Rövid útmutató: Hálós hálózati topológia létrehozása az Azure Virtual Network Managerrel az Azure CLI használatával
Ismerkedés az Azure Virtual Network Managerrel az Azure CLI használatával az összes virtuális hálózat kapcsolatának kezeléséhez.
Ebben a rövid útmutatóban három virtuális hálózatot helyez üzembe, és az Azure Virtual Network Manager használatával létrehoz egy hálós hálózati topológiát. Ezután ellenőrizze, hogy a kapcsolatkonfiguráció alkalmazva lett-e.
Fontos
Az Azure Virtual Network Manager általánosan elérhető küllős kapcsolati konfigurációkhoz és biztonsági konfigurációkhoz biztonsági rendszergazdai szabályokkal. A hálókapcsolati konfigurációk továbbra is előzetes verzióban maradnak.
Ez az előzetes verzió szolgáltatásszintű szerződés nélkül érhető el, és éles számítási feladatokhoz nem javasoljuk. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Előfeltételek
- Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
- A legújabb Azure CLI, vagy használhatja az Azure Cloud Shellt a portálon.
- Az Azure Virtual Network Manager bővítmény. A hozzáadáshoz futtassa a parancsot
az extension add -n virtual-network-manager. - A dinamikus hálózati csoportok módosításához csak Azure RBAC-szerepkör-hozzárendelésen keresztül kell hozzáférést biztosítani. A klasszikus Rendszergazda/örökölt engedélyezés nem támogatott.
Jelentkezzen be az Azure-fiókjába, és válassza ki az előfizetését
A konfiguráció megkezdéséhez jelentkezzen be az Azure-fiókjába. Ha a Cloud Shell Kipróbálás funkcióját használja, a rendszer automatikusan bejelentkezik.
az login
Válassza ki azt az előfizetést, amelyben a Virtual Network Manager telepítve van:
az account set \
--subscription "<subscription_id>"
Frissítse az Azure CLI Virtual Network Manager-bővítményét:
az extension update --name virtual-network-manager
Erőforráscsoport létrehozása
Az Azure Virtual Network Manager üzembe helyezése előtt létre kell hoznia egy erőforráscsoportot a üzemeltetéséhez az az group create használatával. Ez a példa létrehoz egy myAVNMResourceGroup nevű erőforráscsoportot az USA nyugati régiójában:
az group create \
--name "myAVNMResourceGroup" \
--location "westus"
Virtual Network Manager-példány létrehozása
Adja meg a Virtual Network Manager-példány hatókörét és hozzáférési típusát. Hozza létre a hatókört az az network manager create használatával. Cserélje le az értéket <subscription_id> arra az előfizetésre, amelyhez a Virtual Network Manager virtuális hálózatokat szeretne kezelni. Cserélje le <mgName\> a kezelni kívánt felügyeleti csoportra.
az network manager create \
--location "westus" \
--name "myAVNM" \
--resource-group "myAVNMResourceGroup" \
--scope-accesses "Connectivity" "SecurityAdmin" \
--network-manager-scopes subscriptions="/subscriptions/<subscription_id>"
Hálózati csoport létrehozása
A Virtual Network Manager úgy alkalmazza a konfigurációkat a virtuális hálózatok csoportjaira, hogy hálózati csoportokba helyezi őket. Hozzon létre egy hálózati csoportot az az network manager group create használatával:
az network manager group create \
--name "myNetworkGroup" \
--network-manager-name "myAVNM" \
--resource-group "myAVNMResourceGroup" \
--description "Network Group for Production virtual networks"
Virtuális hálózatok létrehozása
Hozzon létre öt virtuális hálózatot az az network vnet create használatával. Ez a példa VNetA, VNetB, VNetC és VNetD nevű virtuális hálózatokat hoz létre az USA nyugati régiójában. Minden virtuális hálózat rendelkezik a dinamikus tagsághoz használt címkével networkType . Ha már rendelkezik olyan virtuális hálózatokkal, amelyekkel hálóhálózatot szeretne létrehozni, ugorjon a következő szakaszra.
