych przy użyciu polecenia az network manager post-commit:

az network manager post-commit \
    --network-manager-name "network-manager" \
    --commit-type "Connectivity" \
    --configuration-ids "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig" \
    --target-locations "westus2" \
    --resource-group "resource-group"

Sprawdzanie konfiguracji

Sieci wirtualne wyświetlają konfiguracje zastosowane do nich podczas korzystania z polecenia az network manager list-effective-connectivity-config:

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-00"

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-01"


az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-02"

W przypadku sieci wirtualnych, które są częścią konfiguracji łączności, uzyskasz dane wyjściowe podobne do tego przykładu:

{
  "skipToken": "",
  "value": [
    {
      "appliesToGroups": [
        {
          "groupConnectivity": "None",
          "isGlobal": "False",
          "networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "useHubGateway": "False"
        }
      ],
      "configurationGroups": [
        {
          "description": "Network Group for Production virtual networks",
          "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "provisioningState": "Succeeded",
          "resourceGroup": "resource-group"
        }
      ],
      "connectivityTopology": "Mesh",
      "deleteExistingPeering": "False",
      "description": "Production Mesh Connectivity Config Example",
      "hubs": [],
      "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig",
      "isGlobal": "False",
      "provisioningState": "Succeeded",
      "resourceGroup": "resource-group"
    }
  ]
}

Czyszczenie zasobów

Jeśli nie potrzebujesz już wystąpienia usługi Azure Virtual Network Manager i innych zasobów, usuń grupę zasobów przy użyciu polecenia az group delete:

az group delete \
    --name "resource-group"

Następne kroki

W tym kroku dowiesz się, jak blokować ruch sieciowy przy użyciu konfiguracji administratora zabezpieczeń:

Blokowanie ruchu sieciowego za pomocą usługi Azure Virtual Network Manager