Как создать сетевой виртуальный модуль в концентраторе Виртуальной глобальной сети Azure

В этой статье показано, как развернуть интегрированное сетевое виртуальное устройство (NVA) в центре Виртуальная глобальная сеть Azure.

Общие сведения

NVAs, развернутые в центре Виртуальная глобальная сеть, обычно делятся на три категории:

• Устройства подключения: используется для прекращения VPN-подключений и подключений SD-WAN из локальной среды. Устройства подключения используют протокол BGP для обмена маршрутами с центром Виртуальная глобальная сеть.
• Устройства брандмауэра следующего поколения (NGFW): используется с намерением маршрутизации, чтобы обеспечить проверку трафика для обхода Виртуальная глобальная сеть концентратора.
• Подключение с двумя ролями и устройства брандмауэра: одно устройство, которое подключает локальные устройства к Azure и проверяет трафик, проходящий через концентратор Виртуальная глобальная сеть с намерением маршрутизации.

Список NVA, которые можно развернуть в центре Виртуальная глобальная сеть и их соответствующих возможностях, см. в разделе Виртуальная глобальная сеть партнеров NVA.

Механизмы развертывания

Виртуальные сетевые устройства можно развернуть с помощью нескольких различных рабочих процессов. Разные партнеры по виртуальному сетевому устройству поддерживают различные механизмы развертывания. Каждый Виртуальная глобальная сеть интегрированный партнер NVA поддерживает рабочий процесс управляемого приложения Azure Marketplace. Дополнительные сведения о других методах развертывания см. в документации поставщика NVA.

• Управляемое приложение Azure Marketplace: все Виртуальная глобальная сеть партнеры NVA используют управляемые приложения Azure для развертывания интегрированных NV В центре Виртуальная глобальная сеть. Управляемые приложения Azure предлагают простой способ развертывания виртуальных сетей в концентраторе Виртуальная глобальная сеть с помощью интерфейса портал Azure, созданного поставщиком NVA. Интерфейс портал Azure собирает критически важные параметры развертывания и конфигурации, необходимые для развертывания и загрузки NVA. Дополнительные сведения об управляемых приложениях Azure см . в документации по управляемым приложениям. Обратитесь к документации поставщика по полному рабочему процессу развертывания с помощью управляемого приложения Azure.
• Развертывания оркестратора NVA. Некоторые партнеры NVA позволяют развертывать NVA в Концентратор непосредственно из программы оркестрации или управления NVA. Развертывания NVA из программного обеспечения оркестрации NVA обычно требуют предоставления субъекта-службы Azure программному обеспечению оркестрации NVA. Субъект-служба Azure используется программным обеспечением оркестрации NVA для взаимодействия с API Azure для развертывания и управления NVAs в концентраторе. Этот рабочий процесс зависит от реализации поставщика NVA. Дополнительные сведения см. в документации поставщика.
• Другие механизмы развертывания: партнеры NVA также могут предлагать другие механизмы для развертывания виртуальных параметров в центре, таких как шаблоны ARM и Terraform. Дополнительные сведения о других поддерживаемых механизмах развертывания см. в документации поставщика.

Необходимые компоненты

В следующем руководстве предполагается, что вы развернули ресурс Виртуальная глобальная сеть по крайней мере с одним Виртуальная глобальная сеть концентратором. В этом руководстве также предполагается, что вы развертываете NVAs с помощью управляемого приложения Azure Marketplace.

Необходимые разрешения

Чтобы развернуть сетевое виртуальное устройство в центре Виртуальная глобальная сеть, пользователь или субъект-служба, создающий NVA, должен иметь как минимум следующие разрешения:

• Microsoft.Network/virtualHubs/read over the Виртуальная глобальная сеть hub, в котором развертывается NVA.
• Microsoft.Network/networkVirtualAppliances/write over the resource group, в которой развертывается NVA.
• Microsoft.Network/publicIpAddresses/join через ресурсы общедоступного IP-адреса, развернутые с помощью сетевого виртуального устройства для вариантов использования входящего интернета.

Эти разрешения необходимо предоставить управляемому приложению Azure Marketplace, чтобы обеспечить успешное развертывание. Другие разрешения могут потребоваться в зависимости от реализации рабочего процесса развертывания, разработанного партнером NVA.

Назначение разрешений управляемому приложению Azure

Виртуальные сетевые устройства, развернутые с помощью управляемого приложения Azure Marketplace, развертываются в специальной группе ресурсов в клиенте Azure, называемой управляемой группой ресурсов. При создании управляемого приложения в подписке в подписке создается соответствующая и отдельная управляемая группа ресурсов. Все ресурсы Azure, созданные управляемым приложением (включая сетевое виртуальное устройство), развертываются в управляемой группе ресурсов.

