Rychlý start: Vytvoření síťové topologie sítě sítě pomocí Azure Virtual Network Manageru pomocí Azure PowerShellu

Začínáme s Azure Virtual Network Managerem pomocí Azure PowerShellu ke správě připojení pro vaše virtuální sítě.

V tomto rychlém startu nasadíte tři virtuální sítě a použijete Azure Virtual Network Manager k vytvoření síťové topologie sítě. Pak ověříte, že se použila konfigurace připojení.

Důležité

Azure Virtual Network Manager je obecně dostupný pro konfigurace připojení hvězdicové architektury a konfigurace zabezpečení s pravidly správce zabezpečení. Konfigurace připojení sítě zůstávají ve verzi Preview.

Tato verze Preview je poskytována bez smlouvy o úrovni služeb a nedoporučujeme ji pro produkční úlohy. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
• Tento rychlý start proveďte místně pomocí PowerShellu, ne prostřednictvím Azure Cloud Shellu. Verze Az.Network v Azure Cloud Shellu v současné době nepodporuje rutiny Azure Virtual Network Manageru.
• Pokud chcete upravit dynamické skupiny sítí, musíte mít udělený přístup pouze prostřednictvím přiřazení role Azure RBAC. Klasické Správa/starší verze autorizace se nepodporují.

Přihlaste se ke svému účtu Azure a vyberte své předplatné.

Pokud chcete zahájit konfiguraci, přihlaste se ke svému účtu Azure:

Connect-AzAccount

Pak se připojte k předplatnému:

Set-AzContext -Subscription <subscription name or id>

Instalace modulu Azure PowerShellu

Pomocí tohoto příkazu nainstalujte nejnovější modul Az.Network Azure PowerShellu:

 Install-Module -Name Az.Network -RequiredVersion 5.3.0

Vytvoření skupiny zdrojů

Než budete moct vytvořit instanci Azure Virtual Network Manageru, musíte vytvořit skupinu prostředků, která ji bude hostovat. Vytvořte skupinu prostředků pomocí rutiny New-AzResourceGroup. Tento příklad vytvoří skupinu prostředků s názvem vnm-learn-eastus-001ResourceGroup v umístění USA – východ:

$location = "East US"
$rg = @{
    Name = 'rg-learn-eastus-001'
    Location = $location
}
New-AzResourceGroup @rg

Definování oboru a typu přístupu

Definujte obor a typ přístupu pro instanci Azure Virtual Network Manageru pomocí New-AzNetworkManagerScope. Tento příklad definuje obor s jedním předplatným a nastaví typ přístupu na Připojení ivity. Nahraďte <subscription_id> ID předplatného, které chcete spravovat prostřednictvím Azure Virtual Network Manageru.

Import-Module -Name Az.Network -RequiredVersion "5.3.0"

[System.Collections.Generic.List[string]]$subGroup = @()  
$subGroup.Add("/subscriptions/<subscription_id>")

[System.Collections.Generic.List[String]]$access = @()  
$access.Add("Connectivity"); 

$scope = New-AzNetworkManagerScope -Subscription $subGroup

Vytvoření instance Virtual Network Manageru

Vytvořte instanci Virtual Network Manageru pomocí rutiny New-AzNetworkManager. Tento příklad vytvoří instanci s názvem vnm-learn-eastus-001 v umístění USA – východ:

$avnm = @{
    Name = 'vnm-learn-eastus-001'
    ResourceGroupName = $rg.Name
    NetworkManagerScope = $scope
    NetworkManagerScopeAccess = $access
    Location = $location
}
$networkmanager = New-AzNetworkManager @avnm

Vytvoření tří virtuálních sítí

Vytvořte tři virtuální sítě pomocí rutiny New-AzVirtualNetwork. Tento příklad vytvoří virtuální sítě s názvem vnet-learn-prod-eastus-001, vnet-learn-prod-eastus-002 a vnet-learn-test-eastus-003 v umístění USA – východ. Pokud už máte virtuální sítě, se kterými chcete vytvořit síť sítě, můžete přejít k další části.

$vnet001 = @{
    Name = 'vnet-learn-prod-eastus-001'
    ResourceGroupName = $rg.Name
    Location = $location
    AddressPrefix = '10.0.0.0/16'    
}

$vnet_learn_prod_eastus_001 = New-AzVirtualNetwork @vnet001

$vnet002 = @{
    Name = 'vnet-learn-prod-eastus-002'
    ResourceGroupName = $rg.Name
    Location = $location
    AddressPrefix = '10.1.0.0/16'    
}
$vnet_learn_prod_eastus_002 = New-AzVirtualNetwork @vnet002

$vnet003 = @{
    Name = 'vnet-learn-test-eastus-003'
    ResourceGroupName = $rg.Name
    Location = $location
    AddressPrefix = '10.2.0.0/16'    
}
$vnet_learn_test_eastus_003 = New-AzVirtualNetwork @vnet003

Přidání podsítě do každé virtuální sítě

K dokončení konfigurace virtuálních sítí vytvořte konfiguraci podsítě s výchozí předponou adresy podsítě /24 pomocí rutiny Add-AzVirtualNetworkSubnetConfig. Potom pomocí rutiny Set-AzVirtualNetwork použijte konfiguraci podsítě na virtuální síť.

$subnet_vnet001 = @{
    Name = 'default'
    VirtualNetwork = $vnet_learn_prod_eastus_001
    AddressPrefix = '10.0.0.0/24'
}
$subnetConfig_vnet001 = Add-AzVirtualNetworkSubnetConfig @subnet_vnet001
$vnet_learn_prod_eastus_001 | Set-AzVirtualNetwork

$subnet_vnet002 = @{
    Name = 'default'
    VirtualNetwork = $vnet_learn_prod_eastus_002
    AddressPrefix = '10.1.0.0/24'
}
$subnetConfig_vnet002 = Add-AzVirtualNetworkSubnetConfig @subnet_vnet002
$vnet_learn_prod_eastus_002 | Set-AzVirtualNetwork

$subnet_vnet003 = @{
    Name = 'default'
    VirtualNetwork = $vnet_learn_test_eastus_003
    AddressPrefix = '10.2.0.0/24'
}
$subnetConfig_vnet003 = Add-AzVirtualNetworkSubnetConfig @subnet_vnet003
$vnet_learn_test_eastus_003 | Set-AzVirtualNetwork

Vytvoření skupiny sítě

Virtual Network Manager použije konfigurace pro skupiny virtuálních sítí tak, že je umístí do skupin sítí. Vytvořte skupinu sítě pomocí rutiny New-AzNetworkManagerGroup. Tento příklad vytvoří skupinu sítě s názvem ng-learn-prod-eastus-001 v umístění USA – východ:

$ng = @{
        Name = 'ng-learn-prod-eastus-001'
        ResourceGroupName = $rg.Name
        NetworkManagerName = $networkManager.Name
    }
    $ng = New-AzNetworkManagerGroup @ng

Definování členství pro konfiguraci sítě

Po vytvoření skupiny sítě definujete její členství přidáním virtuálních sítí. Tyto sítě můžete přidat ručně nebo pomocí Služby Azure Policy.

Ruční členství

Ruční přidání členství

V této úloze přidáte statické členy vnet-learn-prod-eastus-001 a vnet-learn-prod-eastus-002 do skupiny sítě ng-learn-prod-eastus-001 pomocí Rutiny New-AzNetworkManagerStaticMember.

