Snabbstart: Skapa en nätnätverkstopologi med Azure Virtual Network Manager med hjälp av Azure CLI

Kom igång med Azure Virtual Network Manager med hjälp av Azure CLI för att hantera anslutningar för alla dina virtuella nätverk.

I den här snabbstarten distribuerar du tre virtuella nätverk och använder Azure Virtual Network Manager för att skapa en nätnätverkstopologi. Sedan kontrollerar du att anslutningskonfigurationen har tillämpats.

Förutsättningar

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
• Den senaste Azure CLI eller så kan du använda Azure Cloud Shell i portalen.
• Azure Virtual Network Manager-tillägget. Om du vill lägga till den kör du az extension add -n virtual-network-manager.
• Om du vill ändra dynamiska nätverksgrupper måste du endast beviljas åtkomst via Azure RBAC-rolltilldelning . Klassisk administratör/äldre auktorisering stöds inte.

Logga in på ditt Azure-konto och välj din prenumeration

Börja konfigurationen genom att logga in på ditt Azure-konto. Om du använder funktionen Prova med Cloud Shell loggas du in automatiskt.

az login

Välj den prenumeration där Virtual Network Manager distribueras:

az account set \
    --subscription "<subscriptionID>"

Uppdatera Virtual Network Manager-tillägget för Azure CLI:

az extension update --name virtual-network-manager

Skapa en resursgrupp

I den här uppgiften skapar du en resursgrupp som ska vara värd för en instans av nätverkshanteraren med hjälp av az group create. I det här exemplet skapas en resursgrupp med namnet resource-group på platsen (USA) västra 2 :

az group create \
    --name "resource-group" \
    --location "westus2"

Skapa en Virtual Network Manager-instans

I den här uppgiften definierar du omfång och åtkomsttyp för den här Virtual Network Manager-instansen. Skapa omfånget med hjälp av az network manager create. Ersätt värdet <subscriptionID> med den prenumeration som du vill att Virtual Network Manager ska hantera virtuella nätverk för. Ersätt <mgName\> med den hanteringsgrupp som du vill hantera.

az network manager create \
    --location "westus2" \
    --name "network-manager" \
    --resource-group "resource-group" \
    --scope-accesses "Connectivity" "SecurityAdmin" \
    --network-manager-scopes subscriptions="/subscriptions/<subscriptionID>"

Skapa en nätverksgrupp

I den här uppgiften skapar du en nätverksgrupp med hjälp av az network manager group create:

az network manager group create \
    --name "network-group" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group" \
    --description "Network Group for Production virtual networks"

Skapa virtuella nätverk

I den här uppgiften skapar du tre virtuella nätverk med az network vnet create. Det här exemplet skapar virtuella nätverk med namnet tre virtuella på platsen (USA) västra 2 . Varje virtuellt nätverk har en tagg networkType som används för dynamiskt medlemskap. Om du redan har virtuella nätverk som du vill skapa ett nätnätverk med kan du gå vidare till nästa avsnitt.

az network vnet create \
    --name "vnet-00" \
    --resource-group "resource-group" \
    --address-prefix "10.0.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-01" \
    --resource-group "resource-group" \
    --address-prefix "10.1.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-02" \
    --resource-group "resource-group" \
    --address-prefix "10.2.0.0/16" \
    --tags "NetworkType=Prod"

Lägga till ett undernät i varje virtuellt nätverk

I den här uppgiften slutför du konfigurationen av de virtuella nätverken genom att lägga till ett /24-undernät i vart och ett. Skapa en undernätskonfiguration med namnet default med az network vnet subnet create:

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-00" \
    --address-prefix "10.0.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-01" \
    --address-prefix "10.1.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-02" \
    --address-prefix "10.2.0.0/24"

Definiera medlemskap för en mesh-konfiguration

Azure Virtual Network Manager tillåter två metoder för att lägga till medlemskap i en nätverksgrupp. Statiskt medlemskap innebär att du lägger till virtuella nätverk manuellt, och dynamiskt medlemskap innebär att du använder Azure Policy för att dynamiskt lägga till virtuella nätverk baserat på villkor. Välj det alternativ som du vill slutföra för ditt mesh-konfigurationsmedlemskap.