Azure Marketplace владеет субъектом-службой первой стороны, выполняющей развертывание ресурсов в управляемой группе ресурсов. У этого участника-участника есть разрешения на создание ресурсов в управляемой группе ресурсов, но у него нет разрешений на чтение, обновление или создание ресурсов Azure за пределами управляемой группы ресурсов.

Чтобы обеспечить выполнение развертывания NVA с достаточным уровнем разрешений, предоставьте дополнительные разрешения субъекту-службе развертывания Azure Marketplace, развернув управляемое приложение с управляемым удостоверением, назначаемым пользователем, с разрешениями на Виртуальная глобальная сеть концентратора и общедоступный IP-адрес, который вы хотите использовать с сетевым виртуальным устройством. Это управляемое удостоверение, назначаемое пользователем, используется только для первоначального развертывания ресурсов в управляемой группе ресурсов и используется исключительно в контексте развертывания управляемого приложения.

Примечание.

Для развертывания сетевых устройств в Центре Виртуальная глобальная сеть можно назначить только удостоверения, назначенные пользователем. Назначаемые системой удостоверения не поддерживаются.

1. Создайте удостоверение, назначаемое пользователем. Инструкции по созданию удостоверений, назначенных пользователем, см . в документации по управляемому удостоверению. Вы также можете использовать существующее удостоверение, назначаемое пользователем.
2. Назначьте разрешения назначаемому пользователем удостоверению, чтобы иметь как минимум разрешения, описанные в разделе "Необходимые разрешения", а также любые разрешения, необходимые поставщику NVA. Вы также можете предоставить удостоверение, назначаемое пользователем, встроенную роль Azure, например участник сети , которая содержит супермножество необходимых разрешений.

Кроме того, можно создать пользовательскую роль со следующим примером определения и назначить настраиваемую роль управляемому удостоверению, назначаемого пользователем.

{  
"Name": "Virtual WAN NVA Operator", 
  "IsCustom": true,
  "Description": "Can perform deploy and manage NVAs in the Virtual WAN hub.",
  "Actions": [
    "Microsoft.Network/virtualHubs/read",
    "Microsoft.Network/publicIPAddresses/join",
    "Microsoft.Network/networkVirtualAppliances/*",
    "Microsoft.Network/networkVirtualAppliances/inboundSecurityRules/*"    
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscription where Virtual Hub and NVA is deployed}",
    "/subscriptions/{subscription where Public IP used for NVA is deployed}",
  ]
}

Развертывание NVA

В следующем разделе описаны шаги, необходимые для развертывания сетевого виртуального устройства в центре Виртуальная глобальная сеть с помощью управляемого приложения Azure Marketplace.

1. Перейдите к центру Виртуальная глобальная сеть и выберите сетевое виртуальное устройство в разделе "Сторонние поставщики".

2. Выберите "Создать сетевое виртуальное устройство".

3. Выберите поставщика NVA. В этом примере выбран параметр fortinet-ngfw и нажмите кнопку "Создать". На этом этапе вы перенаправляетесь в управляемое приложение Azure Marketplace партнера NVA.

4. Следуйте инструкциям по созданию управляемого приложения, чтобы развернуть NVA и сослаться на документацию поставщика. Убедитесь, что удостоверение, назначаемое пользователем, созданное в предыдущем разделе, выбрано в рамках рабочего процесса создания управляемого приложения.

Распространенные ошибки развертывания

Ошибки разрешений

Примечание.

Сообщение об ошибке, связанное с LinkedAuthorizationFailed , отображает только одно отсутствует разрешение. В результате после обновления разрешений, назначенных субъекту-службе, управляемому удостоверению или пользователю, может возникнуть другое отсутствие разрешения.

• Если отображается сообщение об ошибке с кодом ошибки LinkedAuthorizationFailed, назначаемое пользователем удостоверение, предоставленное в рамках развертывания управляемого приложения, не имеет соответствующих разрешений. В сообщении об ошибке описаны точные разрешения, отсутствующие. В следующем примере дважды убедитесь, что управляемое удостоверение, назначаемое пользователем, имеет разрешения READ через центр Виртуальная глобальная сеть, в который вы пытаетесь развернуть NVA.

The client with object id '<>' does not have authorization to perform action 'Microsoft.Network/virtualHubs/read' over scope '/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>' or the scope is invalid. If access was recently granted, please refresh your credentials

Следующие шаги

• Дополнительные сведения о Виртуальная глобальная сеть см. в статье "Что такое Виртуальная глобальная сеть?"
• Дополнительные сведения о виртуальном сетевом модуле в концентраторе Виртуальной глобальной сети см. в статье Сведения о сетевом виртуальном устройстве в виртуальном концентраторе глобальной сети Azure (предварительная версия).