Konfigurieren einer mandantenübergreifenden Verbindung in Azure Virtual Network Manager (Vorschau) – CLI

In diesem Artikel erfahren Sie, wie Sie mandantenübergreifende Verbindungen in Azure Virtual Network Manager mithilfe der Azure CLI erstellen. Mandantenübergreifende Unterstützung ermöglicht Organisationen die Verwendung eines zentralen Netzwerk-Managers zum Verwalten virtueller Netzwerke über Mandanten und Abonnements hinweg.

Zunächst erstellen Sie die Bereichsverbindung im zentralen Netzwerkmanager. Anschließend erstellen Sie die Netzwerk-Manager-Verbindung auf dem verbindenden Mandanten und überprüfen die Verbindung. Zuletzt fügen Sie virtuelle Netzwerke aus verschiedenen Mandanten hinzu und überprüfen diese. Nach Abschluss aller Aufgaben können Sie die Ressourcen anderer Mandanten zentral über Ihren Netzwerk-Manager verwalten.

Wichtig

Azure Virtual Network Manager ist allgemein verfügbar für Hub-and-Spoke-Konnektivitätskonfigurationen und Sicherheitskonfigurationen mit Sicherheitsadministratorregeln. Gitterkonnektivitätskonfigurationen verbleiben in der öffentlichen Vorschau.

Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Voraussetzungen

• Zwei Azure-Mandanten mit virtuellen Netzwerken, die Sie über Azure Virtual Network Manager verwalten möchten. In diesem Artikel werden die Mandanten wie folgt bezeichnet:
  • Zentraler Verwaltungsmandant – Der Mandant, auf dem eine Azure Virtual Network Manager-Instanz installiert ist, und auf dem Sie Netzwerkgruppen zentral über mandantenübergreifende Verbindungen verwalten.
  • Verwalteter Zielmandant – Der Mandant, der die zu verwaltenden virtuellen Netzwerke enthält. Dieser Mandanten wird mit dem zentralen Verwaltungsmandanten verbunden.
• Azure Virtual Network Manager, der im zentralen Verwaltungsmandanten bereitgestellt wurde.
• Für diese Berechtigungen kann Folgendes gelten:
  • Der Administrator des zentralen Verwaltungsmandanten verfügt über ein Gastkonto im verwalteten Zielmandanten.
  • Das Administratorgastkonto verfügt über Berechtigungen als Netzwerkmitwirkender, die auf geeigneter Bereichsebene angewendet werden (Verwaltungsgruppe, Abonnement oder virtuelles Netzwerk).

Benötigen Sie Hilfe beim Einrichten von Berechtigungen? Sehen Sie sich an, wie Sie Gastbenutzer im Azure-Portal hinzufügen und wie Sie Ressourcen im Azure-Portal Benutzerrollen zuweisen.

Erstellen einer Bereichsverbindung innerhalb eines Netzwerk-Managers

Die Erstellung der Bereichsverbindung beginnt mit dem zentralen Verwaltungsmandanten mit einem bereitgestellten Netzwerkmanager. Dies ist der Netzwerk-Manager, in dem Sie planen, alle Ihre Ressourcen mandantenübergreifend zu verwalten.

Bei dieser Aufgabe richten Sie eine Bereichsverbindung ein, um ein Abonnement von einem Zielmandanten hinzuzufügen. Sie verwenden die Abonnement-ID und die Mandanten-ID des Zielnetzwerk-Managers. Wenn Sie eine Verwaltungsgruppe verwenden möchten, ändern Sie das Argument –resource-id so, dass es wie folgt aussieht: /providers/Microsoft.Management/managementGroups/{mgId}.

# Create a scope connection in the network manager in the central management tenant
az network manager scope-connection create --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" --description "This is a connection to manage resources in the target managed tenant" --resource-id "/subscriptions/13579864-1234-5678-abcd-0987654321ab" --tenant-id "24680975-1234-abcd-56fg-121314ab5643"

Erstellen einer Netzwerk-Manager-Verbindung im Abonnement in einem anderen Mandanten

Nachdem Sie die Bereichsverbindung erstellt haben, wechseln Sie für die Netzwerk-Manager-Verbindung zu Ihrem Zielmandanten. In dieser Aufgabe verbinden Sie den Zielmandanten mit der Bereichsverbindung, die Sie zuvor erstellt haben. Sie überprüfen außerdem den Verbindungsstatus.