az network vnet create \
--name "VNetA" \
--resource-group "myAVNMResourceGroup" \
--address-prefix "10.0.0.0/16" \
--tags "NetworkType=Prod"
az network vnet create \
--name "VNetB" \
--resource-group "myAVNMResourceGroup" \
--address-prefix "10.1.0.0/16" \
--tags "NetworkType=Prod"
az network vnet create \
--name "VNetC" \
--resource-group "myAVNMResourceGroup" \
--address-prefix "10.2.0.0/16" \
--tags "NetworkType=Prod"
az network vnet create \
--name "VNetD" \
--resource-group "myAVNMResourceGroup" \
--address-prefix "10.3.0.0/16" \
--tags "NetworkType=Test"
az network vnet create \
--name "VNetE" \
--resource-group "myAVNMResourceGroup" \
--address-prefix "10.4.0.0/16" \
--tags "NetworkType=Test"
Alhálózat hozzáadása az egyes virtuális hálózatokhoz
A virtuális hálózatok konfigurációjának befejezéséhez adjon hozzá egy /24 alhálózatot mindegyikhez. Hozzon létre egy alapértelmezett nevű alhálózat-konfigurációt az az network vnet subnet create használatával:
az network vnet subnet create \
--name "default" \
--resource-group "myAVNMResourceGroup" \
--vnet-name "VNetA" \
--address-prefix "10.0.0.0/24"
az network vnet subnet create \
--name "default" \
--resource-group "myAVNMResourceGroup" \
--vnet-name "VNetB" \
--address-prefix "10.1.0.0/24"
az network vnet subnet create \
--name "default" \
--resource-group "myAVNMResourceGroup" \
--vnet-name "VNetC" \
--address-prefix "10.2.0.0/24"
az network vnet subnet create \
--name "default" \
--resource-group "myAVNMResourceGroup" \
--vnet-name "VNetD" \
--address-prefix "10.3.0.0/24"
az network vnet subnet create \
--name "default" \
--resource-group "myAVNMResourceGroup" \
--vnet-name "VNetE" \
--address-prefix "10.4.0.0/24"
Tagság definiálása hálókonfigurációhoz
Az Azure Virtual Network Manager két módszert tesz lehetővé a tagság hálózati csoporthoz való hozzáadásához. A statikus tagság magában foglalja a virtuális hálózatok manuális hozzáadását, a dinamikus tagsághoz pedig az Azure Policy használatával kell dinamikusan hozzáadni a virtuális hálózatokat a feltételek alapján. Válassza ki a hálókonfigurációs tagsághoz használni kívánt lehetőséget.
Statikus tagsági lehetőség
Statikus tagság használatával manuálisan adhat hozzá három virtuális hálózatot a hálókonfigurációhoz a hálózati csoporthoz az az network manager group static-member create használatával. Cserélje le <subscription_id> azt az előfizetést, amely alatt ezek a virtuális hálózatok lettek létrehozva.
az network manager group static-member create \
--name "VNetA" \
--network-group "myNetworkGroup" \
--network-manager "myAVNM" \
--resource-group "myAVNMResourceGroup" \
--resource-id "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/virtualnetworks/VNetA"
az network manager group static-member create \
--name "VNetB" \
--network-group "myNetworkGroup" \
--network-manager "myAVNM" \
--resource-group "myAVNMResourceGroup" \
--resource-id "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/virtualnetworks/VNetB"
az network manager group static-member create \
--name "VNetC" \
--network-group "myNetworkGroup" \
--network-manager "myAVNM" \
--resource-group "myAVNMResourceGroup" \
--resource-id "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/virtualnetworks/VNetC"
Dinamikus tagság lehetőség
Az Azure Policy használatával dinamikusan hozzáadhatja a három virtuális hálózatot networkTypeProd a hálózati csoporthoz. Ez a három virtuális hálózat a hálókonfiguráció részévé válik.
Szabályzatokat alkalmazhat egy előfizetésre vagy felügyeleti csoportra, és mindig a létrehozási szinten vagy annál magasabb szinten kell meghatároznia őket. Csak a szabályzat hatókörébe tartozó virtuális hálózatok lesznek hozzáadva egy hálózati csoporthoz.
Szabályzatdefiníció létrehozása
Szabályzatdefiníció létrehozása az az policy definition create használatával a következő címkével Prodellátott virtuális hálózatokhoz: . Cserélje le <subscription_id> azt az előfizetést, amelyre alkalmazni szeretné ezt a szabályzatot. Ha egy felügyeleti csoportra szeretné alkalmazni, cserélje le a --management-group <mgName>elemet--subscription <subscription_id>.
az policy definition create \
--name "ProdVNets" \
--description "Choose Prod virtual networks only" \
--rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"VNet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNetworkGroup\"}}}" \
--subscription <subscription_id> \
--mode "Microsoft.Network.Data"
Szabályzatdefiníció alkalmazása
Miután definiált egy szabályzatot, az az policy assignment create használatával kell alkalmaznia. Cserélje le <subscription_id> azt az előfizetést, amelyre alkalmazni szeretné ezt a szabályzatot. Ha egy felügyeleti csoportra szeretné alkalmazni, cserélje le --scope "/subscriptions/<subscription_id>"--scope "/providers/Microsoft.Management/managementGroups/<mgName>és cserélje le <mgName\> a felügyeleti csoportra.
