التشغيل السريع: إنشاء تخطيط شبكة اتصال باستخدام Azure Virtual Network Manager باستخدام Azure CLI
ابدأ مع Azure Virtual Network Manager باستخدام Azure CLI لإدارة الاتصال لجميع الشبكات الظاهرية.
في هذا التشغيل السريع، يمكنك نشر ثلاث شبكات ظاهرية واستخدام Azure Virtual Network Manager لإنشاء تخطيط شبكة شبكة اتصال. ثم تحقق من تطبيق تكوين الاتصال.
هام
يتوفر Azure Virtual Network Manager بشكل عام لتكوينات اتصال النظام المحوري وتكوينات الأمان مع قواعد مسؤول الأمان. تظل تكوينات اتصال الشبكة قيد المعاينة.
يجري توفير إصدار المعاينة هذا دون اتفاقية على مستوى الخدمة، ولا نوصي باستخدامه لأحمال عمل الإنتاج. بعض الميزات ربما لا تكون مدعمة أو بها بعض القدرات المقيدة. لمزيد من المعلومات، راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure.
المتطلبات الأساسية
- حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.
- أحدث Azure CLI، أو يمكنك استخدام Azure Cloud Shell في المدخل.
- ملحق Azure Virtual Network Manager. لإضافته، قم بتشغيل
az extension add -n virtual-network-manager. - لتعديل مجموعات الشبكة الديناميكية، يجب منحك حق الوصول عبر تعيين دور Azure RBAC فقط. التخويل الكلاسيكي مسؤول/القديم غير مدعوم.
تسجيل الدخول إلى حساب Azure وتحديد اشتراكك
لبدء التهيئة، سجل الدخول إلى حسابك في Azure. إذا كنت تستخدم ميزة Cloud Shell Try It ، فستسجل دخولك تلقائيا.
az login
حدد الاشتراك حيث يتم نشر Virtual Network Manager:
az account set \
--subscription "<subscription_id>"
تحديث ملحق Virtual Network Manager ل Azure CLI:
az extension update --name virtual-network-manager
إنشاء مجموعة موارد
قبل أن تتمكن من نشر Azure Virtual Network Manager، يجب عليك إنشاء مجموعة موارد لإستضافتها باستخدام az group create. ينشئ هذا المثال مجموعة موارد تسمى myAVNMResourceGroup في موقع غرب الولايات المتحدة:
az group create \
--name "myAVNMResourceGroup" \
--location "westus"
إنشاء مثيل Virtual Network Manager
حدد النطاق ونوع الوصول لمثيل Virtual Network Manager هذا. إنشاء النطاق باستخدام az network manager create. استبدل القيمة <subscription_id> بالاشتراك الذي تريد أن يقوم Virtual Network Manager بإدارة الشبكات الظاهرية له. استبدل <mgName\> بمجموعة الإدارة التي تريد إدارتها.
az network manager create \
--location "westus" \
--name "myAVNM" \
--resource-group "myAVNMResourceGroup" \
--scope-accesses "Connectivity" "SecurityAdmin" \
--network-manager-scopes subscriptions="/subscriptions/<subscription_id>"
إنشاء مجموعة شبكة
يطبق Virtual Network Manager التكوينات على مجموعات الشبكات الظاهرية عن طريق وضعها في مجموعات الشبكة. إنشاء مجموعة شبكة باستخدام az network manager group create:
az network manager group create \
--name "myNetworkGroup" \
--network-manager-name "myAVNM" \
--resource-group "myAVNMResourceGroup" \
--description "Network Group for Production virtual networks"
إنشاء الشبكات الظاهرية.
إنشاء خمس شبكات ظاهرية باستخدام az network vnet create. ينشئ هذا المثال شبكات ظاهرية تسمى VNetA وVNetB وVNetC وVNetDفي موقع غرب الولايات المتحدة. تحتوي كل شبكة ظاهرية networkType على علامة تستخدم للعضوية الديناميكية. إذا كان لديك بالفعل شبكات ظاهرية تريد إنشاء شبكة باستخدامها، يمكنك التخطي إلى القسم التالي.
