Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
V současné době je funkce správy IP adres (IPAM) ve službě Azure Virtual Network Manager obecně dostupná v následujících oblastech:
- Východní Asie
- Austrálie – střed
- Austrálie – východ
- Brazílie – jih
- Střední Kanada
- Středozápad USA (EUAP)
- Východní USA
- USA – východ 2 EUAP
- Evropa – sever
- Francie – jih
- Německo – středozápad
- Střední Indie
- Japonsko – východ
- Jižní Korea – střed
- Mexiko – střed
- Severní střed USA
- Norsko – západ
- Jihoafrická republika – sever
- Švédsko – střed
- Švýcarsko – západ
- Tchaj-wan – sever
- Spojené arabské emiráty – střed
- Spojené království – jih
- USA – západ
- Západ USA 2
Všechny ostatní oblasti jsou ve verzi Preview. Tato verze Preview je poskytována bez smlouvy o úrovni služeb a nedoporučujeme ji pro produkční úlohy. Některé funkce nemusí být podporované nebo můžou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.
Azure Virtual Network Manager vám pomůže centrálně spravovat virtuální sítě ve vaší organizaci. I když poskytuje zásady správného řízení pro virtuální sítě, nezabrání automatickému překrývání adresních prostorů během vytváření nebo aktualizací virtuální sítě. Nepřekrývající se adresní prostory můžete vynutit kombinací služby Azure Policy s fondy správy adres IP (IPAM), čímž zajistíte síťové připojení bez konfliktů IP ve vašem prostředí.
Následující ukázková definice zásady Azure zajišťuje, že každá virtuální síť (Microsoft.Network/virtualNetworks) v rozsahu této definice zásady musí mít jedno přidělení předponu fondu IPAM z jedné ze dvou zadaných skupin. Pokud virtuální síť nemá přidělení z některého fondu, zásada zamítne vytvoření nebo aktualizaci virtuální sítě tím, že vynutí použití nepřekrývajících se adres CIDR (Classless Inter-Domain Routing).
{
"mode": "All",
"parameters": {},
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Network/virtualNetworks"
},
{
"not": {
"anyOf": [
{
"field": "Microsoft.Network/virtualnetworks/addressSpace.ipamPoolPrefixAllocations[*].pool.id",
"equals": "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/networkManagers/network-manager/ipamPools/IPAM-pool-2"
},
{
"field": "Microsoft.Network/virtualnetworks/addressSpace.ipamPoolPrefixAllocations[*].pool.id",
"equals": "/subscriptions/subscriptionID/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/networkManagers/network-manager/ipamPools/IPAM-pool-3"
}
]
}
}
]
},
"then": {
"effect": "deny"
}
}
}
Součástí definice zásady jsou následující akce:
-
Kontrola prostředků – vztahuje se pouze na virtuální sítě (
Microsoft.Network/virtualNetworks). -
Ověření přidělení fondu IPAM – Ověří, jestli má virtuální síť přidělený fond IPAM z:
-
IPAM-pool-2, nebo -
IPAM-pool-3.
-
-
Vynucení – Pokud není k dispozici žádné přidělení, politika tuto akci zamítne. Aby bylo možné přidělit fond, musí se IP adresy v rámci fondu nepřekrývat, proto nelze vytvořit žádné VSítě s překrývajícími se předponami.
Kontrola prostředků: Vztahuje se pouze na virtuální sítě (
Microsoft.Network/virtualNetworks).
Kroky implementace zásady
S definicí zásad můžete vynutit nepřekryvné adresní prostory ve vašem prostředí Azure. Při implementaci zásad postupujte takto:
- Identifikujte existující správce sítě a fondy IPAM – Ujistěte se, že máte vytvořenou existující instanci Azure Virtual Network Manageru a alespoň dva fondy IPAM. Další informace najdete v tématu Vytvoření správce virtuální sítě a vytvoření fondu IPAM.
- Vytvoření definice Azure Policy – Vytvoření definice zásady ve službě Azure Policy pomocí příkladu JSON Můžete to provést prostřednictvím webu Azure Portal, Azure CLI nebo PowerShellu. Další informace najdete v tématu Vytvoření a přiřazení definice zásady.
- Přiřaďte zásadu – Přiřaďte zásadu k určitému oboru (předplatnému nebo skupině pro správu), ve kterém chcete vynutit nepřekryvné pravidlo adresního prostoru.
- Otestujte zásadu – Vytvořte nebo aktualizujte virtuální síť bez přidělení fondu IPAM ze zadaných fondů. Operace by měla být odepřena, pokud politika funguje správně.