你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
快速入门:操作员和虚拟化网络功能 (VNF) 的先决条件
本快速入门包含操作员和虚拟化网络功能 (VNF) 的先决条件任务。 尽管可以在 NSD(网络服务定义)中自动执行这些任务,但在本快速入门中,将手动执行这些操作。
部署虚拟机 (VM) 的先决条件
执行相关操作在你的发布者资源所在的同一区域中为先决条件创建资源组。
az login使用订阅 ID 选择活动订阅。
az account set --subscription "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"创建资源组。
az group create --name OperatorResourceGroup --location uksouth注意
你在此处创建的资源组将用于进一步部署。
将以下 Bicep 脚本在本地保存为 prerequisites.bicep。
param location string = resourceGroup().location param vnetName string = 'ubuntu-vm-vnet' param vnetAddressPrefixes string param subnetName string = 'ubuntu-vm-subnet' param subnetAddressPrefix string param identityName string = 'identity-for-ubuntu-vm-sns' resource networkSecurityGroup 'Microsoft.Network/networkSecurityGroups@2022-05-01' ={ name: '${vnetName}-nsg' location: location } resource virtualNetwork 'Microsoft.Network/virtualNetworks@2019-11-01' = { name: vnetName location: location properties: { addressSpace: { addressPrefixes: [vnetAddressPrefixes] } subnets: [ { name: subnetName properties: { addressPrefix: subnetAddressPrefix networkSecurityGroup: { id:networkSecurityGroup.id } } } ] } } resource managedIdentity 'Microsoft.ManagedIdentity/userAssignedIdentities@2018-11-30' = { name: identityName location: location } output managedIdentityId string = managedIdentity.id output vnetId string = virtualNetwork.id将以下 json 模板保存为 prerequisites.parameters.json。
{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#", "contentVersion": "1.0.0.0", "parameters": { "vnetAddressPrefixes": { "value": "10.0.0.0/24" }, "subnetAddressPrefix": { "value": "10.0.0.0/28" } } }确保脚本保存在本地。
部署虚拟网络
启动虚拟网络的部署。 发出以下命令:
az deployment group create --name prerequisites --resource-group OperatorResourceGroup --template-file prerequisites.bicep --parameters prerequisites.parameters.json该脚本创建虚拟网络、网络安全组和托管标识。
找到托管标识的资源 ID
登录到 Azure 门户:打开 Web 浏览器并使用你的 Azure 帐户凭据登录到 Azure 门户 (https://portal.azure.com/)。
导航到所有服务:在“标识”下,选择“托管标识”。
找到托管标识:在托管标识列表中,在你的资源组中查找并选择名为 identity-for-ubuntu-vm-sns 的标识。 你现在应处于该托管标识的概述页上。
查找 ID:选择托管标识的属性部分。 你应该会看到有关该标识的各种信息。 查找 ID 字段。
复制到剪贴板:选择资源 ID 旁边的“复制”按钮或图标。
保存复制的资源 ID:保存复制的资源 ID,因为创建站点网络服务时“配置组值”需要此信息。
找到虚拟网络的资源 ID
登录到 Azure 门户:打开 Web 浏览器并使用你的 Azure 帐户凭据登录到 Azure 门户 (https://portal.azure.com/)。
导航到虚拟网络:在左侧导航窗格中,选择“虚拟网络”。
搜索虚拟网络:在虚拟网络列表中,你可以滚动浏览列表或使用搜索栏查找 ubuntu-vm-vnet 虚拟网络。
访问虚拟网络:选择 ubuntu-vm-vnet 虚拟网络的名称。 你现在应处于该虚拟网络的概述页上。
查找 ID:选择虚拟网络的属性部分。 你应该会看到有关该标识的各种信息。 复制“资源 ID”字段。
复制到剪贴板:选择资源 ID 旁边的“复制”按钮或图标以将其复制到剪贴板。
保存复制的资源 ID:保存复制的资源 ID,因为创建站点网络服务时“配置组值”需要此信息。
更新站点网络服务 (SNS) 权限
若要执行此任务,你需要对相应的资源组拥有“用户访问管理员”角色。 在前面的步骤中,你在参考资源组内创建了一个标记为 identity-for-ubuntu-vm-sns 的托管标识。 此标识在部署站点网络服务 (SNS) 时发挥重要作用。 。 为该标识授予对相关资源的“参与者”权限。 这些操作有助于将虚拟机 (VM) 连接到虚拟网络 (VNET)。 通过此标识,站点网络服务 (SNS) 将获得所需的权限。
在前面的步骤中,你在参考资源组内创建了一个标记为 identity-for-ubuntu-vm-sns 的托管标识。 此标识在部署站点网络服务 (SNS) 时发挥重要作用。 为该标识授予对相关资源的“参与者”权限。 这些操作有助于部署虚拟网络功能以及将虚拟机 (VM) 连接到虚拟网络 (VNET)。 通过此标识,站点网络服务 (SNS) 将获得所需的权限。
通过虚拟网络向托管标识授予“参与者”角色
访问 Azure 门户并打开之前创建的资源组,在本例中为 OperatorResourceGroup。
找到并选择名为 ubuntu-vm-vnet 的虚拟网络。
在虚拟网络的边栏菜单中,选择“访问控制(IAM)”。
选择“添加角色分配”。
在“特权管理员角色”类别下选择“参与者”,然后继续“下一步”。
选择“托管标识” 。
选择“+ 选择成员”,然后查找并选择用户分配的托管标识 identity-for-ubuntu-vm-sns。
选择“查看并分配”。
向托管标识授予对发布者资源组的“参与者”角色
访问 Azure 门户,打开发布网络功能定义时创建的发布者资源组,在本例中为 ubuntu-publisher-rg。
在资源组的边栏菜单中,选择“访问控制(IAM)”。
选择“添加角色分配”。
在“特权管理员角色”类别下选择“参与者”,然后继续“下一步”。
选择“托管标识” 。
选择“+ 选择成员”,然后查找并选择用户分配的托管标识 identity-for-ubuntu-vm-sns。
选择“查看并分配”。
向托管标识授予对它自己的“操作员”角色
转到 Azure 门户,搜索“托管标识”。
从“托管标识”列表中选择 identity-for-ubuntu-vm-sns。
在边栏菜单中,选择“访问控制(IAM)”。
选择“添加角色分配”。
选择“托管标识操作员”角色,然后继续“下一步”。
选择“托管标识” 。
选择“+ 选择成员”,导航到名为 identity-for-ubuntu-vm-sns 的用户分配的托管标识,然后继续分配。
选择“查看并分配”。
完成本文中概述的所有任务可确保站点网络服务 (SNS) 具有在指定 Azure 环境中有效运行所需的权限。