az network vnet create \
--name "VNetA" \
--resource-group "myAVNMResourceGroup" \
--address-prefix "10.0.0.0/16" \
--tags "NetworkType=Prod"
az network vnet create \
--name "VNetB" \
--resource-group "myAVNMResourceGroup" \
--address-prefix "10.1.0.0/16" \
--tags "NetworkType=Prod"
az network vnet create \
--name "VNetC" \
--resource-group "myAVNMResourceGroup" \
--address-prefix "10.2.0.0/16" \
--tags "NetworkType=Prod"
az network vnet create \
--name "VNetD" \
--resource-group "myAVNMResourceGroup" \
--address-prefix "10.3.0.0/16" \
--tags "NetworkType=Test"
az network vnet create \
--name "VNetE" \
--resource-group "myAVNMResourceGroup" \
--address-prefix "10.4.0.0/16" \
--tags "NetworkType=Test"
إضافة شبكة فرعية إلى كل شبكة ظاهرية
أكمل تكوين الشبكات الظاهرية عن طريق إضافة شبكة فرعية /24 إلى كل شبكة. إنشاء تكوين شبكة فرعية باسم افتراضي باستخدام az network vnet subnet create:
az network vnet subnet create \
--name "default" \
--resource-group "myAVNMResourceGroup" \
--vnet-name "VNetA" \
--address-prefix "10.0.0.0/24"
az network vnet subnet create \
--name "default" \
--resource-group "myAVNMResourceGroup" \
--vnet-name "VNetB" \
--address-prefix "10.1.0.0/24"
az network vnet subnet create \
--name "default" \
--resource-group "myAVNMResourceGroup" \
--vnet-name "VNetC" \
--address-prefix "10.2.0.0/24"
az network vnet subnet create \
--name "default" \
--resource-group "myAVNMResourceGroup" \
--vnet-name "VNetD" \
--address-prefix "10.3.0.0/24"
az network vnet subnet create \
--name "default" \
--resource-group "myAVNMResourceGroup" \
--vnet-name "VNetE" \
--address-prefix "10.4.0.0/24"
تعريف العضوية لتكوين شبكة
يسمح Azure Virtual Network Manager باستخدام طريقتين لإضافة عضوية إلى مجموعة شبكة. تتضمن العضوية الثابتة إضافة الشبكات الظاهرية يدويا، وتتضمن العضوية الديناميكية استخدام نهج Azure لإضافة شبكات ظاهرية ديناميكيا استنادا إلى الشروط. حدد الخيار الذي تريد إكماله لعضوية تكوين الشبكة.
خيار العضوية الثابتة
باستخدام العضوية الثابتة، يمكنك إضافة ثلاث شبكات ظاهرية يدويا لتكوين الشبكة إلى مجموعة الشبكة الخاصة بك عبر az network manager group static-member create. استبدل <subscription_id> بالاشتراك الذي تم إنشاء هذه الشبكات الظاهرية ضمنه.
az network manager group static-member create \
--name "VNetA" \
--network-group "myNetworkGroup" \
--network-manager "myAVNM" \
--resource-group "myAVNMResourceGroup" \
--resource-id "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/virtualnetworks/VNetA"
az network manager group static-member create \
--name "VNetB" \
--network-group "myNetworkGroup" \
--network-manager "myAVNM" \
--resource-group "myAVNMResourceGroup" \
--resource-id "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/virtualnetworks/VNetB"
az network manager group static-member create \
--name "VNetC" \
--network-group "myNetworkGroup" \
--network-manager "myAVNM" \
--resource-group "myAVNMResourceGroup" \
--resource-id "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/virtualnetworks/VNetC"
خيار العضوية الديناميكية
باستخدام نهج Azure، يمكنك إضافة الشبكات الظاهرية الثلاث ديناميكيا بقيمة networkTypeProd إلى مجموعة الشبكة. ستصبح هذه الشبكات الظاهرية الثلاث جزءا من تكوين الشبكة.
يمكنك تطبيق النهج على اشتراك أو مجموعة إدارة، ويجب عليك دائما تعريفها على المستوى الذي تقوم بإنشائها فيه أو فوقه . تتم إضافة الشبكات الظاهرية ضمن نطاق النهج فقط إلى مجموعة شبكة.
إنشاء تعريف للنهج
إنشاء تعريف نهج باستخدام az policy definition create للشبكات الظاهرية التي تم وضع علامة عليها ك Prod. استبدل <subscription_id> بالاشتراك الذي تريد تطبيق هذا النهج عليه. إذا كنت تريد تطبيقه على مجموعة إدارة، فاستبدل --subscription <subscription_id> ب --management-group <mgName>.
az policy definition create \
--name "ProdVNets" \
--description "Choose Prod virtual networks only" \
--rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"VNet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNetworkGroup\"}}}" \
--subscription <subscription_id> \
--mode "Microsoft.Network.Data"
تطبيق تعريف نهج
بعد تحديد نهج، يجب تطبيقه باستخدام az policy assignment create. استبدل <subscription_id> بالاشتراك الذي تريد تطبيق هذا النهج عليه. إذا كنت تريد تطبيقه على مجموعة إدارة، فاستبدل --scope "/subscriptions/<subscription_id>" ب --scope "/providers/Microsoft.Management/managementGroups/<mgName>، واستبدل <mgName\> بمجموعة الإدارة الخاصة بك.
