Configurar grupos de rede com a Política do Azure no Azure Virtual Network Manager
Neste artigo, você aprenderá como a Política do Azure é usada no Gerenciador de Rede Virtual do Azure para definir a associação a grupos dinâmicos de rede. Os grupos de rede dinâmicos permitem criar ambientes de rede virtual escaláveis e dinamicamente adaptáveis na sua organização.
Descrição geral do Azure Policy
O Azure Policy avalia recursos no Azure comparando as propriedades desses recursos com as regras de negócios. Essas regras de negócios, descritas no formato JSON, são conhecidas como definições de política. Depois que suas regras de negócios são formadas, a definição de política é atribuída a qualquer escopo de recursos suportados pelo Azure, como grupos de gerenciamento, assinaturas, grupos de recursos ou recursos individuais. A atribuição aplica-se a todos os recursos dentro do escopo do Gerenciador de Recursos dessa atribuição. Saiba mais sobre o uso do escopo com o Escopo na Política do Azure.
Nota
A Política do Azure é usada apenas para a definição de associação de grupo dinâmico de rede.
Definição de política de grupo de rede
A criação e implementação de uma política na Política do Azure começa com a criação de um recurso de definição de política. Toda definição de política tem condições para aplicação e um efeito definido que ocorre se as condições forem cumpridas.
Com grupos de rede, sua definição de política inclui sua expressão condicional para correspondência de redes virtuais que atendam aos seus critérios e especifica o grupo de rede de destino onde todos os recursos correspondentes são colocados. O addToNetworkGroup
efeito é usado para colocar recursos no grupo de rede de destino. Aqui está um exemplo de uma definição de regra de política com o addToNetworkGroup
efeito. Para todas as políticas personalizadas, a mode
propriedade é definida para Microsoft.Network.Data
direcionar o provedor de recursos do grupo de rede e é necessária para criar uma definição de política para o Gerenciador de Rede Virtual do Azure.
"mode": "Microsoft.Network.Data",
"policyRule": {
"if": {
"allOf": [
{
"field": "Name",
"contains": "-gen"
}
]
},
"then": {
"effect": "addToNetworkGroup",
"details": {
"networkGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
}
}
}
Importante
Ao definir uma política, o deve ser o networkGroupId
ID de recurso completo do grupo de rede de destino, conforme visto na definição de exemplo. Não suporta parametrização na definição da política. Se precisar parametrizar o grupo de rede, você pode utilizar um modelo do Azure Resource Manager para criar a definição e a atribuição de política.
Quando a Política do Azure é usada com o Gerenciador de Rede Virtual do Azure, a política tem como destino uma propriedade de Provedor de Recursos de Microsoft.Network.Data
. Por isso, você precisa especificar um policyType de em sua definição de Custom
política. Quando você cria uma política para adicionar membros dinamicamente no Gerenciador de Rede Virtual, isso é aplicado automaticamente quando a política é criada. Você só precisa escolher custom
ao criar uma nova definição de política por meio da Política do Azure ou de outras ferramentas fora do painel do Virtual Network Manager.
Aqui está um exemplo de uma definição de política com a policyType
propriedade definida como Custom
.
"properties": {
"displayName": "myProdAVNM",
"policyType": "Custom",
"mode": "Microsoft.Network.Data",
"metadata": {
"category": "Azure Virtual Network Manager",
"createdBy": "-----------------------------",
"createdOn": "2023-04-10T15:35:35.9308987Z",
"updatedBy": null,
"updatedOn": null
}
}
Saiba mais sobre a estrutura de definição de políticas.
Criar uma atribuição de política
Semelhante às configurações do Virtual Network Manager, as definições de política não entram em vigor imediatamente quando você as cria. Para começar a aplicar, você deve criar uma Atribuição de política, que atribui uma definição a ser avaliada em um determinado escopo. Atualmente, todos os recursos dentro do escopo são avaliados em relação à definição, que permite uma única definição reutilizável que você pode atribuir em vários locais para um controle de associação de grupo mais granular. Saiba mais informações sobre a Estrutura de Atribuições para a Política do Azure.
