共用方式為


在 Azure 虛擬網絡 Manager 預覽版中設定跨租用戶連線 - CLI

在本文中,您將瞭解如何使用 Azure CLI 在 Azure 虛擬網絡 Manager 中建立跨租用戶連線。 跨租用戶支援可讓組織使用中央網路管理員,以管理所有租用戶和訂閱的虛擬網路。

首先,您要在中央網路管理員上建立範圍連線。 然後,在要連接的租用戶上建立網路管理員連線,並驗證連線。 最後,您將從不同的租使用者新增虛擬網路並驗證。 完成所有工作之後,您可以從網路管理員集中管理其他租用戶的資源。

必要條件

  • 兩個 Azure 租用戶,其中含有您想要透過 Azure Virtual Network Manager 管理的虛擬網路。 本文以下列方式區分租用戶:
    • 中央管理租用戶:安裝 Azure Virtual Network Manager 執行個體的租用戶,您將使用此租用戶,透過跨租用戶連線集中管理網路群組。
    • 目標受控租用戶:包含要管理之虛擬網路的租用戶。 此租用戶會連線到中央管理租用戶。
  • 部署在中央管理租用戶中的 Azure Virtual Network Manager。
  • 下列權限:
    • 中央管理租用戶的系統管理員,其在目標受控租用戶中設有來賓帳戶。
    • 系統管理員來賓帳戶的適當範圍層級 (管理群組、訂閱或虛擬網路) 已套用「網路參與者」權限。

需要設定權限的協助嗎? 了解如何在 Azure 入口網站中新增來賓使用者,以及如何將使用者角色指派給 Azure 入口網站中的資源

在網路管理員內建立範圍連線

從部署網路管理員的中央管理租用戶開始建立範圍連線。 這是您打算跨租用戶管理所有資源的網路管理員。

在這項工作中,您會設定範圍連線,以從目標租使用者新增訂用帳戶。 您將使用目標網路管理員的訂用帳戶標識碼和租使用者標識碼。 如果您要使用管理群組,請修改 –resource-id 自變數以看起來像 /providers/Microsoft.Management/managementGroups/{mgId}

# Create a scope connection in the network manager in the central management tenant
az network manager scope-connection create --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" --description "This is a connection to manage resources in the target managed tenant" --resource-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" --tenant-id "aaaabbbb-0000-cccc-1111-dddd2222eeee"

在另一個租用戶中的訂閱上建立網路管理員連線

建立範圍連線之後,您會切換至網路管理員連線的目標租使用者。 在這項工作中,您會將目標租用戶連線到您先前建立的範圍連線。 您也會驗證連線狀態。

  1. 輸入下列命令,以使用您的系統管理帳戶連線到目標受控租使用者:

    
    # Log in to the target managed tenant
    # Change the --tenant value to the appropriate tenant ID
    az login --tenant "aaaabbbb-0000-cccc-1111-dddd2222eeee"
    

    您必須根據貴組織的原則,完成與組織的驗證。

  2. 輸入下列命令來設定訂用帳戶,並在中央管理租使用者上建立跨租用戶連線。 訂用帳戶與上一個步驟中所參考連線的訂用帳戶相同。

    # Set the Azure subscription
    az account set --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
    
    
    # Create a cross-tenant connection to the central management tenant
    az network manager connection subscription create --connection-name "toCentralManagementTenant" --description "This connection allows management of the tenant by a central management tenant" --network-manager-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRG/providers/Microsoft.Network/networkManagers/myAVNM"
    

驗證連線狀態

  1. 輸入下列命令來檢查連線狀態:

    # Check connection status
    az network manager connection subscription show --name "toCentralManagementTenant"
    
  2. 切換回中央管理租使用者。 使用網路 show 管理員的 命令來顯示透過跨租使用者範圍的 屬性新增的訂用帳戶:

    # View the subscription added to the network manager
    az network manager show --resource-group myAVNMResourceGroup --name myAVNM
    

將靜態成員新增至網路群組

在這項工作中,您會使用靜態成員資格,將跨租使用者虛擬網路新增至您的網路群組。 在下列命令中,虛擬網路訂用帳戶與您稍早建立連線時所參考的訂用帳戶相同。

# Create a network group with a static member from the target managed tenant
az network manager group static-member create --network-group-name "CrossTenantNetworkGroup" --network-manager-name "myAVNM" --resource-group "myAVNMResourceGroup" --static-member-name "targetVnet01" --resource-id="/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
/resourceGroups/myScopeAVNM/providers/Microsoft.Network/virtualNetworks/targetVnet01"

刪除網路管理員設定

既然虛擬網路位於網路群組中,就會套用組態。 若要移除靜態成員或跨租用戶資源,請使用對應的 delete 命令:


# Delete the static member group
az network manager group static-member delete --network-group-name  "CrossTenantNetworkGroup" --network-manager-name " myAVNM" --resource-group "myRG" --static-member-name "targetVnet01” 

# Delete scope connections
az network manager scope-connection delete --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" 

# Switch to a managed tenant if needed 
az network manager connection subscription delete --name "toCentralManagementTenant"  

下一步