az policy assignment create \
--name "ProdVNets" \
--description "Take only virtual networks tagged NetworkType:Prod" \
--scope "/subscriptions/<subscription_id>" \
--policy "/subscriptions/<subscription_id>/providers/Microsoft.Authorization/policyDefinitions/ProdVNets"
إنشاء تكوين
الآن بعد أن قمت بإنشاء مجموعة الشبكة ومنحتها الشبكات الظاهرية الصحيحة، قم بإنشاء تكوين تخطيط شبكة اتصال شبكة باستخدام az network manager connect-config create. استبدل <subscription_id> باشتراكك.
az network manager connect-config create \
--configuration-name "connectivityconfig" \
--description "Production Mesh Connectivity Config Example" \
--applies-to-groups network-group-id="/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNetworkGroup" \
--connectivity-topology "Mesh" \
--network-manager-name "myAVNM" \
--resource-group "myAVNMResourceGroup"
تنفيذ النشر
لكي يدخل التكوين حيز التنفيذ، قم بتثبيت التكوين إلى المناطق المستهدفة باستخدام az network manager بعد التثبيت:
az network manager post-commit \
--network-manager-name "myAVNM" \
--commit-type "Connectivity" \
--configuration-ids "/subscriptions/<subscription_id>/resourceGroups/myANVMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/connectivityConfigurations/connectivityconfig" \
--target-locations "westus" \
--resource-group "myAVNMResourceGroup"
تحقق من التكوين
تعرض الشبكات الظاهرية التكوينات المطبقة عليها عند استخدام az network manager list-effective-connectivity-config:
az network manager list-effective-connectivity-config \
--resource-group "myAVNMResourceGroup" \
--virtual-network-name "VNetA"
az network manager list-effective-connectivity-config \
--resource-group "myAVNMResourceGroup" \
--virtual-network-name "VNetB"
az network manager list-effective-connectivity-config \
--resource-group "myAVNMResourceGroup" \
--virtual-network-name "VNetC"
az network manager list-effective-connectivity-config \
--resource-group "myAVNMResourceGroup" \
--virtual-network-name "VNetD"
بالنسبة للشبكات الظاهرية التي تعد جزءا من تكوين الاتصال، تحصل على إخراج مشابه لهذا المثال:
{
"skipToken": "",
"value": [
{
"appliesToGroups": [
{
"groupConnectivity": "None",
"isGlobal": "False",
"networkGroupId": "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNetworkGroup",
"useHubGateway": "False"
}
],
"configurationGroups": [
{
"description": "Network Group for Production virtual networks",
"id": "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNetworkGroup",
"provisioningState": "Succeeded",
"resourceGroup": "myAVNMResourceGroup"
}
],
"connectivityTopology": "Mesh",
"deleteExistingPeering": "False",
"description": "Production Mesh Connectivity Config Example",
"hubs": [],
"id": "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/connectivityConfigurations/connectivityconfig",
"isGlobal": "False",
"provisioningState": "Succeeded",
"resourceGroup": "myAVNMResourceGroup"
}
]
}
بالنسبة للشبكات الظاهرية التي ليست جزءا من مجموعة الشبكة، مثل VNetD، يظهر إخراج مشابه لهذا المثال:
az network manager list-effective-connectivity-config --resource-group "myAVNMResourceGroup" --virtual-network-name "VNetD-test"
{
"skipToken": "",
"value": []
}
تنظيف الموارد
إذا لم تعد بحاجة إلى مثيل Azure Virtual Network Manager، فتأكد من صحة جميع النقاط التالية قبل حذف المورد:
- لا توجد عمليات نشر التكوينات إلى أي منطقة.
- تم حذف كافة التكوينات.
- تم حذف كافة مجموعات شبكة الاتصال.
لإزالة المورد:
قم بإزالة نشر الاتصال عن طريق عدم تثبيت أي تكوينات مع az network manager بعد التثبيت:
az network manager post-commit \ --network-manager-name "myAVNM" \ --commit-type "Connectivity" \ --target-locations "westus" \ --resource-group "myAVNMResourceGroup"قم بإزالة تكوين الاتصال باستخدام az network manager connect-config delete:
az network manager connect-config delete \ --configuration-name "connectivityconfig" \ --name "myAVNM" \ --resource-group "myAVNMResourceGroup"إزالة مجموعة الشبكة باستخدام az network manager group delete:
az network manager group delete \ --name "myNetworkGroup" \ --network-manager-name "myAVNM" \ --resource-group "myAVNMResourceGroup"احذف مثيل إدارة الشبكة باستخدام az network manager delete:
az network manager delete \ --name "myAVNM" \ --resource-group "myAVNMResourceGroup"إذا لم تعد بحاجة إلى المورد الذي قمت بإنشائه، فاحذف مجموعة الموارد باستخدام az group delete:
az group delete \ --name "myAVNMResourceGroup"
الخطوات التالية
الآن بعد أن قمت بإنشاء مثيل Azure Virtual Network Manager، تعرف على كيفية حظر حركة مرور الشبكة باستخدام تكوين مسؤول الأمان: