Configurazione di gruppi di rete con Criteri di Azure in Azure Rete virtuale Manager

Questo articolo illustra come usare Criteri di Azure in Azure Rete virtuale Manager per definire l'appartenenza dinamica ai gruppi di rete. I gruppi di rete dinamici consentono di creare ambienti di rete virtuale scalabili e dinamici nell'organizzazione.

Importante

Azure Rete virtuale Manager è disponibile a livello generale per configurazioni di connettività hub-spoke e configurazioni di sicurezza con regole di amministratore della sicurezza. Le configurazioni di connettività mesh rimangono in anteprima pubblica.

Questa versione di anteprima viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate. Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.

Panoramica di Criteri di Azure

Criteri di Azure valuta le risorse in Azure confrontando le proprietà di tali risorse con le regole business. Queste regole business, descritte in formato JSON, sono note come definizioni dei criteri. Dopo aver creato le regole business, la definizione dei criteri viene assegnata a qualsiasi ambito di risorse che supporto tecnico di Azure, ad esempio gruppi di gestione, sottoscrizioni, gruppi di risorse o singole risorse. L'assegnazione si applica a tutte le risorse all'interno dell'ambito di Resource Manager di tale assegnazione. Altre informazioni sull'utilizzo dell'ambito con Ambito in Criteri di Azure.

Nota

Criteri di Azure viene usato solo per la definizione dell'appartenenza dinamica al gruppo di rete.

Definizione di Criteri di gruppo di rete

La creazione e l'implementazione di un criterio in Criteri di Azure inizia con la creazione di una risorsa di definizione dei criteri. Ogni definizione di criteri ha condizioni per l'imposizione e un effetto definito che si verifica se vengono soddisfatte le condizioni.

Con i gruppi di rete, la definizione dei criteri include l'espressione condizionale per la corrispondenza delle reti virtuali che soddisfano i criteri e specifica il gruppo di rete di destinazione in cui vengono inserite le risorse corrispondenti. L'effetto addToNetworkGroup viene usato per inserire le risorse nel gruppo di rete di destinazione. Ecco un esempio di definizione di regola dei criteri con l'effetto addToNetworkGroup . Per tutti i criteri personalizzati, la mode proprietà è impostata su Microsoft.Network.Data come destinazione del provider di risorse del gruppo di rete ed è necessaria per la creazione di una definizione di criteri per Azure Rete virtuale Manager.

"mode": "Microsoft.Network.Data",
"policyRule": {
      "if": {
        "allOf": [
          {
            "field": "Name",
            "contains": "-gen"
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "/subscriptions/12345678-abcd-123a-1234-1234abcd7890/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
        }
      }
}

Importante

Quando si definisce un criterio, deve networkGroupId essere l'ID risorsa completo del gruppo di rete di destinazione, come illustrato nella definizione di esempio. Non supporta la parametrizzazione nella definizione dei criteri. Se è necessario parametrizzare il gruppo di rete, è possibile usare un modello di Azure Resource Manager per creare la definizione e l'assegnazione dei criteri.

Quando Criteri di Azure viene usato con Azure Rete virtuale Manager, il criterio è destinato a una proprietà del provider di risorse di Microsoft.Network.Data. Per questo motivo, è necessario specificare un policyType di Custom nella definizione dei criteri. Quando si crea un criterio per aggiungere dinamicamente membri in Rete virtuale Manager, questo viene applicato automaticamente quando viene creato il criterio. È sufficiente scegliere custom quando si crea una nuova definizione di criteri tramite Criteri di Azure o altri strumenti all'esterno del dashboard di Rete virtuale Manager.

Ecco un esempio di definizione di criteri con la policyType proprietà impostata su Custom.

"properties": {
      "displayName": "myProdAVNM",
      "policyType": "Custom",
      "mode": "Microsoft.Network.Data",
      "metadata": {
        "category": "Azure Virtual Network Manager",
        "createdBy": "-----------------------------",
        "createdOn": "2023-04-10T15:35:35.9308987Z",
        "updatedBy": null,
        "updatedOn": null
      }
}

Altre informazioni sulla struttura delle definizioni dei criteri.

Creare un'assegnazione di criteri

Analogamente alle configurazioni di Rete virtuale Manager, le definizioni dei criteri non diventano immediatamente effettive quando vengono create. Per iniziare l'applicazione, è necessario creare un'assegnazione di criteri, che assegna una definizione da valutare in un determinato ambito. Attualmente, tutte le risorse all'interno dell'ambito vengono valutate rispetto alla definizione, che consente una singola definizione riutilizzabile che è possibile assegnare in più posizioni per un controllo di appartenenza a gruppi più granulare. Altre informazioni sulla struttura di assegnazione per Criteri di Azure.

