Configuración de una conexión entre inquilinos en Azure Virtual Network Manager (versión preliminar): CLI

En este artículo, aprenderá a crear conexiones entre inquilinos en Azure Virtual Network Manager mediante la CLI de Azure. La compatibilidad entre inquilinos permite a las organizaciones usar un administrador de red central para administrar redes virtuales entre inquilinos y suscripciones.

En primer lugar, tiene que crear la conexión de ámbito en el administrador de red central. Después, tiene que crear la conexión del administrador de red en el inquilino que se conecta y verificar la conexión. Por último, tiene que añadir redes virtuales de distintos inquilinos y comprobar su funcionamiento. Después de completar todas las tareas, puede administrar de forma centralizada los recursos de otros inquilinos desde el administrador de red.

Importante

Azure Virtual Network Manager está disponible con carácter general para las configuraciones de conectividad de centro y radios, y para las configuraciones de seguridad con reglas de administración de seguridad. Las configuraciones de conectividad de malla permanecen en versión preliminar pública.

Esta versión preliminar se ofrece sin Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.

Requisitos previos

• Dos inquilinos de Azure con redes virtuales que quiere administrar mediante Azure Virtual Network Manager. En este artículo se hace referencia a los inquilinos de la siguiente manera:
  • Inquilino de administración central: el inquilino en el que está instalada una instancia de Azure Virtual Network Manager, desde donde administrará de forma centralizada grupos de red desde conexiones entre inquilinos.
  • Inquilino administrado de destino: el inquilino que contiene redes virtuales que se van a administrar. Este inquilino se conectará al inquilino de administración central.
• Azure Virtual Network Manager tiene que estar implementado en el inquilino de administración central.
• Estos permisos:
  • El administrador del inquilino de administración central tiene una cuenta de invitado en el inquilino administrado de destino.
  • La cuenta de invitado del administrador tiene permisos de Colaborador de red aplicados en el nivel de ámbito adecuado (grupo de administración, suscripción o red virtual).

¿Necesita ayuda para configurar permisos? Consulte cómo agregar usuarios invitados en Azure Portal y cómo asignar roles de usuario a los recursos en Azure Portal.

Creación de una conexión de ámbito en un administrador de red

La creación de la conexión de ámbito comienza en el inquilino de administración central con un administrador de red implementado. Este es el administrador de red en el que pretende administrar todos sus recursos en los inquilinos.

En esta tarea, va a configurar una conexión de ámbito para añadir una suscripción desde un inquilino de destino. Usará el id. de suscripción y el id. de inquilino del administrador de la red de destino. Si desea usar un grupo de administración, modifique el argumento –resource-id para que tenga un aspecto similar a /providers/Microsoft.Management/managementGroups/{mgId}.

# Create a scope connection in the network manager in the central management tenant
az network manager scope-connection create --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" --description "This is a connection to manage resources in the target managed tenant" --resource-id "/subscriptions/13579864-1234-5678-abcd-0987654321ab" --tenant-id "24680975-1234-abcd-56fg-121314ab5643"

Creación de una conexión de administrador de red en una suscripción de otro inquilino

Después de crear la conexión de ámbito, cambie al inquilino de destino para la conexión del administrador de red. En esta tarea, conectará el inquilino de destino a la conexión de ámbito que creó anteriormente. También comprueba el estado de conexión.

1. Escriba el siguiente comando para conectarse al inquilino administrado de destino mediante la cuenta administrativa:

   
   # Log in to the target managed tenant
   # Change the --tenant value to the appropriate tenant ID
   az login --tenant "12345678-12a3-4abc-5cde-678909876543"
   

   Debe completar la autenticación con su organización, en función de las directivas de la organización.

2. Escriba los siguientes comandos para establecer la suscripción y para crear la conexión entre inquilinos en el inquilino de administración central. La suscripción es la misma que la conexión a la que se hace referencia en el paso anterior.

   # Set the Azure subscription
   az account set --subscription 87654321-abcd-1234-1def-0987654321ab
   
   
   # Create a cross-tenant connection to the central management tenant
   az network manager connection subscription create --connection-name "toCentralManagementTenant" --description "This connection allows management of the tenant by a central management tenant" --network-manager-id "/subscriptions/13579864-1234-5678-abcd-0987654321ab/resourceGroups/myRG/providers/Microsoft.Network/networkManagers/myAVNM"
   

Comprobación del estado de la conexión

1. Escriba el siguiente comando para comprobar el estado de conexión:

   # Check connection status
   az network manager connection subscription show --name "toCentralManagementTenant"
   

2. Vuelva al inquilino de administración central. Use el comando show del administrador de red para mostrar la suscripción agregada a través de la propiedad para ámbitos entre inquilinos:

   # View the subscription added to the network manager
   az network manager show --resource-group myAVNMResourceGroup --name myAVNM
   

Incorporación de miembros estáticos a un grupo de red

En esta tarea, agregará una red virtual entre inquilinos al grupo de red mediante la pertenencia estática. En el siguiente comando, la suscripción de red virtual es la misma que a la que se hizo referencia al crear conexiones anteriormente.

# Create a network group with a static member from the target managed tenant
az network manager group static-member create --network-group-name "CrossTenantNetworkGroup" --network-manager-name "myAVNM" --resource-group "myAVNMResourceGroup" --static-member-name "targetVnet01" --resource-id="/subscriptions/87654321-abcd-1234-1def-0987654321ab
/resourceGroups/myScopeAVNM/providers/Microsoft.Network/virtualNetworks/targetVnet01"

Eliminación de configuraciones de administrador de red

Ahora que la red virtual está en el grupo de red, se aplican las configuraciones. Para quitar el miembro estático o los recursos entre inquilinos, use los comandos delete correspondientes:

# Delete the static member group
az network manager group static-member delete --network-group-name  "CrossTenantNetworkGroup" --network-manager-name " myAVNM" --resource-group "myRG" --static-member-name "targetVnet01” 

# Delete scope connections
az network manager scope-connection delete --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" 

# Switch to a managed tenant if needed 
az network manager connection subscription delete --name "toCentralManagementTenant"  

Pasos siguientes

• Obtenga más información sobre las reglas de administración de seguridad.

• Obtenga información sobre cómo crear de una topología de red de malla con Azure Virtual Network Manager mediante Azure Portal.

• Consulte las preguntas más frecuentes sobre Azure Virtual Network Manager.