Manuellt medlemskap

Genom att använda statiskt medlemskap lägger du manuellt till tre virtuella nätverk för din mesh-konfiguration till din nätverksgrupp via az network manager group static-member create. Ersätt <subscriptionID> med den prenumeration som dessa virtuella nätverk skapades under.

az network manager group static-member create \
    --name "vnet-00" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-00"

az network manager group static-member create \
    --name "vnet-01" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-01"

az network manager group static-member create \
    --name "vnet-02" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-02"

Azure Policy

Genom att använda Azure Policy kan du dynamiskt lägga till de tre virtuella nätverken med värdet Prod networkType i nätverksgruppen. Dessa tre virtuella nätverk blir en del av mesh-konfigurationen när de har distribuerats.

Du kan tillämpa principer på en prenumeration eller en hanteringsgrupp och du måste alltid definiera dem på eller över den nivå där du skapar dem. Endast virtuella nätverk inom ett principomfång läggs till i en nätverksgrupp.

Skapa en principdefinition

I den här uppgiften skapar du en principdefinition med hjälp av az policy definition create för virtuella nätverk taggade som Prod. Ersätt <subscriptionID> med den prenumeration som du vill tillämpa den här principen på. Om du vill tillämpa den på en hanteringsgrupp ersätter du --subscription <subscriptionID> med --management-group <mgName>.

az policy definition create \
    --name "azure-policy" \
    --description "Choose Prod virtual networks only" \
    --rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"vnet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group\"}}}" \
    --subscription <subscriptionID> \
    --mode "Microsoft.Network.Data"

Tillämpa en principdefinition

I den här uppgiften använder du den princip som skapades tidigare med az policy assignment create. Ersätt <subscriptionID> med den prenumeration som du vill tillämpa den här principen på. Om du vill tillämpa den på en hanteringsgrupp ersätter --scope "/subscriptions/<subscriptionID>" du med --scope "/providers/Microsoft.Management/managementGroups/<mgName>och ersätter <mgName\> med din hanteringsgrupp.

az policy assignment create \
    --name "azure-policy-assignment" \
    --description "Take only virtual networks tagged NetworkType:Prod" \
    --scope "/subscriptions/<subscriptionID>" \
    --policy "/subscriptions/<subscriptionID>/providers/Microsoft.Authorization/azure-policys/azure-policy"

Skapa en konfiguration

I den här uppgiften skapar du en nätverkstopologikonfiguration med hjälp av az network manager connect-config create. Ersätt <subscriptionID> med ditt prenumerations-ID.

az network manager connect-config create \
    --configuration-name "connectivityconfig" \
    --description "Production Mesh Connectivity Config Example" \
    --applies-to-groups '[{"networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group", "groupConnectivity": "None"}]' \
    --connectivity-topology "Mesh" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group"

Genomför distributionen

För att konfigurationen ska börja gälla måste du checka in konfigurationen till målregionerna med hjälp av az network manager post-commit:

az network manager post-commit \
    --network-manager-name "network-manager" \
    --commit-type "Connectivity" \
    --configuration-ids "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig" \
    --target-locations "westus2" \
    --resource-group "resource-group"

Kontrollera konfigurationen

Virtuella nätverk visar konfigurationer som tillämpas på dem när du använder az network manager list-effective-connectivity-config:

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-00"

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-01"


az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-02"

För de virtuella nätverk som ingår i anslutningskonfigurationen får du utdata som liknar det här exemplet:

{
  "skipToken": "",
  "value": [
    {
      "appliesToGroups": [
        {
          "groupConnectivity": "None",
          "isGlobal": "False",
          "networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "useHubGateway": "False"
        }
      ],
      "configurationGroups": [
        {
          "description": "Network Group for Production virtual networks",
          "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "provisioningState": "Succeeded",
          "resourceGroup": "resource-group"
        }
      ],
      "connectivityTopology": "Mesh",
      "deleteExistingPeering": "False",
      "description": "Production Mesh Connectivity Config Example",
      "hubs": [],
      "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig",
      "isGlobal": "False",
      "provisioningState": "Succeeded",
      "resourceGroup": "resource-group"
    }
  ]
}

Rensa resurser

Om du inte längre behöver Azure Virtual Network Manager-instansen och andra resurser tar du bort resursgruppen med hjälp av az group delete:

az group delete \
    --name "resource-group"

Nästa steg

I det här steget får du lära dig hur du blockerar nätverkstrafik med hjälp av en säkerhetsadministratörskonfiguration:

Blockera nätverkstrafik med Azure Virtual Network Manager