Início rápido: criar uma topologia de rede em malha com o Gerenciador de Rede Virtual do Azure usando a CLI do Azure

Introdução ao Gerenciador de Rede Virtual do Azure usando a CLI do Azure para gerenciar a conectividade de todas as suas redes virtuais.

Neste início rápido, você implanta três redes virtuais e usa o Gerenciador de Rede Virtual do Azure para criar uma topologia de rede em malha. Em seguida, verifique se a configuração de conectividade foi aplicada.

Pré-requisitos

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
• A CLI do Azure mais recente ou você pode usar o Azure Cloud Shell no portal.
• A extensão do Gerenciador de Rede Virtual do Azure. Para adicioná-la, execute az extension add -n virtual-network-manager.
• Para modificar os grupos de rede dinâmicos, você deve ter acesso somente por meio da atribuição de função RBAC do Azure. Não há suporte para autorização clássica de Administrador/herdada.

Entre na sua conta do Azure e selecione sua assinatura

Para iniciar sua configuração, entrar na sua conta do Azure. Se você usar a funcionalidade Experimente do Cloud Shell, estará automaticamente conectado.

az login

Selecione a assinatura na qual o Gerenciador de Rede Virtual está implantado:

az account set \
    --subscription "<subscriptionID>"

Atualize a extensão do Gerenciador de Rede Virtual para a CLI do Azure:

az extension update --name virtual-network-manager

Criar um grupo de recursos

Nesta tarefa, você criará um grupo de recursos para hospedar uma instância do gerenciador de rede usando az group create. Este exemplo cria um grupo de recursos denominado resource-group no local (EUA) Oeste 2:

az group create \
    --name "resource-group" \
    --location "westus2"

Criar uma instância do Gerenciador de Rede Virtual

Nesta tarefa, defina o escopo e o tipo de acesso da instância do Gerenciador de Rede Virtual. Crie o escopo usando az network manager create. Substitua o valor <subscriptionID> pela assinatura na qual você deseja que o Gerenciador de Rede Virtual gerencie as redes virtuais. Substitua <mgName\> pelo grupo de gerenciamento que você deseja gerenciar.

az network manager create \
    --location "westus2" \
    --name "network-manager" \
    --resource-group "resource-group" \
    --scope-accesses "Connectivity" "SecurityAdmin" \
    --network-manager-scopes subscriptions="/subscriptions/<subscriptionID>"

Criar um grupo de rede

Nesta tarefa, crie um grupo de rede usando az network manager group create:

az network manager group create \
    --name "network-group" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group" \
    --description "Network Group for Production virtual networks"

Criar redes virtuais

Nesta tarefa, crie três redes virtuais usando az network vnet create. Este exemplo cria redes virtuais denominadas “three virtual” no local (EUA) Oeste 2. Cada rede virtual tem uma marca do networkType que é usada para associação dinâmica. Se você já possui redes virtuais com as quais deseja criar uma rede em malha, pode pular para a próxima seção.

az network vnet create \
    --name "vnet-00" \
    --resource-group "resource-group" \
    --address-prefix "10.0.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-01" \
    --resource-group "resource-group" \
    --address-prefix "10.1.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-02" \
    --resource-group "resource-group" \
    --address-prefix "10.2.0.0/16" \
    --tags "NetworkType=Prod"

Adicionar uma sub-rede à rede virtual

Nesta tarefa, conclua a configuração das redes virtuais adicionando uma sub-rede /24 a cada uma delas. Crie uma configuração de sub-rede chamada default usando az network vnet subnet create:

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-00" \
    --address-prefix "10.0.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-01" \
    --address-prefix "10.1.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-02" \
    --address-prefix "10.2.0.0/24"

Definir a associação de uma configuração de malha

O Gerenciador de Rede Virtual do Azure permite duas formas de adicionar membros a um grupo de rede. A associação estática envolve a adição manual de redes virtuais, enquanto a associação dinâmica envolve o uso do Azure Policy para adicionar redes virtuais dinamicamente com base em condições. Escolha a opção que deseja concluir para sua associação de configuração de malha.

