你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Azure Virtual Network Manager 预览版中配置跨租户连接 - CLI

本文介绍如何使用 Azure CLI 在 Azure Virtual Network Manager 中创建跨租户连接。 组织可以通过跨租户支持使用中心网络管理器来管理跨租户和订阅的虚拟网络。

首先将在中心网络管理器上创建范围连接。 然后在连接的租户上创建网络管理器连接，并验证连接。 最后将添加来自不同租户的虚拟网络并进行验证。 完成所有任务后，你可以从网络管理器集中管理其他租户的资源。

先决条件

• 两个 Azure 租户，包含要通过 Azure Virtual Network Manager 管理的虚拟网络。 对于本文中所提到的租户，含义如下：
  • 中心管理租户：安装了 Azure Virtual Network Manager 实例的租户，你将通过跨租户连接集中管理网络组。
  • 目标托管租户：包含要管理的虚拟网络的租户。 此租户将连接到中心管理租户。
• 部署在中心管理租户中的 Azure Virtual Network Manager。
• 这些权限：
  • 中心管理租户的管理员在目标托管租户中具有来宾帐户。
  • 管理员来宾帐户具有在适当范围级别（管理组、订阅或虚拟网络）应用的“网络参与者”权限。

在设置权限方面需要帮助？ 请查看如何在 Azure 门户中添加来宾用户，以及如何在 Azure 门户中将用户角色分配到资源。

在网络管理器中创建范围连接

创建范围连接从已部署网络管理器的中心管理租户上开始。 这是计划跨租户管理所有资源的网络管理器。

在此任务中，你将设置范围连接，以添加来自目标租户的订阅。 你将使用目标网络管理器的订阅 ID 和租户 ID。 如果要使用管理组，请将 –resource-id 参数修改为类似于 /providers/Microsoft.Management/managementGroups/{mgId}。

# Create a scope connection in the network manager in the central management tenant
az network manager scope-connection create --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" --description "This is a connection to manage resources in the target managed tenant" --resource-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" --tenant-id "aaaabbbb-0000-cccc-1111-dddd2222eeee"

在其他租户中的订阅上创建网络管理器连接

创建作用域连接后，切换到网络管理器连接的目标租户。 在此任务中，将目标租户连接到先前创建的范围连接。 还可以验证连接状态。

1. 输入以下命令，使用你的管理帐户连接到目标托管租户：

   
   # Log in to the target managed tenant
   # Change the --tenant value to the appropriate tenant ID
   az login --tenant "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   

   你需要根据组织的策略完成组织的身份验证。

2. 输入以下命令以设置订阅并在中央管理租户上创建跨租户连接。 该订阅与上一步中连接引用的订阅相同。

   # Set the Azure subscription
   az account set --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
   
   
   # Create a cross-tenant connection to the central management tenant
   az network manager connection subscription create --connection-name "toCentralManagementTenant" --description "This connection allows management of the tenant by a central management tenant" --network-manager-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRG/providers/Microsoft.Network/networkManagers/myAVNM"
   

验证连接状态

1. 输入以下命令以检查连接状态：

   # Check connection status
   az network manager connection subscription show --name "toCentralManagementTenant"
   

2. 切换回中央管理租户。 对网络管理器使用 show 命令显示通过跨租户范围的属性添加的订阅：

   # View the subscription added to the network manager
   az network manager show --resource-group myAVNMResourceGroup --name myAVNM
   

将静态成员添加到网络组

在此任务中，将会使用静态成员身份将跨租户虚拟网络添加到网络组。 在以下命令中，虚拟网络订阅与之前创建连接时引用的订阅相同。

# Create a network group with a static member from the target managed tenant
az network manager group static-member create --network-group-name "CrossTenantNetworkGroup" --network-manager-name "myAVNM" --resource-group "myAVNMResourceGroup" --static-member-name "targetVnet01" --resource-id="/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
/resourceGroups/myScopeAVNM/providers/Microsoft.Network/virtualNetworks/targetVnet01"

删除网络管理器配置

由于虚拟网络已在网络组中，因此已应用了配置。 若要删除静态成员或跨租户资源，请使用相应的 delete 命令：

# Delete the static member group
az network manager group static-member delete --network-group-name  "CrossTenantNetworkGroup" --network-manager-name " myAVNM" --resource-group "myRG" --static-member-name "targetVnet01” 

# Delete scope connections
az network manager scope-connection delete --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" 

# Switch to a managed tenant if needed 
az network manager connection subscription delete --name "toCentralManagementTenant"  

后续步骤

• 详细了解安全管理规则。

• 了解如何在 Azure 门户中使用 Azure Virtual Network Manager 创建网格网络拓扑。

• 查看 Azure Virtual Network Manager 常见问题解答。