Le definizioni e l'assegnazione dei criteri possono essere create tramite API/PS/CLI o Criteri di Azure Portale.

Autorizzazioni necessarie

Per usare i gruppi di rete con Criteri di Azure, gli utenti devono disporre delle autorizzazioni seguenti:

• Microsoft.Authorization/policyassignments/Write e Microsoft.Authorization/policydefinitions/Write sono necessari nell'ambito che si sta assegnando.
• Microsoft.Network/networkManagers/networkGroups/join/action l'azione è necessaria nel gruppo di rete di destinazione a cui si fa riferimento nella sezione Aggiungi al gruppo di rete. Questa autorizzazione consente l'aggiunta e la rimozione di oggetti dal gruppo di rete di destinazione.
• Quando si usano definizioni set per assegnare più criteri contemporaneamente, sono necessarie autorizzazioni simultanee Microsoft.Network/networkManagers/networkGroups/join/action per tutte le definizioni assegnate al momento dell'assegnazione.

Per impostare le autorizzazioni necessarie, agli utenti possono essere assegnati ruoli predefiniti con il controllo degli accessi in base al ruolo:

• Ruolo Collaboratore rete al gruppo di rete di destinazione.
• Ruolo Collaboratore criteri risorse a livello di ambito di destinazione.

Per un'assegnazione di ruolo più granulare, è possibile creare ruoli personalizzati usando l'autorizzazione e policy/write l'autorizzazioneMicrosoft.Network/networkManagers/networkGroups/join/action.

Importante

Per modificare i gruppi dinamici AVNM, è necessario concedere l'accesso solo tramite l'assegnazione di ruolo di Controllo degli accessi in base al ruolo di Azure. L'autorizzazione classica Amministrazione/legacy non è supportata. Ciò significa che se all'account è stato assegnato solo il ruolo di sottoscrizione coamministratore, non si dispone di autorizzazioni per i gruppi dinamici AVNM.

Oltre alle autorizzazioni necessarie, le sottoscrizioni e i gruppi di gestione devono essere registrati con i provider di risorse seguenti:

• Microsoft.Network è necessario per creare reti virtuali.
• Microsoft.PolicyInsightsè necessario per usare Criteri di Azure.

Per impostare la registrazione dei provider necessari, usare Register-AzResourceProvider in Azure PowerShell o az provider register nell'interfaccia della riga di comando di Azure.

Suggerimenti utili

Filtro dei tipi

Quando si configurano le definizioni dei criteri, è consigliabile includere una condizione di tipo per definire l'ambito delle reti virtuali. Questa condizione consente a un criterio di filtrare le operazioni non di rete virtuale e migliorare l'efficienza delle risorse dei criteri.

Sezionamento a livello di area

Le risorse dei criteri sono globali, il che significa che qualsiasi modifica ha effetto su tutte le risorse nell'ambito di assegnazione, indipendentemente dall'area. Se il sezionamento a livello di area e l'implementazione graduale sono un problema per l'utente, è consigliabile includere una where location in [] condizione. È quindi possibile espandere in modo incrementale l'elenco dei percorsi per implementare gradualmente l'effetto.

Definizione dell'ambito dell'assegnazione

Se si seguono le procedure consigliate per i gruppi di gestione usando i gruppi di gestione di Azure, è probabile che le risorse siano già organizzate in una struttura gerarchia. Usando le assegnazioni, è possibile assegnare la stessa definizione a più ambiti distinti all'interno della gerarchia, consentendo di avere un controllo di granularità più elevato delle risorse idonee per il gruppo di rete.

Eliminazione di una definizione di Criteri di Azure associata a un gruppo di rete

È possibile essere istanze in cui non è più necessaria una definizione di Criteri di Azure. Le istanze includono quando un gruppo di rete associato a un criterio viene eliminato o si dispone di un criterio inutilizzato che non è più necessario. Per eliminare il criterio, è necessario eliminare l'oggetto associazione criteri e quindi eliminare la definizione dei criteri in Criteri di Azure. Una volta completata l'eliminazione, il nome della definizione non può essere riutilizzato o ri referenziato quando si associa una nuova definizione a un gruppo di rete.

Passaggi successivi

• Creare un'istanza di Azure Rete virtuale Manager.
• Informazioni sulle distribuzioni di configurazione in Azure Rete virtuale Manager.
• Informazioni su come bloccare il traffico di rete con una configurazione Security Amministrazione.