Konfigurieren von Netzwerkgruppen mit Azure Policy in Azure Virtual Network Manager

In diesem Artikel erfahren Sie, wie Azure Policy in Azure Virtual Network Manager verwendet wird, um die Mitgliedschaft in einer dynamischen Netzwerkgruppe zu definieren. Anhand von dynamischen Netzwerkgruppen können Sie in Ihrer Organisation skalierbare und dynamisch anpassbare VNet-Umgebungen erstellen.

Wichtig

Azure Virtual Network Manager ist allgemein für Virtual Network Manager, Hub-and-Spoke-Konnektivitätskonfigurationen und Sicherheitskonfigurationen mit Sicherheitsadministratorregeln verfügbar. Gitterkonnektivitätskonfigurationen verbleiben in der öffentlichen Vorschau.

Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Azure Policy – Übersicht

Azure Policy wertet Ressourcen in Azure aus, indem die Eigenschaften dieser Ressourcen mit Geschäftsregeln verglichen werden. Diese im JSON-Format beschriebenen Geschäftsregeln werden als Richtliniendefinitionen bezeichnet. Nach Erstellung Ihrer Geschäftsregeln wird die Richtliniendefinition einem beliebigen, von Azure unterstützten Ressourcenbereich zugewiesen, z. B. Verwaltungsgruppen, Abonnements, Ressourcengruppen oder einzelnen Ressourcen. Die Zuweisung gilt für alle Ressourcen innerhalb des Resource Manager-Bereichs dieser Zuweisung. Erfahren Sie mehr über die Verwendung von Bereichen unter Bereiche in Azure Policy.

Hinweis

Azure Policy wird nur für die Definition der dynamischen Netzwerkgruppenmitgliedschaft verwendet.

Definition von Netzwerkgruppenrichtlinien

Die Erstellung und Implementierung einer Richtlinie in Azure Policy beginnt mit dem Erstellen einer Richtliniendefinitionsressource. Jede Richtliniendefinition umfasst Bedingungen für die Erzwingung und eine definierte Auswirkung, die eintritt, wenn die Bedingungen erfüllt sind.

Bei Netzwerkgruppen enthält Ihre Richtliniendefinition den bedingten Ausdruck für den Abgleich von VNets, die Ihre Kriterien erfüllen, und gibt die Zielnetzwerkgruppe an, in der alle übereinstimmenden Ressourcen platziert werden. Die addToNetworkGroup-Wirkung wird verwendet, um Ressourcen in der Zielnetzwerkgruppe zu platzieren. Nachfolgend sehen Sie ein Beispiel für eine Richtlinienregeldefinition mit der addToNetworkGroup-Wirkung. Bei allen benutzerdefinierten Richtlinien wird die mode-Eigenschaft auf Microsoft.Network.Data festgelegt, um den Netzwerkgruppenressourcenanbieter als Ziel festzulegen. Die Eigenschaft ist außerdem erforderlich, um eine Richtliniendefinition für Azure Virtual Network Manager zu erstellen.

"mode": "Microsoft.Network.Data",
"policyRule": {
      "if": {
        "allOf": [
          {
            "field": "Name",
            "contains": "-gen"
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "/subscriptions/12345678-abcd-123a-1234-1234abcd7890/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
        }
      }
}

Wichtig

Beim Definieren einer Richtlinie muss networkGroupId die vollständige Ressourcen-ID der Zielnetzwerkgruppe sein, wie in der Beispieldefinition erkennbar ist. Parametrisierung in der Richtliniendefinition wird nicht unterstützt. Wenn Sie die Netzwerkgruppe parametrisieren müssen, können Sie eine Azure Resource Manager-Vorlage verwenden, um die Richtliniendefinition und -zuordnung zu erstellen.

Wenn Azure Policy mit Azure Virtual Network Manager verwendet wird, verwendet die Richtlinie eine Ressourcenanbieter-Eigenschaft von Microsoft.Network.Data als Ziel. Aus diesem Gründen müssen Sie einen policyType von Custom in Ihrer Richtliniendefinition angeben. Wenn Sie in Virtual Network Manager eine Richtlinie erstellen, um Mitglieder dynamisch hinzuzufügen, wird diese automatisch angewendet, wenn die Richtlinie erstellt wird. Sie müssen nur custom auswählen, wenn Sie eine neue Richtliniendefinition über Azure Policy oder andere Tools außerhalb des Virtual Network Manager-Dashboards erstellen.

Nachfolgend finden Sie ein Beispiel für eine Richtliniendefinition, bei der die Eigenschaft policyType auf Custom festgelegt ist.

"properties": {
      "displayName": "myProdAVNM",
      "policyType": "Custom",
      "mode": "Microsoft.Network.Data",
      "metadata": {
        "category": "Azure Virtual Network Manager",
        "createdBy": "-----------------------------",
        "createdOn": "2023-04-10T15:35:35.9308987Z",
        "updatedBy": null,
        "updatedOn": null
      }
}

Erfahren Sie mehr über die Struktur von Richtliniendefinitionen.

Erstellen einer Richtlinienzuweisung

Ähnlich wie Virtual Network Manager-Konfigurationen werden Richtliniendefinitionen nicht sofort beim Erstellen wirksam. Um mit der Anwendung zu beginnen, müssen Sie eine Richtlinienzuweisung erstellen, die eine Definition zuweist, die in einem bestimmten Bereich ausgewertet werden soll. Derzeit werden alle Ressourcen innerhalb des Geltungsbereichs anhand der Definition ausgewertet, wodurch eine einzige wiederverwendbare Definition möglich ist, die Sie an mehreren Stellen zuweisen können, um die Gruppenmitgliedschaft differenzierter zu steuern. Erfahren Sie mehr über die Zuweisungsstruktur für Azure Policy.