az policy assignment create \
--name "ProdVNets" \
--description "Take only virtual networks tagged NetworkType:Prod" \
--scope "/subscriptions/<subscription_id>" \
--policy "/subscriptions/<subscription_id>/providers/Microsoft.Authorization/policyDefinitions/ProdVNets"
Konfiguráció létrehozása
Most, hogy létrehozta a hálózati csoportot, és a megfelelő virtuális hálózatokat adta neki, hozzon létre egy hálós hálózati topológia-konfigurációt az az network manager connect-config create használatával. Cserélje le <subscription_id> az előfizetését.
az network manager connect-config create \
--configuration-name "connectivityconfig" \
--description "Production Mesh Connectivity Config Example" \
--applies-to-groups network-group-id="/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNetworkGroup" \
--connectivity-topology "Mesh" \
--network-manager-name "myAVNM" \
--resource-group "myAVNMResourceGroup"
Az üzembe helyezés véglegesítése
A konfiguráció érvénybe lépéséhez véglegesítse a konfigurációt a célrégiókban az az network manager post-commit használatával:
az network manager post-commit \
--network-manager-name "myAVNM" \
--commit-type "Connectivity" \
--configuration-ids "/subscriptions/<subscription_id>/resourceGroups/myANVMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/connectivityConfigurations/connectivityconfig" \
--target-locations "westus" \
--resource-group "myAVNMResourceGroup"
A konfiguráció ellenőrzése
A virtuális hálózatok az az network manager list-effective-connectivity-config használatakor a rájuk alkalmazott konfigurációkat jelenítik meg:
az network manager list-effective-connectivity-config \
--resource-group "myAVNMResourceGroup" \
--virtual-network-name "VNetA"
az network manager list-effective-connectivity-config \
--resource-group "myAVNMResourceGroup" \
--virtual-network-name "VNetB"
az network manager list-effective-connectivity-config \
--resource-group "myAVNMResourceGroup" \
--virtual-network-name "VNetC"
az network manager list-effective-connectivity-config \
--resource-group "myAVNMResourceGroup" \
--virtual-network-name "VNetD"
A kapcsolatkonfiguráció részét képező virtuális hálózatok esetében az alábbi példához hasonló kimenet jelenik meg:
{
"skipToken": "",
"value": [
{
"appliesToGroups": [
{
"groupConnectivity": "None",
"isGlobal": "False",
"networkGroupId": "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNetworkGroup",
"useHubGateway": "False"
}
],
"configurationGroups": [
{
"description": "Network Group for Production virtual networks",
"id": "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNetworkGroup",
"provisioningState": "Succeeded",
"resourceGroup": "myAVNMResourceGroup"
}
],
"connectivityTopology": "Mesh",
"deleteExistingPeering": "False",
"description": "Production Mesh Connectivity Config Example",
"hubs": [],
"id": "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/connectivityConfigurations/connectivityconfig",
"isGlobal": "False",
"provisioningState": "Succeeded",
"resourceGroup": "myAVNMResourceGroup"
}
]
}
Olyan virtuális hálózatok esetében, amelyek nem részei a hálózati csoportnak, például a VNetD-nek, az alábbi példához hasonló kimenet jelenik meg:
az network manager list-effective-connectivity-config --resource-group "myAVNMResourceGroup" --virtual-network-name "VNetD-test"
{
"skipToken": "",
"value": []
}
Az erőforrások eltávolítása
Ha már nincs szüksége az Azure Virtual Network Manager-példányra, az erőforrás törlése előtt győződjön meg arról, hogy az alábbi pontok mindegyike igaz:
- Egyetlen régióban sem üzemelnek konfigurációk.
- Az összes konfiguráció törölve lett.
- Az összes hálózati csoport törölve lett.
Az erőforrás törlése:
Távolítsa el a kapcsolattelepítést úgy, hogy nem véglegesíti a konfigurációkat az az network managerrel a véglegesítés után:
az network manager post-commit \ --network-manager-name "myAVNM" \ --commit-type "Connectivity" \ --target-locations "westus" \ --resource-group "myAVNMResourceGroup"Távolítsa el a kapcsolati konfigurációt az az network manager connect-config delete használatával:
az network manager connect-config delete \ --configuration-name "connectivityconfig" \ --name "myAVNM" \ --resource-group "myAVNMResourceGroup"Távolítsa el a hálózati csoportot az az network manager group delete használatával:
az network manager group delete \ --name "myNetworkGroup" \ --network-manager-name "myAVNM" \ --resource-group "myAVNMResourceGroup"Törölje a network manager-példányt az az network manager delete használatával:
az network manager delete \ --name "myAVNM" \ --resource-group "myAVNMResourceGroup"Ha már nincs szüksége a létrehozott erőforrásra, törölje az erőforráscsoportot az az group delete használatával:
az group delete \ --name "myAVNMResourceGroup"
Következő lépések
Most, hogy létrehozott egy Azure Virtual Network Manager-példányt, megtudhatja, hogyan tilthatja le a hálózati forgalmat egy biztonsági rendszergazdai konfigurációval: