مشاركة عبر

تكوين مجموعات الشبكة باستخدام نهج Azure في Azure Virtual Network Manager

  • مقالة

في هذه المقالة، ستتعرف على كيفية استخدام نهج Azure في Azure Virtual Network Manager لتحديد عضوية مجموعة الشبكة الديناميكية. تسمح لك مجموعات الشبكة الديناميكية بإنشاء بيئات شبكة ظاهرية قابلة للتطوير ومتكيفة ديناميكيا في مؤسستك.

نظرة عامة على Azure Policy

ويقوم كذلك بتقييم الموارد في Azure من خلال مقارنة خصائص هذه الموارد بقواعد العمل. تعرف قواعد العمل هذه، الموضحة بتنسيق JSON، بتعريفات النهج. بمجرد تشكيل قواعد عملك، يتم تعيين تعريف النهج إلى أي نطاق من الموارد التي يدعمها Azure، مثل مجموعات الإدارة أو الاشتراكات أو مجموعات الموارد أو الموارد الفردية. ينطبق التعيين على كل الموارد ضمن نطاق Resource Manager لهذا التعيين. تعرف على المزيد حول استخدام النطاق مع النطاق في نهج Azure.

إشعار

يتم استخدام نهج Azure فقط لتعريف عضوية مجموعة الشبكة الديناميكية.

تعريف نهج مجموعة الشبكة

يبدأ إنشاء نهج وتنفيذه في نهج Azure بإنشاء مورد تعريف نهج. كل تعريف نهج له شروط للإنفاذ، وتأثير محدد يحدث إذا تم استيفاء الشروط.

باستخدام مجموعات الشبكة، يتضمن تعريف النهج التعبير الشرطي لمطابقة الشبكات الظاهرية التي تفي بمعاييرك، ويحدد مجموعة شبكة الوجهة حيث يتم وضع أي موارد مطابقة. addToNetworkGroup يتم استخدام التأثير لوضع الموارد في مجموعة شبكة الوجهة. فيما يلي عينة من تعريف قاعدة النهج مع addToNetworkGroup التأثير. بالنسبة لجميع النهج المخصصة، يتم تعيين الخاصية mode لاستهداف Microsoft.Network.Data موفر موارد مجموعة الشبكة وهي مطلوبة لإنشاء تعريف نهج ل Azure Virtual Network Manager.

"mode": "Microsoft.Network.Data",
"policyRule": {
      "if": {
        "allOf": [
          {
            "field": "Name",
            "contains": "-gen"
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "/subscriptions/12345678-abcd-123a-1234-1234abcd7890/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
        }
      }
}

هام

عند تعريف نهج، networkGroupId يجب أن يكون معرف المورد الكامل لمجموعة الشبكة المستهدفة كما هو واضح في تعريف العينة. لا يدعم المعلمات في تعريف النهج. إذا كنت بحاجة إلى تحديد معلمات مجموعة الشبكة، يمكنك استخدام قالب Azure Resource Manager لإنشاء تعريف النهج والتعيين.

عند استخدام نهج Azure مع Azure Virtual Network Manager، يستهدف النهج خاصية Resource Provider ل Microsoft.Network.Data. لهذا السبب، تحتاج إلى تحديد نوع نهج في Custom تعريف النهج الخاص بك. عند إنشاء نهج لإضافة أعضاء ديناميكيا في Virtual Network Manager، يتم تطبيق هذا تلقائيا عند إنشاء النهج. تحتاج فقط إلى الاختيار custom عند إنشاء تعريف نهج جديد من خلال Azure Policy أو أدوات أخرى خارج لوحة معلومات Virtual Network Manager.

فيما يلي عينة من تعريف النهج مع تعيين الخاصية policyType إلى Custom.


"properties": {
      "displayName": "myProdAVNM",
      "policyType": "Custom",
      "mode": "Microsoft.Network.Data",
      "metadata": {
        "category": "Azure Virtual Network Manager",
        "createdBy": "-----------------------------",
        "createdOn": "2023-04-10T15:35:35.9308987Z",
        "updatedBy": null,
        "updatedOn": null
      }
}

تعرف على المزيد حول بنية تعريف النهج.

إنشاء مهمة للنهج

على غرار تكوينات Virtual Network Manager، لا تسري تعريفات النهج على الفور عند إنشائها. لبدء التطبيق، يجب إنشاء تعيين نهج، والذي يعين تعريفا للتقييم في نطاق معين. حاليا، يتم تقييم جميع الموارد داخل النطاق مقابل التعريف، والذي يسمح بتعريف واحد قابل لإعادة الاستخدام يمكنك تعيينه في أماكن متعددة لمزيد من التحكم في عضوية المجموعة الدقيقة. تعرف على مزيد من المعلومات حول بنية التعيين لنهج Azure.