Associação manual

Ao usar a associação estática, adicione manualmente três redes virtuais para sua configuração de malha ao seu grupo de rede por meio de az network manager group static-member create. Substitua <subscriptionID> pela assinatura sob a qual essas redes virtuais foram criadas.

az network manager group static-member create \
    --name "vnet-00" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-00"

az network manager group static-member create \
    --name "vnet-01" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-01"

az network manager group static-member create \
    --name "vnet-02" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-02"

Azure Policy

Ao usar o Azure Policy, adicione dinamicamente as três redes virtuais com um valor networkType de Prod ao grupo de rede. Essas três redes virtuais se tornam parte da configuração da malha quando são implantadas.

Você pode aplicar políticas a uma assinatura ou a um grupo de gerenciamento, e sempre deve defini-las no nível em que foram criadas ou em um nível superior. Somente redes virtuais dentro de um escopo de política são adicionadas a um grupo de rede.

Criar uma definição da política

Nesta tarefa, crie uma definição de política usando az policy definition create para redes virtuais marcadas como Prod. Substitua <subscriptionID> pela assinatura à qual você deseja aplicar essa política. Se você quiser aplicá-la a um grupo de gerenciamento, substitua --subscription <subscriptionID> por --management-group <mgName>.

az policy definition create \
    --name "azure-policy" \
    --description "Choose Prod virtual networks only" \
    --rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"vnet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group\"}}}" \
    --subscription <subscriptionID> \
    --mode "Microsoft.Network.Data"

Aplicar uma definição de política

Nesta tarefa, aplique a política criada anteriormente usando az policy assignment create. Substitua <subscriptionID> pela assinatura à qual você deseja aplicar essa política. Se você quiser aplicá-la a um grupo de gerenciamento, substitua --scope "/subscriptions/<subscriptionID>" por --scope "/providers/Microsoft.Management/managementGroups/<mgName> e substitua <mgName\> por seu grupo de gerenciamento.

az policy assignment create \
    --name "azure-policy-assignment" \
    --description "Take only virtual networks tagged NetworkType:Prod" \
    --scope "/subscriptions/<subscriptionID>" \
    --policy "/subscriptions/<subscriptionID>/providers/Microsoft.Authorization/azure-policys/azure-policy"

Criar uma configuração

Nesta tarefa, crie uma configuração de topologia de rede de malha usando az network manager connect-config create. Substitua <subscriptionID> por sua ID da assinatura.

az network manager connect-config create \
    --configuration-name "connectivityconfig" \
    --description "Production Mesh Connectivity Config Example" \
    --applies-to-groups '[{"networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group", "groupConnectivity": "None"}]' \
    --connectivity-topology "Mesh" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group"

Confirmar a implantação

Para que a configuração entre em vigor, confirme a configuração nas regiões de destino usando az network manager post-commit:

az network manager post-commit \
    --network-manager-name "network-manager" \
    --commit-type "Connectivity" \
    --configuration-ids "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig" \
    --target-locations "westus2" \
    --resource-group "resource-group"

Verificar a configuração

As redes virtuais exibem as configurações aplicadas a elas quando você usa az network manager list-effective-connectivity-config:

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-00"

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-01"


az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-02"

Para as redes virtuais que fazem parte da configuração de conectividade, você obterá uma saída semelhante a este exemplo:

{
  "skipToken": "",
  "value": [
    {
      "appliesToGroups": [
        {
          "groupConnectivity": "None",
          "isGlobal": "False",
          "networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "useHubGateway": "False"
        }
      ],
      "configurationGroups": [
        {
          "description": "Network Group for Production virtual networks",
          "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "provisioningState": "Succeeded",
          "resourceGroup": "resource-group"
        }
      ],
      "connectivityTopology": "Mesh",
      "deleteExistingPeering": "False",
      "description": "Production Mesh Connectivity Config Example",
      "hubs": [],
      "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig",
      "isGlobal": "False",
      "provisioningState": "Succeeded",
      "resourceGroup": "resource-group"
    }
  ]
}

Limpar os recursos

Se você não precisar mais da instância do Gerenciador de Rede Virtual do Azure e de outros recursos, exclua o grupo de recursos usando az group delete:

az group delete \
    --name "resource-group"

Próximas etapas

Nesta etapa, você aprenderá a bloquear o tráfego de rede usando uma configuração de administrador de segurança:

Bloqueie o tráfego de rede com o Gerenciador de Rede Virtual do Azure