Rövid útmutató: Hálós hálózati topológia létrehozása az Azure Virtual Network Managerrel az Azure PowerShell használatával

Ismerkedés az Azure Virtual Network Managerrel az Azure PowerShell használatával a virtuális hálózatok kapcsolatainak kezeléséhez.

Ebben a rövid útmutatóban három virtuális hálózatot helyez üzembe, és az Azure Virtual Network Manager használatával létrehoz egy hálós hálózati topológiát. Ezután ellenőrizze, hogy a kapcsolatkonfiguráció alkalmazva lett-e.

Fontos

Az Azure Virtual Network Manager általánosan elérhető küllős kapcsolati konfigurációkhoz és biztonsági konfigurációkhoz biztonsági rendszergazdai szabályokkal. A hálókapcsolati konfigurációk továbbra is előzetes verzióban maradnak.

Ez az előzetes verzió szolgáltatásszintű szerződés nélkül érhető el, és éles számítási feladatokhoz nem javasoljuk. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
• Ezt a rövid útmutatót a PowerShell helyi használatával, nem az Azure Cloud Shell használatával végezheti el. Az Azure Cloud Shellben az Az.Network verziója jelenleg nem támogatja az Azure Virtual Network Manager-parancsmagokat.
• A dinamikus hálózati csoportok módosításához csak Azure RBAC-szerepkör-hozzárendelésen keresztül kell hozzáférést biztosítani. A klasszikus Rendszergazda/örökölt engedélyezés nem támogatott.

Jelentkezzen be az Azure-fiókjába, és válassza ki az előfizetését

A konfiguráció megkezdéséhez jelentkezzen be az Azure-fiókjába:

Connect-AzAccount

Ezután csatlakozzon az előfizetéséhez:

Set-AzContext -Subscription <subscription name or id>

Az Azure PowerShell-modul telepítése

Telepítse a legújabb Az.Network Azure PowerShell-modult a következő paranccsal:

 Install-Module -Name Az.Network -RequiredVersion 5.3.0

Erőforráscsoport létrehozása

Mielőtt létrehozhat egy Azure Virtual Network Manager-példányt, létre kell hoznia egy erőforráscsoportot a üzemeltetéséhez. Hozzon létre egy erőforráscsoportot a New-AzResourceGroup használatával. Ez a példa létrehoz egy vnm-learn-eastus-001ResourceGroup nevű erőforráscsoportot az USA keleti régiójában:

$location = "East US"
$rg = @{
    Name = 'rg-learn-eastus-001'
    Location = $location
}
New-AzResourceGroup @rg

A hatókör és a hozzáférés típusának meghatározása

Az Azure Virtual Network Manager-példány hatókörének és hozzáférési típusának meghatározása a New-AzNetworkManagerScope használatával. Ez a példa egyetlen előfizetéssel rendelkező hatókört határoz meg, és a hozzáférési típust Csatlakozás ivitásra állítja. Cserélje le <subscription_id> annak az előfizetésnek az azonosítójára, amelyet az Azure Virtual Network Manageren keresztül szeretne kezelni.

Import-Module -Name Az.Network -RequiredVersion "5.3.0"

[System.Collections.Generic.List[string]]$subGroup = @()  
$subGroup.Add("/subscriptions/<subscription_id>")

[System.Collections.Generic.List[String]]$access = @()  
$access.Add("Connectivity"); 

$scope = New-AzNetworkManagerScope -Subscription $subGroup

Virtual Network Manager-példány létrehozása

Hozzon létre egy Virtual Network Manager-példányt a New-AzNetworkManager használatával. Ez a példa létrehoz egy vnm-learn-eastus-001 nevű példányt az USA keleti régiójában:

$avnm = @{
    Name = 'vnm-learn-eastus-001'
    ResourceGroupName = $rg.Name
    NetworkManagerScope = $scope
    NetworkManagerScopeAccess = $access
    Location = $location
}
$networkmanager = New-AzNetworkManager @avnm

Három virtuális hálózat létrehozása

Hozzon létre három virtuális hálózatot a New-AzVirtualNetwork használatával. Ez a példa virtuális hálózatokat hoz létre vnet-learn-prod-eastus-001, vnet-learn-prod-eastus-002 és vnet-learn-test-eastus-003 néven az USA keleti régiójában. Ha már rendelkezik olyan virtuális hálózatokkal, amelyekkel hálóhálózatot szeretne létrehozni, ugorjon a következő szakaszra.

$vnet001 = @{
    Name = 'vnet-learn-prod-eastus-001'
    ResourceGroupName = $rg.Name
    Location = $location
    AddressPrefix = '10.0.0.0/16'    
}

$vnet_learn_prod_eastus_001 = New-AzVirtualNetwork @vnet001

$vnet002 = @{
    Name = 'vnet-learn-prod-eastus-002'
    ResourceGroupName = $rg.Name
    Location = $location
    AddressPrefix = '10.1.0.0/16'    
}
$vnet_learn_prod_eastus_002 = New-AzVirtualNetwork @vnet002

$vnet003 = @{
    Name = 'vnet-learn-test-eastus-003'
    ResourceGroupName = $rg.Name
    Location = $location
    AddressPrefix = '10.2.0.0/16'    
}
$vnet_learn_test_eastus_003 = New-AzVirtualNetwork @vnet003

Alhálózat hozzáadása az egyes virtuális hálózatokhoz

A virtuális hálózatok konfigurációjának befejezéséhez hozzon létre egy alapértelmezettnek nevezett alhálózati konfigurációt az Add-AzVirtualNetworkSubnetConfig paranccsal a /24 alhálózati címelőtaggal. Ezután a Set-AzVirtualNetwork használatával alkalmazza az alhálózat konfigurációját a virtuális hálózatra.

$subnet_vnet001 = @{
    Name = 'default'
    VirtualNetwork = $vnet_learn_prod_eastus_001
    AddressPrefix = '10.0.0.0/24'
}
$subnetConfig_vnet001 = Add-AzVirtualNetworkSubnetConfig @subnet_vnet001
$vnet_learn_prod_eastus_001 | Set-AzVirtualNetwork

$subnet_vnet002 = @{
    Name = 'default'
    VirtualNetwork = $vnet_learn_prod_eastus_002
    AddressPrefix = '10.1.0.0/24'
}
$subnetConfig_vnet002 = Add-AzVirtualNetworkSubnetConfig @subnet_vnet002
$vnet_learn_prod_eastus_002 | Set-AzVirtualNetwork

$subnet_vnet003 = @{
    Name = 'default'
    VirtualNetwork = $vnet_learn_test_eastus_003
    AddressPrefix = '10.2.0.0/24'
}
$subnetConfig_vnet003 = Add-AzVirtualNetworkSubnetConfig @subnet_vnet003
$vnet_learn_test_eastus_003 | Set-AzVirtualNetwork

Hálózati csoport létrehozása

A Virtual Network Manager úgy alkalmazza a konfigurációkat a virtuális hálózatok csoportjaira, hogy hálózati csoportokba helyezi őket. Hozzon létre egy hálózati csoportot a New-AzNetworkManagerGroup használatával. Ez a példa létrehoz egy ng-learn-prod-eastus-001 nevű hálózati csoportot az USA keleti régiójában:

$ng = @{
        Name = 'ng-learn-prod-eastus-001'
        ResourceGroupName = $rg.Name
        NetworkManagerName = $networkManager.Name
    }
    $ng = New-AzNetworkManagerGroup @ng

Tagság definiálása hálókonfigurációhoz

A hálózati csoport létrehozása után virtuális hálózatok hozzáadásával határozhatja meg a tagságát. Ezeket a hálózatokat manuálisan vagy az Azure Policy használatával is hozzáadhatja.

Manuális tagság

Tagság hozzáadása manuálisan

Ebben a feladatban a vnet-learn-prod-eastus-001 és a vnet-learn-prod-eastus-002 statikus tagokat adja hozzá az ng-learn-prod-eastus-001 hálózati csoporthoz a New-AzNetworkManagerStaticMember használatával.