يمكن إنشاء تعريفات النهج والتعيين من خلال واجهة برمجة التطبيقات/PS/CLI أو مدخل نهج Azure.

الأذونات المطلوبة

لاستخدام مجموعات الشبكة مع Azure Policy، يحتاج المستخدمون إلى الأذونات التالية:

  • Microsoft.Authorization/policyassignments/Write وهي Microsoft.Authorization/policydefinitions/Write مطلوبة في النطاق الذي تقوم بتعيينه.
  • Microsoft.Network/networkManagers/networkGroups/join/action هناك حاجة إلى إجراء على مجموعة الشبكة المستهدفة المشار إليها في قسم إضافة إلى مجموعة الشبكة. يسمح هذا الإذن بإضافة العناصر وإزالتها من مجموعة الشبكة المستهدفة.
  • عند استخدام تعريفات المجموعة لتعيين نهج متعددة في نفس الوقت، هناك حاجة إلى أذونات متزامنة Microsoft.Network/networkManagers/networkGroups/join/action على جميع التعريفات التي يتم تعيينها في وقت التعيين.

لتعيين الأذونات المطلوبة، يمكن تعيين أدوار مضمنة للمستخدمين باستخدام التحكم في الوصول المستند إلى الدور:

  • دور مساهم الشبكة في مجموعة الشبكة المستهدفة.
  • دور المساهم في نهج الموارد على مستوى النطاق المستهدف.

للحصول على تعيين دور أكثر دقة، يمكنك إنشاء أدوار مخصصة باستخدام Microsoft.Network/networkManagers/networkGroups/join/action الإذن والإذنpolicy/write.

هام

لتعديل المجموعات الديناميكية AVNM، يجب منحك حق الوصول عبر تعيين دور Azure RBAC فقط. التخويل الكلاسيكي للمسؤول/القديم غير مدعوم؛ وهذا يعني أنه إذا تم تعيين دور اشتراك المسؤول المشارك لحسابك فقط، فلن يكون لديك أذونات على المجموعات الديناميكية AVNM.

بالإضافة إلى الأذونات المطلوبة، يجب تسجيل اشتراكاتك ومجموعات الإدارة مع موفري الموارد التاليين:

  • Microsoft.Network مطلوب لإنشاء شبكات ظاهرية.
  • Microsoft.PolicyInsights مطلوب لاستخدام نهج Azure.

لتعيين تسجيل الموفرين المطلوبين، استخدم Register-AzResourceProvider في Azure PowerShell أو az provider register في Azure CLI.

تلميحات مفيدة

تصفية النوع

عند تكوين تعريفات النهج، نوصي بتضمين شرط نوع لنطاقه إلى الشبكات الظاهرية. يسمح هذا الشرط لنهج بتصفية عمليات الشبكة غير الظاهرية وتحسين كفاءة موارد النهج.

تقطيع إقليمي

موارد النهج عالمية، ما يعني أن أي تغيير يسري على جميع الموارد ضمن نطاق التعيين، بغض النظر عن المنطقة. إذا كان التقطيع الإقليمي والطرح التدريجي مصدر قلق بالنسبة لك، نوصي بتضمين where location in [] شرط. بعد ذلك، يمكنك توسيع قائمة المواقع بشكل متزايد لطرح التأثير تدريجيا.

تحديد نطاق التعيين

إذا كنت تتبع أفضل ممارسات مجموعة الإدارة باستخدام مجموعات إدارة Azure، فمن المحتمل أن تكون مواردك منظمة بالفعل في بنية هرمية. باستخدام التعيينات، يمكنك تعيين نفس التعريف لنطاقات مميزة متعددة داخل التسلسل الهرمي الخاص بك، ما يسمح لك بالتحكم في دقة أعلى للموارد المؤهلة لمجموعة الشبكة الخاصة بك.

حذف تعريف نهج Azure المقترن بمجموعة شبكة

يمكنك أن تكون مثيلات حيث لم تعد بحاجة إلى تعريف نهج Azure. تتضمن المثيلات عند حذف مجموعة شبكة مرتبطة بنهج، أو يكون لديك نهج غير مستخدم لم تعد بحاجة إليه. لحذف النهج، تحتاج إلى حذف كائن اقتران النهج، ثم حذف تعريف النهج في نهج Azure. بمجرد اكتمال الحذف، لا يمكن إعادة استخدام اسم التعريف أو إعادة الإشارة إليه عند إقران تعريف جديد بمجموعة شبكة اتصال.

الخطوات التالية