Guia de início rápido: criar uma topologia de rede de malha com o Gerenciador de Rede Virtual do Azure usando a CLI do Azure

Comece a usar o Azure Virtual Network Manager usando a CLI do Azure para gerenciar a conectividade de todas as suas redes virtuais.

Neste início rápido, você implanta três redes virtuais e usa o Azure Virtual Network Manager para criar uma topologia de rede mesh. Em seguida, verifique se a configuração de conectividade foi aplicada.

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
• A CLI do Azure mais recente ou você pode usar o Azure Cloud Shell no portal.
• A extensão do Azure Virtual Network Manager. Para adicioná-lo, execute az extension add -n virtual-network-manager.
• Para modificar grupos dinâmicos de rede, você deve ter acesso somente por meio da atribuição de função RBAC do Azure. Não há suporte para autorização clássica de administrador/herdado.

Inicie sessão na sua conta do Azure e selecione a sua subscrição

Para iniciar a configuração, inicie sessão na sua conta do Azure. Se você usar o recurso Try It do Cloud Shell, estará conectado automaticamente.

az login

Selecione a assinatura onde o Virtual Network Manager está implantado:

az account set \
    --subscription "<subscriptionID>"

Atualize a extensão do Virtual Network Manager para a CLI do Azure:

az extension update --name virtual-network-manager

Criar um grupo de recursos

Nesta tarefa, você cria um grupo de recursos para hospedar uma instância do gerenciador de rede usando az group create. Este exemplo cria um grupo de recursos chamado resource-group no local (US) West 2 :

az group create \
    --name "resource-group" \
    --location "westus2"

Criar uma instância do Virtual Network Manager

Nesta tarefa, defina o escopo e o tipo de acesso para essa instância do Virtual Network Manager. Crie o escopo usando az network manager create. Substitua o valor <subscriptionID> pela assinatura para a qual você deseja que o Virtual Network Manager gerencie redes virtuais. Substitua <mgName\> pelo grupo de gerenciamento que você deseja gerenciar.

az network manager create \
    --location "westus2" \
    --name "network-manager" \
    --resource-group "resource-group" \
    --scope-accesses "Connectivity" "SecurityAdmin" \
    --network-manager-scopes subscriptions="/subscriptions/<subscriptionID>"

Criar um grupo de rede

Nesta tarefa, crie um grupo de rede usando az network manager group create:

az network manager group create \
    --name "network-group" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group" \
    --description "Network Group for Production virtual networks"

Criar redes virtuais

Nesta tarefa, crie três redes virtuais usando az network vnet create. Este exemplo cria redes virtuais denominadas três virtuais no local West 2 (EUA). Cada rede virtual tem uma tag que networkType é usada para associação dinâmica. Se você já tiver redes virtuais com as quais deseja criar uma rede mesh, pule para a próxima seção.

az network vnet create \
    --name "vnet-00" \
    --resource-group "resource-group" \
    --address-prefix "10.0.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-01" \
    --resource-group "resource-group" \
    --address-prefix "10.1.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-02" \
    --resource-group "resource-group" \
    --address-prefix "10.2.0.0/16" \
    --tags "NetworkType=Prod"

Adicionar uma sub-rede a cada rede virtual

Nesta tarefa, conclua a configuração das redes virtuais adicionando uma sub-rede /24 a cada uma delas. Crie uma configuração de sub-rede chamada padrão usando az network vnet subnet create:

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-00" \
    --address-prefix "10.0.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-01" \
    --address-prefix "10.1.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-02" \
    --address-prefix "10.2.0.0/24"

Definir associação para uma configuração de malha

O Azure Virtual Network Manager permite dois métodos para adicionar associação a um grupo de rede. A associação estática envolve a adição manual de redes virtuais e a associação dinâmica envolve o uso da Política do Azure para adicionar dinamicamente redes virtuais com base nas condições. Escolha a opção que você deseja concluir para sua associação de configuração de malha.

