Краткое руководство. Создание топологии сети сетки с помощью диспетчера виртуальная сеть Azure с помощью Azure CLI

Приступая к работе с диспетчером виртуальная сеть Azure с помощью Azure CLI для управления подключением ко всем виртуальным сетям.

В этом кратком руководстве описано, как развернуть три виртуальные сети и использовать Диспетчер виртуальная сеть Azure для создания топологии сети сетки. Затем убедитесь, что была применена конфигурация подключения.

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Последняя версия Azure CLI или azure Cloud Shell на портале.
• Расширение Диспетчера виртуальная сеть Azure. Чтобы добавить его, выполните команду az extension add -n virtual-network-manager.
• Чтобы изменить динамические сетевые группы, необходимо предоставить доступ только через назначение ролей RBAC Azure. Классическая авторизация администратора или устаревшая авторизация не поддерживается.

Войдите в учетную запись Azure и выберите подписку.

Чтобы начать настройку, войдите в свою учетную запись Azure. Если вы используете функцию Cloud Shell Try It , вы автоматически войдете в систему.

az login

Выберите подписку, в которой развернут диспетчер виртуальная сеть:

az account set \
    --subscription "<subscriptionID>"

Обновите расширение диспетчера виртуальная сеть для Azure CLI:

az extension update --name virtual-network-manager

Создание или изменение группы ресурсов

В этой задаче создается группа ресурсов для размещения экземпляра диспетчера сети с помощью az group create. В этом примере создается группа ресурсов с именем "группа ресурсов" в расположении "Западная часть США" 2 :

az group create \
    --name "resource-group" \
    --location "westus2"

Создание экземпляра диспетчера виртуальная сеть

В этой задаче определите область и тип доступа для этого экземпляра виртуальная сеть Manager. Создайте область с помощью az network manager create. Замените значение <subscriptionID> подпиской, для которой требуется виртуальная сеть Manager для управления виртуальными сетями. Замените <mgName\> группу управления, которую вы хотите управлять.

az network manager create \
    --location "westus2" \
    --name "network-manager" \
    --resource-group "resource-group" \
    --scope-accesses "Connectivity" "SecurityAdmin" \
    --network-manager-scopes subscriptions="/subscriptions/<subscriptionID>"

Создание сетевой группы

В этой задаче создайте сетевую группу с помощью az network manager group create:

az network manager group create \
    --name "network-group" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group" \
    --description "Network Group for Production virtual networks"

Создание виртуальных сетей

В этой задаче создайте три виртуальные сети с помощью az network vnet create. В этом примере создаются виртуальные сети с именем три виртуальных в расположении "Западная часть США" 2 . Каждая виртуальная сеть имеет тег, используемый для динамического networkType членства. Если у вас уже есть виртуальные сети, с которыми вы хотите создать сеть сетки, перейдите к следующему разделу.

az network vnet create \
    --name "vnet-00" \
    --resource-group "resource-group" \
    --address-prefix "10.0.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-01" \
    --resource-group "resource-group" \
    --address-prefix "10.1.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-02" \
    --resource-group "resource-group" \
    --address-prefix "10.2.0.0/16" \
    --tags "NetworkType=Prod"

Добавьте подсеть в каждую виртуальную сеть.

В этой задаче выполните настройку виртуальных сетей, добавив в каждую из них подсеть /24 . Создайте конфигурацию подсети по умолчанию с помощью az network vnet subnet create:

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-00" \
    --address-prefix "10.0.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-01" \
    --address-prefix "10.1.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-02" \
    --address-prefix "10.2.0.0/24"

Определение членства для конфигурации сетки

Диспетчер виртуальная сеть Azure позволяет двум методам добавления членства в группу сети. Статическое членство включает вручную добавление виртуальных сетей, а динамическое членство включает использование Политика Azure для динамического добавления виртуальных сетей на основе условий. Выберите вариант, который необходимо выполнить для членства в конфигурации сетки.

