Definir a associação dinâmica do grupo de rede no Gerenciador de Rede Virtual do Azure com o Azure Policy
Neste artigo, você aprenderá a usar as instruções condicionais do Azure Policy para criar grupos de rede com associação dinâmica. As instruções condicionais são criadas usando-se o editor básico e selecionando parâmetros e operadores em um menu suspenso. Você também aprenderá a usar o editor avançado para atualizar instruções condicionais de um grupo de rede existente.
O Azure Policy é um serviço que permite que você imponha a governança em cada recurso em escala. Ele pode ser usado para especificar expressões condicionais que definem a associação de grupo, em vez de listas explícitas de redes virtuais. Essa condição continuará alimentando seus grupos de rede dinamicamente, permitindo que as redes virtuais ingressem e deixem o grupo automaticamente conforme o processamento da condição muda, sem a necessidade de nenhuma operação do Gerenciador de Rede.
Pré-requisitos
- Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
- Para modificar grupos de rede dinâmicos, você deve receber acesso com controle de acesso baseado em função. Não há suporte para autorização clássica de Administrador/herdada.
Parâmetros e operadores
As redes virtuais com associações dinâmicas são selecionadas usando-se instruções condicionais. Você pode definir mais de uma instrução condicional usando operadores lógicos como AND e OR para cenários em que você precisa restringir ainda mais as redes virtuais selecionadas.
Lista de parâmetros com suporte:
| Parâmetros | Campo Editor avançado |
|---|---|
| Nome | Name |
| ID | Id |
| Marcas | tag['tagName'] |
| Nome da assinatura | [subscription().Name] |
| ID da assinatura | [subscription().Id] |
| Marcas de Assinatura | [subscription().tags['tagName']] |
| Nome do Grupo de Recursos | [resourceGroup().Name] |
| ID do Grupo de Recursos | [resourceGroup().Id] |
| Marcas de Grupo de Recursos | [resourceGroup().tags['tagName']] |
Lista de operadores com suporte:
| Operadores | Editor avançado |
|---|---|
| Contém | "contains": <> |
| Não contém | "notcontains": <> |
| In | "in": <> |
| Não está em | "notin": <> |
| Igual a | "equals": <> |
| Não é igual a | "notequals": <> |
| Contém qualquer um de | "contains": <> |
| Contém todos de | "contains": <> |
| Não contém nenhum de | "notcontains": <> |
| Existe | "exists": true |
| Não existe | "exists": false |
Observação
Os operadores Existe e Não existe são usados apenas com o parâmetro Marcações.
Editor básico
Suponha que você tenha as seguintes redes virtuais em sua assinatura. Cada rede virtual tem uma marca associada chamada ambiente com o respectivo valor de produção ou de teste.
| Rede Virtual | Nome da Marca | Valor da marca |
|---|---|---|
| myVNet01-EastUS | ambiente | produção |
| myVNet01-WestUS | ambiente | produção |
| myVNet02-WestUS | ambiente | test |
| myVNet03-WestUS | ambiente | test |
É recomendável selecionar redes virtuais cuja marca tenha um par de valores de chave de ambiente igual ao de produção. Para começar a usar o editor básico para criar uma instrução condicional, você precisa criar um novo grupo de rede.
Acesse a instância do Gerenciador de Rede Virtual do Azure e selecione Grupos de Rede em Configurações. Em seguida, selecione + Criar para criar um grupo de rede novo.
Insira um Nome e uma Descrição opcional para o grupo de rede e selecione Adicionar.
Selecione o grupo de rede na lista e selecione Criar o Azure Policy.
Insira um Nome de política e deixe as seleções de Escopo, a menos que seja necessário fazer alterações.
Em Critérios, selecioneMarcas na lista suspensa em Parâmetro e, em seguida, selecione Par de valores de chave na lista suspensa em Operador.
Insira o ambiente e a produção em Condição e selecione Visualizar Recursos. Você deve ver myVNet01-EastUS e myVNet01-WestUS aparecerem na lista.
Selecione Fechar e Salvar.
Após alguns minutos, selecione seu grupo de rede e selecione Membros do Grupo em Configurações. Você deverá ver apenas myVNet01-WestUS e myVNet01-WestUS.