Adesão manual

Usando a associação estática, você adiciona manualmente três redes virtuais para sua configuração de malha ao seu grupo de rede via az network manager group static-member create. Substitua <subscriptionID> pela assinatura sob a qual essas redes virtuais foram criadas.

az network manager group static-member create \
    --name "vnet-00" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-00"

az network manager group static-member create \
    --name "vnet-01" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-01"

az network manager group static-member create \
    --name "vnet-02" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-02"

Azure Policy

Usando a Política do Azure, você pode adicionar dinamicamente as três redes virtuais com um networkType valor de ao grupo de Prod rede. Essas três redes virtuais tornam-se parte da configuração de malha uma vez implantadas.

Você pode aplicar políticas a uma assinatura ou a um grupo de gerenciamento e sempre deve defini-las no nível ou acima do nível em que as criou. Somente redes virtuais dentro de um escopo de política são adicionadas a um grupo de rede.

Criar uma definição de política

Nesta tarefa, crie uma definição de política usando az policy definition create para redes virtuais marcadas como Prod. Substitua <subscriptionID> pela subscrição à qual pretende aplicar esta política. Se quiser aplicá-lo a um grupo de gerenciamento, substitua --subscription <subscriptionID> por --management-group <mgName>.

az policy definition create \
    --name "azure-policy" \
    --description "Choose Prod virtual networks only" \
    --rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"vnet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group\"}}}" \
    --subscription <subscriptionID> \
    --mode "Microsoft.Network.Data"

Aplicar uma definição de política

Nesta tarefa, você aplica a política criada anteriormente usando az policy assignment create. Substitua <subscriptionID> pela subscrição à qual pretende aplicar esta política. Se quiser aplicá-lo a um grupo de gerenciamento, substitua --scope "/subscriptions/<subscriptionID>" por --scope "/providers/Microsoft.Management/managementGroups/<mgName>e substitua <mgName\> pelo seu grupo de gerenciamento.

az policy assignment create \
    --name "azure-policy-assignment" \
    --description "Take only virtual networks tagged NetworkType:Prod" \
    --scope "/subscriptions/<subscriptionID>" \
    --policy "/subscriptions/<subscriptionID>/providers/Microsoft.Authorization/azure-policys/azure-policy"

Criar uma configuração

Nesta tarefa, crie uma configuração de topologia de rede mesh usando az network manager connect-config create. Substitua <subscriptionID> pelo seu ID de subscrição.

az network manager connect-config create \
    --configuration-name "connectivityconfig" \
    --description "Production Mesh Connectivity Config Example" \
    --applies-to-groups '[{"networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group", "groupConnectivity": "None"}]' \
    --connectivity-topology "Mesh" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group"

Confirmar a implantação

Para que a configuração entre em vigor, confirme a configuração nas regiões de destino usando az network manager post-commit:

az network manager post-commit \
    --network-manager-name "network-manager" \
    --commit-type "Connectivity" \
    --configuration-ids "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig" \
    --target-locations "westus2" \
    --resource-group "resource-group"

Verificar a configuração

As redes virtuais exibem configurações aplicadas a elas quando você usa az network manager list-effective-connectivity-config:

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-00"

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-01"


az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-02"

Para as redes virtuais que fazem parte da configuração de conectividade, você obtém uma saída semelhante a este exemplo:

{
  "skipToken": "",
  "value": [
    {
      "appliesToGroups": [
        {
          "groupConnectivity": "None",
          "isGlobal": "False",
          "networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "useHubGateway": "False"
        }
      ],
      "configurationGroups": [
        {
          "description": "Network Group for Production virtual networks",
          "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "provisioningState": "Succeeded",
          "resourceGroup": "resource-group"
        }
      ],
      "connectivityTopology": "Mesh",
      "deleteExistingPeering": "False",
      "description": "Production Mesh Connectivity Config Example",
      "hubs": [],
      "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig",
      "isGlobal": "False",
      "provisioningState": "Succeeded",
      "resourceGroup": "resource-group"
    }
  ]
}

Clean up resources (Limpar recursos)

Se você não precisar mais da instância do Azure Virtual Network Manager e de outros recursos, exclua o grupo de recursos usando az group delete:

az group delete \
    --name "resource-group"

Próximos passos

Nesta etapa, você aprenderá a bloquear o tráfego de rede usando uma configuração de administrador de segurança:

Bloquear o tráfego de rede com o Azure Virtual Network Manager