Statické členy musí mít jedinečný název, který je vymezený na skupinu sítě. Doporučujeme použít konzistentní hodnotu hash ID virtuální sítě. Tento přístup používá implementaci šablony uniqueString() Azure Resource Manageru.

    function Get-UniqueString ([string]$id, $length=13)
    {
    $hashArray = (new-object System.Security.Cryptography.SHA512Managed).ComputeHash($id.ToCharArray())
    -join ($hashArray[1..$length] | ForEach-Object { [char]($_ % 26 + [byte][char]'a') })
    }

$sm_vnet001 = @{
        Name = Get-UniqueString $vnet_learn_prod_eastus_001.Id
        ResourceGroupName = $rg.Name
        NetworkGroupName = $ng.Name
        NetworkManagerName = $networkManager.Name
        ResourceId = $vnet_learn_prod_eastus_001.Id
    }
    $sm_vnet001 = New-AzNetworkManagerStaticMember @sm_vnet001

$sm_vnet002 = @{
        Name = Get-UniqueString $vnet_learn_prod_eastus_002.Id
        ResourceGroupName = $rg.Name
        NetworkGroupName = $ng.Name
        NetworkManagerName = $networkManager.Name
        ResourceId = $vnet_learn_prod_eastus_002.Id
    }
    $sm_vnet002 = New-AzNetworkManagerStaticMember @sm_vnet002

Azure Policy

Vytvoření definice zásady pro dynamické členství

Pomocí služby Azure Policy definujete podmínku, která dynamicky přidá dvě virtuální sítě do skupiny sítě, když název virtuální sítě obsahuje -prod.

Poznámka:

Doporučujeme nastavit rozsah všech podmíněných kontrol pouze pro typ Microsoft.Network/virtualNetworks, aby bylo možné zajistit efektivitu.

1. Definujte podmíněný příkaz a uložte ho do proměnné:

   $conditionalMembership = '{
       "if": {
           "allOf": [
               {
                   "field": "type",
                   "equals": "Microsoft.Network/virtualNetworks"
               },
               {
                   "field": "name",
                   "contains": "prod"
               }
           ]
       },
       "then": {
           "effect": "addToNetworkGroup",
           "details": {
               "networkGroupId": "/subscriptions/<subscription_id>/resourceGroups/rg-learn-eastus-001/providers/Microsoft.Network/networkManagers/vnm-learn-eastus-001/networkGroups/ng-learn-prod-eastus-001"}
       },
   }'
   
   

2. Pomocí podmíněného příkazu definovaného v předchozím kroku a pomocí Rutiny New-AzPolicyDefinition vytvořte definici služby Azure Policy.

   V tomto příkladu je název definice zásady předponou poldef-learn-prod- a příponou s jedinečným řetězcem vygenerovaným z konzistentní hodnoty hash v ID skupiny sítě. Prostředky zásad musí mít jedinečný název oboru.

   function Get-UniqueString ([string]$id, $length=13)
      {
      $hashArray = (new-object System.Security.Cryptography.SHA512Managed).ComputeHash($id.ToCharArray())
      -join ($hashArray[1..$length] | ForEach-Object { [char]($_ % 26 + [byte][char]'a') })
      }
   
   $UniqueString = Get-UniqueString $ng.Id
   

   $polDef = @{
      Name = "poldef-learn-prod-"+$UniqueString
      Mode = 'Microsoft.Network.Data'
      Policy = $conditionalMembership
   }
   
   $policyDefinition = New-AzPolicyDefinition @polDef 
   

3. Přiřaďte definici zásad v oboru v rámci oboru správce sítě, aby mohla začít platit:

   $polAssign = @{
       Name = "polassign-learn-prod-"+$UniqueString
       PolicyDefinition  = $policyDefinition
   }
   
   $policyAssignment = New-AzPolicyAssignment @polAssign
   

Vytvoření konfigurace možností připojení

V této úloze vytvoříte konfiguraci připojení se skupinou sítě ng-learn-prod-eastus-001 pomocí rutiny New-AzNetworkManager Připojení ivityConfiguration a New-AzNetworkManager Připojení ivityGroupItem:

1. Vytvořte položku skupiny připojení:

   $gi = @{
       NetworkGroupId = $ng.Id
   }
   $groupItem = New-AzNetworkManagerConnectivityGroupItem @gi
   