A statikus tagoknak egyedi névvel kell rendelkezniük, amely a hálózati csoport hatókörébe tartozik. Javasoljuk, hogy a virtuális hálózat azonosítójának konzisztens kivonatát használja. Ez a megközelítés az Azure Resource Manager-sablon implementációját uniqueString() használja.

    function Get-UniqueString ([string]$id, $length=13)
    {
    $hashArray = (new-object System.Security.Cryptography.SHA512Managed).ComputeHash($id.ToCharArray())
    -join ($hashArray[1..$length] | ForEach-Object { [char]($_ % 26 + [byte][char]'a') })
    }

$sm_vnet001 = @{
        Name = Get-UniqueString $vnet_learn_prod_eastus_001.Id
        ResourceGroupName = $rg.Name
        NetworkGroupName = $ng.Name
        NetworkManagerName = $networkManager.Name
        ResourceId = $vnet_learn_prod_eastus_001.Id
    }
    $sm_vnet001 = New-AzNetworkManagerStaticMember @sm_vnet001

$sm_vnet002 = @{
        Name = Get-UniqueString $vnet_learn_prod_eastus_002.Id
        ResourceGroupName = $rg.Name
        NetworkGroupName = $ng.Name
        NetworkManagerName = $networkManager.Name
        ResourceId = $vnet_learn_prod_eastus_002.Id
    }
    $sm_vnet002 = New-AzNetworkManagerStaticMember @sm_vnet002

Azure Policy

Szabályzatdefiníció létrehozása dinamikus tagsághoz

Az Azure Policy használatával meghatározhat egy feltételt, amely lehetővé teszi két virtuális hálózat dinamikus hozzáadását a hálózati csoporthoz, ha a virtuális hálózat neve tartalmazza a -prod nevet.

Feljegyzés

Javasoljuk, hogy az összes feltételes feltételt csak a típus Microsoft.Network/virtualNetworkskereséséhez , a hatékonyság érdekében vizsgálja meg.

1. Adja meg a feltételes utasítást, és tárolja egy változóban:

   $conditionalMembership = '{
       "if": {
           "allOf": [
               {
                   "field": "type",
                   "equals": "Microsoft.Network/virtualNetworks"
               },
               {
                   "field": "name",
                   "contains": "prod"
               }
           ]
       },
       "then": {
           "effect": "addToNetworkGroup",
           "details": {
               "networkGroupId": "/subscriptions/<subscription_id>/resourceGroups/rg-learn-eastus-001/providers/Microsoft.Network/networkManagers/vnm-learn-eastus-001/networkGroups/ng-learn-prod-eastus-001"}
       },
   }'
   
   

2. Hozza létre az Azure Policy definícióját az előző lépésben definiált feltételes utasítással és a New-AzPolicyDefinition használatával.

   Ebben a példában a szabályzatdefiníció neve poldef-learn-prod előtaggal van elnevezve, és egy egyedi sztringgel van elnevezve, amely a hálózati csoportazonosító konzisztens kivonatából jön létre. A szabályzaterőforrásoknak egyedi hatókörrel kell rendelkezniük.

   function Get-UniqueString ([string]$id, $length=13)
      {
      $hashArray = (new-object System.Security.Cryptography.SHA512Managed).ComputeHash($id.ToCharArray())
      -join ($hashArray[1..$length] | ForEach-Object { [char]($_ % 26 + [byte][char]'a') })
      }
   
   $UniqueString = Get-UniqueString $ng.Id
   

   $polDef = @{
      Name = "poldef-learn-prod-"+$UniqueString
      Mode = 'Microsoft.Network.Data'
      Policy = $conditionalMembership
   }
   
   $policyDefinition = New-AzPolicyDefinition @polDef 
   

3. Rendelje hozzá a szabályzatdefiníciót egy hatókörhöz a hálózatkezelő hatókörén belül, hogy az érvénybe léphesse:

   $polAssign = @{
       Name = "polassign-learn-prod-"+$UniqueString
       PolicyDefinition  = $policyDefinition
   }
   
   $policyAssignment = New-AzPolicyAssignment @polAssign
   

Kapcsolódási konfiguráció létrehozása

Ebben a feladatban egy kapcsolati konfigurációt hoz létre az ng-learn-prod-eastus-001 hálózati csoporttal a New-AzNetworkManager Csatlakozás ivityConfiguration és a New-AzNetworkManager Csatlakozás ivityGroupItem használatával:

1. Kapcsolatcsoportelem létrehozása:

   $gi = @{
       NetworkGroupId = $ng.Id
   }
   $groupItem = New-AzNetworkManagerConnectivityGroupItem @gi
   

2. Hozzon létre egy konfigurációs csoportot, és adjon hozzá egy kapcsolatcsoportelemet:

   [System.Collections.Generic.List[Microsoft.Azure.Commands.Network.Models.NetworkManager.PSNetworkManagerConnectivityGroupItem]]$configGroup = @()
   $configGroup.Add($groupItem)
   

3. Hozza létre a kapcsolati konfigurációt a konfigurációs csoporttal:

   $config = @{
       Name = 'cc-learn-prod-eastus-001'
       ResourceGroupName = $rg.Name
       NetworkManagerName = $networkManager.Name
       ConnectivityTopology = 'Mesh'
       AppliesToGroup = $configGroup
   }
   $connectivityconfig = New-AzNetworkManagerConnectivityConfiguration @config
       ```                        
   
   

Üzembe helyezés véglegesítése

Véglegesítse a konfigurációt a célrégiókban a következő használatával Deploy-AzNetworkManagerCommit: . Ez a lépés aktiválja a konfigurációt, hogy érvénybe lépjen.

[System.Collections.Generic.List[string]]$configIds = @()  
$configIds.add($connectivityconfig.id) 
[System.Collections.Generic.List[string]]$target = @()   
$target.Add("westus")     

$deployment = @{
    Name = $networkManager.Name
    ResourceGroupName = $rg.Name
    ConfigurationId = $configIds
    TargetLocation = $target
    CommitType = 'Connectivity'
}
Deploy-AzNetworkManagerCommit @deployment 

Az erőforrások eltávolítása

Ha már nincs szüksége az Azure Virtual Network Manager-példányra, az erőforrás törlése előtt győződjön meg arról, hogy az alábbi pontok mindegyike igaz:

• Egyetlen régióban sem üzemelnek konfigurációk.
• Az összes konfiguráció törölve lett.
• Az összes hálózati csoport törölve lett.

Az erőforrás törlése:

1. Távolítsa el a kapcsolat üzembe helyezését egy üres konfiguráció üzembe helyezésével a következővel Deploy-AzNetworkManagerCommit:

   [System.Collections.Generic.List[string]]$configIds = @()
   [System.Collections.Generic.List[string]]$target = @()   
   $target.Add("westus")     
   $removedeployment = @{
       Name = 'vnm-learn-eastus-001'
       ResourceGroupName = $rg.Name
       ConfigurationId = $configIds
       Target = $target
       CommitType = 'Connectivity'
   }
   Deploy-AzNetworkManagerCommit @removedeployment
   

2. Távolítsa el a kapcsolati konfigurációt a következő használatával Remove-AzNetworkManagerConnectivityConfiguration:

   
   Remove-AzNetworkManagerConnectivityConfiguration -Name $connectivityconfig.Name -ResourceGroupName $rg.Name -NetworkManagerName $networkManager.Name
   
   

3. Távolítsa el a szabályzat erőforrásait a következő használatával Remove-AzPolicy*:

   
   Remove-AzPolicyAssignment -Name $policyAssignment.Name
   Remove-AzPolicyAssignment -Name $policyDefinition.Name
   
   

4. Távolítsa el a hálózati csoportot a következővel Remove-AzNetworkManagerGroup:

   Remove-AzNetworkManagerGroup -Name $ng.Name -ResourceGroupName $rg.Name -NetworkManagerName $networkManager.Name
   

5. Törölje a Virtual Network Manager-példányt a következő használatával Remove-AzNetworkManager:

   Remove-AzNetworkManager -name $networkManager.Name -ResourceGroupName $rg.Name
   

6. Ha már nincs szüksége a létrehozott erőforrásra, törölje az erőforráscsoportot a Remove-AzResourceGroup használatával:

   Remove-AzResourceGroup -Name $rg.Name -Force
   

Következő lépések

Most, hogy létrehozott egy Azure Virtual Network Manager-példányt, megtudhatja, hogyan tilthatja le a hálózati forgalmat egy biztonsági rendszergazdai konfigurációval:

Hálózati forgalom letiltása az Azure Virtual Network Managerrel