1. Geben Sie den folgenden Befehl ein, um mithilfe Ihres Administratorkontos eine Verbindung mit dem verwalteten Zielmandanten herzustellen:

   
   # Log in to the target managed tenant
   # Change the --tenant value to the appropriate tenant ID
   az login --tenant "12345678-12a3-4abc-5cde-678909876543"
   

   Sie müssen die Authentifizierung bei Ihrer Organisation basierend auf den Richtlinien Ihrer Organisation abschließen.

2. Geben Sie die folgenden Befehle ein, um das Abonnement festzulegen und die mandantenübergreifende Verbindung auf dem zentralen Verwaltungsmandanten zu erstellen. Das Abonnement ist identisch mit dem Abonnement, auf das die Verbindung im vorherigen Schritt verwiesen hat.

   # Set the Azure subscription
   az account set --subscription 87654321-abcd-1234-1def-0987654321ab
   
   
   # Create a cross-tenant connection to the central management tenant
   az network manager connection subscription create --connection-name "toCentralManagementTenant" --description "This connection allows management of the tenant by a central management tenant" --network-manager-id "/subscriptions/13579864-1234-5678-abcd-0987654321ab/resourceGroups/myRG/providers/Microsoft.Network/networkManagers/myAVNM"
   

Überprüfen des Verbindungsstatus

1. Geben Sie den folgenden Befehl ein, um den Verbindungsstatus zu überprüfen:

   # Check connection status
   az network manager connection subscription show --name "toCentralManagementTenant"
   

2. Wechseln Sie zurück zum zentralen Verwaltungsmandanten. Verwenden Sie den Befehl show für den Netzwerk-Manager, um das Abonnement anzuzeigen, das über die Eigenschaft für mandantenübergreifende Bereiche hinzugefügt wurde:

   # View the subscription added to the network manager
   az network manager show --resource-group myAVNMResourceGroup --name myAVNM
   

Hinzufügen statischer Mitglieder zu einer Netzwerkgruppe

In dieser Aufgabe fügen Sie Ihrer Netzwerkgruppe mithilfe der statischen Mitgliedschaft ein mandantenübergreifendes virtuelles Netzwerk hinzu. Im folgenden Befehl ist das Abonnement des virtuellen Netzwerks identisch mit dem Abonnement, auf das Sie beim Erstellen von Verbindungen zuvor verwiesen haben.

# Create a network group with a static member from the target managed tenant
az network manager group static-member create --network-group-name "CrossTenantNetworkGroup" --network-manager-name "myAVNM" --resource-group "myAVNMResourceGroup" --static-member-name "targetVnet01" --resource-id="/subscriptions/87654321-abcd-1234-1def-0987654321ab
/resourceGroups/myScopeAVNM/providers/Microsoft.Network/virtualNetworks/targetVnet01"

Löschen von Netzwerk-Manager-Konfigurationen

Nachdem sich das virtuelle Netzwerk nun in der Netzwerkgruppe befindet, werden Konfigurationen angewendet. Um die Ressourcen für statische Member oder die mandantenübergreifenden Ressourcen zu entfernen, verwenden Sie die entsprechenden delete-Befehle:

# Delete the static member group
az network manager group static-member delete --network-group-name  "CrossTenantNetworkGroup" --network-manager-name " myAVNM" --resource-group "myRG" --static-member-name "targetVnet01” 

# Delete scope connections
az network manager scope-connection delete --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" 

# Switch to a managed tenant if needed 
az network manager connection subscription delete --name "toCentralManagementTenant"  

Nächste Schritte

• Erfahren Sie mehr über Sicherheitsverwaltungsregeln.

• Informationen zum Erstellen einer Mesh-Netzwerktopologie mit Azure Virtual Network Manager über das Azure-Portal

• Überprüfen der häufig gestellten Fragen zu Azure Virtual Network Manager