2. Vytvořte skupinu konfigurace a přidejte do ní položku skupiny připojení:

   [System.Collections.Generic.List[Microsoft.Azure.Commands.Network.Models.NetworkManager.PSNetworkManagerConnectivityGroupItem]]$configGroup = @()
   $configGroup.Add($groupItem)
   

3. Vytvořte konfiguraci připojení pomocí skupiny konfigurace:

   $config = @{
       Name = 'cc-learn-prod-eastus-001'
       ResourceGroupName = $rg.Name
       NetworkManagerName = $networkManager.Name
       ConnectivityTopology = 'Mesh'
       AppliesToGroup = $configGroup
   }
   $connectivityconfig = New-AzNetworkManagerConnectivityConfiguration @config
       ```                        
   
   

Potvrzení nasazení

Potvrďte konfiguraci do cílových oblastí pomocí .Deploy-AzNetworkManagerCommit Tento krok aktivuje konfiguraci, aby se začala projevit.

[System.Collections.Generic.List[string]]$configIds = @()  
$configIds.add($connectivityconfig.id) 
[System.Collections.Generic.List[string]]$target = @()   
$target.Add("westus")     

$deployment = @{
    Name = $networkManager.Name
    ResourceGroupName = $rg.Name
    ConfigurationId = $configIds
    TargetLocation = $target
    CommitType = 'Connectivity'
}
Deploy-AzNetworkManagerCommit @deployment 

Vyčištění prostředků

Pokud už instanci Azure Virtual Network Manageru nepotřebujete, před odstraněním prostředku se ujistěte, že platí všechny následující body:

• Neexistují žádná nasazení konfigurací do žádné oblasti.
• Všechny konfigurace byly odstraněny.
• Všechny skupiny sítě byly odstraněny.

Odstranění prostředku:

1. Nasazení připojení odeberte nasazením prázdné konfigurace prostřednictvím Deploy-AzNetworkManagerCommit:

   [System.Collections.Generic.List[string]]$configIds = @()
   [System.Collections.Generic.List[string]]$target = @()   
   $target.Add("westus")     
   $removedeployment = @{
       Name = 'vnm-learn-eastus-001'
       ResourceGroupName = $rg.Name
       ConfigurationId = $configIds
       Target = $target
       CommitType = 'Connectivity'
   }
   Deploy-AzNetworkManagerCommit @removedeployment
   

2. Odeberte konfiguraci připojení pomocí:Remove-AzNetworkManagerConnectivityConfiguration

   
   Remove-AzNetworkManagerConnectivityConfiguration -Name $connectivityconfig.Name -ResourceGroupName $rg.Name -NetworkManagerName $networkManager.Name
   
   

3. Odeberte prostředky zásad pomocí Remove-AzPolicy*:

   
   Remove-AzPolicyAssignment -Name $policyAssignment.Name
   Remove-AzPolicyAssignment -Name $policyDefinition.Name
   
   

4. Odeberte skupinu sítě pomocí:Remove-AzNetworkManagerGroup

   Remove-AzNetworkManagerGroup -Name $ng.Name -ResourceGroupName $rg.Name -NetworkManagerName $networkManager.Name
   

5. Odstraňte instanci Virtual Network Manageru pomocí:Remove-AzNetworkManager

   Remove-AzNetworkManager -name $networkManager.Name -ResourceGroupName $rg.Name
   

6. Pokud už prostředek, který jste vytvořili, nepotřebujete, odstraňte skupinu prostředků pomocí remove-AzResourceGroup:

   Remove-AzResourceGroup -Name $rg.Name -Force
   

Další kroky

Teď, když jste vytvořili instanci Azure Virtual Network Manageru, se naučíte blokovat síťový provoz pomocí konfigurace správce zabezpečení:

Blokování síťového provozu pomocí Azure Virtual Network Manageru