Richtliniendefinitionen und -zuweisungen können per API/PS/CLI oder über das Azure Policy-Portal erstellt werden.

Erforderliche Berechtigungen

Um Netzwerkgruppen mit Azure Policy verwenden zu können, benötigen Benutzer die folgenden Berechtigungen:

• Microsoft.Authorization/policyassignments/Write und Microsoft.Authorization/policydefinitions/Write sind in dem Bereich erforderlich, den Sie zuweisen.
• Die Aktion Microsoft.Network/networkManagers/networkGroups/join/action ist für die Zielnetzwerkgruppe erforderlich, auf die im Abschnitt Zu Netzwerkgruppe hinzufügen verwiesen wird. Diese Berechtigung ermöglicht das Hinzufügen und Entfernen von Objekten aus der Zielnetzwerkgruppe.
• Wenn Sie festgelegte Definitionen zum gleichzeitigen Zuweisen mehrerer Richtlinien verwenden, sind zum Zeitpunkt der Zuweisung gleichzeitige Microsoft.Network/networkManagers/networkGroups/join/action-Berechtigungen für alle zugewiesenen Definitionen erforderlich.

Zum Festlegen der erforderlichen Berechtigungen können den Benutzern integrierte Rollen der rollenbasierten Zugriffssteuerung zugewiesen werden:

• Rolle Netzwerkmitwirkender für die Zielnetzwerkgruppe.
• Rolle Ressourcenrichtlinienmitwirkender auf der Zielbereichsebene.

Für eine detailliertere Rollenzuweisung können Sie benutzerdefinierte Rollen mithilfe der Microsoft.Network/networkManagers/networkGroups/join/action-Berechtigung und der policy/write-Berechtigung erstellen.

Wichtig

Zum Ändern von dynamischen AVNM-Gruppen muss Ihnen der Zugriff nur über die Azure RBAC-Rollenzuweisung gewährt werden. Die klassische Admin-/Legacyautorisierung wird nicht unterstützt. Dies bedeutet, dass Sie keine Berechtigungen für dynamische AVNM-Gruppen haben, wenn Ihrem Konto nur die Rolle des Co-Administrators für das Abonnement zugewiesen wurde.

Zusammen mit den erforderlichen Berechtigungen müssen Ihre Abonnements und Verwaltungsgruppen bei den folgenden Ressourcenanbietern registriert werden:

• Microsoft.Network ist erforderlich, um virtuelle Netzwerke zu erstellen.
• Microsoft.PolicyInsights ist erforderlich, um Azure Policy zu verwenden.

Verwenden Sie zum Festlegen/Registrieren der erforderlichen Anbieter Register-AzResourceProvider- in Azure PowerShell oder az provider register in der Azure CLI.

Hilfreiche Tipps

Typfilterung

Bei der Konfiguration von Richtliniendefinitionen empfiehlt es sich, immer eine Typbedingung einzuschließen, um den Bereich auf virtuelle Netzwerke festzulegen. Diese Bedingung ermöglicht es einer Richtlinie, nicht virtuelle Netzwerkvorgänge herauszufiltern und die Effizienz der Ressourcen Ihrer Richtlinie zu verbessern.

Regionale Einteilung

Richtlinienressourcen sind global. Dies bedeutet, dass jede Änderung unabhängig von der Region auf alle Ressourcen im Zuweisungsbereich angewendet wird. Wenn die regionale Einteilung und eine schrittweise Einführung für Sie relevant sind, empfiehlt es sich, auch eine where location in []-Bedingung einzuschließen. Anschließend können Sie die Liste der Standorte nach und nach erweitern, um die Auswirkung schrittweise einzuführen.

Zuweisungsbereiche

Wenn Sie die bewährten Methoden für Verwaltungsgruppen unter Azure-Verwaltungsgruppen befolgen, ist es wahrscheinlich, dass Ihre Ressourcen bereits in einer hierarchischen Struktur organisiert sind. Mithilfe von Zuweisungen können Sie die gleiche Definition mehreren unterschiedlichen Bereichen in Ihrer Hierarchie zuweisen, sodass Sie umfassender und detaillierter steuern können, welche Ressourcen für Ihre Netzwerkgruppe in Frage kommen.

Löschen einer Azure Policy-Definition, die einer Netzwerkgruppe zugeordnet ist

Es kann vorkommen, dass Sie eine Azure Policy-Definition nicht mehr benötigen. Dies ist beispielsweise der Fall, wenn eine Netzwerkgruppe, die mit einer Richtlinie verknüpft ist, gelöscht wird, oder wenn eine nicht mehr benötigte Richtlinie vorhanden ist. Um die Richtlinie zu löschen, müssen Sie das Richtlinienzuordnungsobjekt löschen und dann die Richtliniendefinition in Azure Policy löschen. Nach Abschluss des Löschvorgangs kann der Definitionsname nicht wiederverwendet oder erneut referenziert werden, wenn eine neue Definition einer Netzwerkgruppe zugeordnet wird.

Nächste Schritte

• Erstellen Sie eine Azure Virtual Network Manager-Instanz.
• Erfahren Sie mehr über Konfigurationsbereitstellungen in Azure Virtual Network Manager.
• Erfahren Sie, wie Sie den Netzwerkverkehr mit einer SecurityAdmin-Konfiguration blockieren können.