Членство вручную

Используя статическое членство, вы вручную добавите три виртуальных сети для конфигурации сетки в группу сети через az network manager group static-member create. Замените <subscriptionID> подписку, в которую были созданы эти виртуальные сети.

az network manager group static-member create \
    --name "vnet-00" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-00"

az network manager group static-member create \
    --name "vnet-01" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-01"

az network manager group static-member create \
    --name "vnet-02" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-02"

Политика Azure

С помощью Политика Azure можно динамически добавлять три виртуальные сети со networkType значением Prod в группу сети. Эти три виртуальных сети становятся частью конфигурации сетки после развертывания.

Вы можете применять политики к подписке или группе управления, и их всегда необходимо определить на уровне, на котором они создаются. В группу сетей добавляются только виртуальные сети в области политики.

Создать определение политики.

В этой задаче создайте определение политики с помощью az policy definition create для виртуальных сетей, помеченных как Prod. Замените <subscriptionID> подписку, к которой вы хотите применить эту политику. Если вы хотите применить его к группе управления, замените --subscription <subscriptionID> на --management-group <mgName>.

az policy definition create \
    --name "azure-policy" \
    --description "Choose Prod virtual networks only" \
    --rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"vnet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group\"}}}" \
    --subscription <subscriptionID> \
    --mode "Microsoft.Network.Data"

Применение определения политики

В этой задаче применяется ранее созданная политика с помощью az policy assignment create. Замените <subscriptionID> подписку, к которой вы хотите применить эту политику. Если вы хотите применить его к группе управления, замените --scope "/subscriptions/<subscriptionID>" --scope "/providers/Microsoft.Management/managementGroups/<mgName>на нее и замените <mgName\> ее группой управления.

az policy assignment create \
    --name "azure-policy-assignment" \
    --description "Take only virtual networks tagged NetworkType:Prod" \
    --scope "/subscriptions/<subscriptionID>" \
    --policy "/subscriptions/<subscriptionID>/providers/Microsoft.Authorization/azure-policys/azure-policy"

Создание конфигурации

В этой задаче создайте конфигурацию топологии сети сетки с помощью az network manager connect-config create. Замените <subscriptionID> идентификатором своей подписки.

az network manager connect-config create \
    --configuration-name "connectivityconfig" \
    --description "Production Mesh Connectivity Config Example" \
    --applies-to-groups '[{"networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group", "groupConnectivity": "None"}]' \
    --connectivity-topology "Mesh" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group"

Фиксация развертывания

Чтобы конфигурация вступают в силу, зафиксируйте конфигурацию в целевых регионах с помощью az network manager после фиксации:

az network manager post-commit \
    --network-manager-name "network-manager" \
    --commit-type "Connectivity" \
    --configuration-ids "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig" \
    --target-locations "westus2" \
    --resource-group "resource-group"

Проверить конфигурацию

Виртуальные сети отображают конфигурации, примененные к ним при использовании az network manager list-effective-connectivity-config:

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-00"

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-01"


az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-02"

Для виртуальных сетей, входящих в конфигурацию подключения, вы получите выходные данные, аналогичные этому примеру:

{
  "skipToken": "",
  "value": [
    {
      "appliesToGroups": [
        {
          "groupConnectivity": "None",
          "isGlobal": "False",
          "networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "useHubGateway": "False"
        }
      ],
      "configurationGroups": [
        {
          "description": "Network Group for Production virtual networks",
          "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "provisioningState": "Succeeded",
          "resourceGroup": "resource-group"
        }
      ],
      "connectivityTopology": "Mesh",
      "deleteExistingPeering": "False",
      "description": "Production Mesh Connectivity Config Example",
      "hubs": [],
      "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig",
      "isGlobal": "False",
      "provisioningState": "Succeeded",
      "resourceGroup": "resource-group"
    }
  ]
}

Очистка ресурсов

Если вам больше не нужен экземпляр Azure виртуальная сеть Manager и другие ресурсы, удалите группу ресурсов с помощью az group delete:

az group delete \
    --name "resource-group"

Следующие шаги

На этом шаге вы узнаете, как заблокировать сетевой трафик с помощью конфигурации администратора безопасности:

Блокировка сетевого трафика с помощью Диспетчера виртуальная сеть Azure