As definições de política e a atribuição podem ser criadas através da API/PS/CLI ou do Portal de Políticas do Azure.
Permissões obrigatórias
Para usar grupos de rede com a Política do Azure, os usuários precisam das seguintes permissões:
Microsoft.Authorization/policyassignments/Write
eMicrosoft.Authorization/policydefinitions/Write
são necessários no escopo que você está atribuindo.Microsoft.Network/networkManagers/networkGroups/join/action
no grupo de rede de destino mencionado na seção Adicionar ao grupo de rede. Essa permissão permite a adição e remoção de objetos do grupo de rede de destino.- Ao usar definições definidas para atribuir várias políticas ao mesmo tempo, permissões simultâneas
Microsoft.Network/networkManagers/networkGroups/join/action
são necessárias em todas as definições que estão sendo atribuídas no momento da atribuição.
Para definir as permissões necessárias, os usuários podem receber funções internas com controle de acesso baseado em função:
- Função de Colaborador de Rede para o grupo de rede de destino.
- Função de Colaborador da Política de Recursos no nível do escopo de destino.
Para uma atribuição de função mais granular, você pode criar funções personalizadas usando a permissão e policy/write
a Microsoft.Network/networkManagers/networkGroups/join/action
permissão.
Importante
Para modificar grupos dinâmicos do AVNM, você deve ter acesso somente por meio da atribuição de função RBAC do Azure. Não há suporte para autorização clássica de administrador/herdado; isso significa que, se sua conta recebesse apenas a função de assinatura de coadministrador, você não teria permissões em grupos dinâmicos do AVNM.
Juntamente com as permissões necessárias, suas assinaturas e grupos de gerenciamento devem ser registrados nos seguintes provedores de recursos:
Microsoft.Network
é necessário para criar redes virtuais.Microsoft.PolicyInsights
é necessário para usar a Política do Azure.
Para definir o registro dos provedores necessários, use Register-AzResourceProvider no Azure PowerShell ou az provider register na CLI do Azure.
Dicas úteis
Filtragem de tipos
Ao configurar suas definições de política, recomendamos que você inclua uma condição de tipo para estendê-la para redes virtuais. Essa condição permite que uma política filtre operações de rede não virtuais e melhore a eficiência de seus recursos de política.
Fatiamento regional
Os recursos de política são globais, o que significa que qualquer alteração entra em vigor em todos os recursos sob o escopo da atribuição, independentemente da região. Se o fatiamento regional e a implantação gradual forem uma preocupação para você, recomendamos que você inclua uma where location in []
condição. Em seguida, você pode expandir incrementalmente a lista de locais para distribuir gradualmente o efeito.
Escopo da atribuição
Se você estiver seguindo as práticas recomendadas do grupo de gerenciamento usando grupos de gerenciamento do Azure, é provável que já tenha seus recursos organizados em uma estrutura hierárquica. Usando atribuições, você pode atribuir a mesma definição a vários escopos distintos dentro de sua hierarquia, permitindo que você tenha um controle de granularidade maior de quais recursos são qualificados para seu grupo de rede.
Eliminar uma definição de Política do Azure associada a um grupo de rede
Você pode ser instâncias em que não precisa mais de uma definição de Política do Azure. As instâncias incluem quando um grupo de rede associado a uma política é excluído ou quando você tem uma política não utilizada que não precisa mais. Para excluir a política, você precisa excluir o objeto de associação de política e, em seguida, excluir a definição de política na Política do Azure. Depois que a exclusão for concluída, o nome da definição não poderá ser reutilizado ou rereferenciado ao associar uma nova definição a um grupo de rede.
Próximos passos
- Crie uma instância do Azure Virtual Network Manager .
- Saiba mais sobre implantações de configuração no Gerenciador de Rede Virtual do Azure.
- Saiba como bloquear o tráfego de rede com uma configuração SecurityAdmin.