Importante
O editor básico fica disponível apenas durante a criação de um Azure Policy. Depois que uma política for criada, todas as edições serão feitas usando JSON na seção Políticas do gerenciador de rede virtual ou por meio do Azure Policy.
Editor avançado
O editor avançado pode ser usado para selecionar redes virtuais durante a criação de um grupo de rede ou ao atualizar um grupo de rede existente. Com base no JSON, o editor avançado é útil para criar e atualizar instruções condicionais do Azure Policy complexas de usuários experientes.
Criar uma nova política com o editor avançado
Acesse a instância do Gerenciador de Rede Virtual do Azure e selecione Grupos de Rede em Configurações. Em seguida, selecione + Criar para criar um grupo de rede novo.
Insira um Nome e uma Descrição opcional para o grupo de rede e selecione Adicionar.
Selecione o grupo de rede na lista e selecione Criar o Azure Policy.
Insira um Nome de política e deixe as seleções de Escopo, a menos que seja necessário fazer alterações.
Em Critérios, selecione Editor avançado (JSON) para abrir o editor.
Insira o código JSON a seguir na caixa de texto e selecione Salvar:
{ "field": "Name", "contains": "myVNet01" }Após alguns minutos, selecione seu grupo de rede e selecione Membros do Grupo em Configurações. Você deverá ver apenas myVNet01-WestUS e myVNet01-EastUS.
Importante
Todas as Políticas do Azure criadas por meio do gerenciador de rede virtual residirão na área de serviços do Azure Policy. Elas não serão removidas de suas atribuições e definições do Azure Policy quando uma instância do gerenciador de rede virtual for excluída. Isso requer a remoção manual das políticas. Saiba como remover as Políticas do Azure
Editar uma política existente
Selecione o grupo de rede criado na seção anterior. Em seguida, selecione a guia Políticas.
Selecione a política criada na seção anterior.
Você verá as instruções condicionais para o grupo de rede na exibição do editor avançado, conforme a seguir:
[ { "field": "Name", "contains": "myVNet01" } ]Para adicionar outra instrução condicional para um campo Nome que não contenha WestUS, insira o seguinte no editor avançado:
{ "allOf": [ { "field": "Name", "contains": "VNet01" }, { "field": "Name", "notcontains": "WestUS" } ] }O parâmetro
"allOf"contém ambas as instruções condicionais separadas pelo operador lógico AND.Selecione Salvar.
Após alguns minutos, selecione seu grupo de rede e selecione Membros do Grupo em Configurações. Você deverá ver apenas myVNet01-EastUS.
Consulte Parâmetro e operadores para ver a lista completa de parâmetros e operadores que você pode usar com o editor avançado.
Mais exemplos
Aqui estão mais exemplos de instruções condicionais no editor avançado.
Exemplo 1: somente operador OR
Este exemplo usa o operador lógico OR para separar duas instruções condicionais.
Editor básico:
Operador avançado:
{ "anyOf": [ { "field": "Name", "contains": "myVNet01" }, { "field": "Name", "contains": "myVNet02" } ] }
O parâmetro "anyOf" contém ambas as instruções condicionais separadas pelo operador lógico OR.
Exemplo 2: operador AND e OR ao mesmo tempo
Editor básico:
Editor avançado:
{
"allOf": [
{
"anyOf": [
{
"field": "Name",
"contains": "myVNet01"
},
{
"field": "Name",
"contains": "myVNet02"
}
]
},
{
"field": "Name",
"notcontains": "West"
}
]
}
Ambos "allOf" e "anyOf" são usados no código. Como o operador AND é o último na lista, ele fica na parte externa do código que contém as duas instruções condicionais com o operador OR.
Exemplo 3: usar valores de marca personalizados com o editor avançado
Neste exemplo, é criada uma instrução condicional que localiza redes virtuais em que o nome inclua myVNet E a marca ambiente seja igual à produção.
Editor avançado:
{ "allOf": [ { "field": "Name", "contains": "myVNet" }, { "field": "tags['environment']", "equals": "production" } ] }Observação
As condições devem filtrar o tipo de recurso Microsoft.Network/virtualNetwork para maior eficiência. Essa condição é predefinida para você em todos os condicionais especificados por meio do portal.
Próximas etapas
- Saiba mais sobre Grupos de rede.
- Crie uma instância do Gerenciador de Rede Virtual do Azure.
- Criar e gerenciar políticas para impor a conformidade