Irakurri ingelesez

Partekatu honen bidez:

Inicio rápido: creación de una topología de red de malla con Azure Virtual Network Manager mediante Terraform

  • Artikulua
Elección de una opción de ámbito

Introducción a Azure Virtual Network Manager mediante Terraform para aprovisionar la conectividad de todas las redes virtuales.

En este artículo de inicio rápido, implementará tres redes virtuales y usará Azure Virtual Network Manager para crear una topología de red de malla. Después, compruebe si se ha aplicado la configuración de conectividad. Puede elegir entre una implementación con un ámbito de suscripción o un ámbito de grupo de administración. Obtenga más información sobre los ámbitos de Network Manager.

Terraform habilita la definición, vista previa e implementación de la infraestructura en la nube. Con Terraform, se crean archivos de configuración mediante la sintaxis de HCL. La sintaxis de HCL permite especificar el proveedor de la nube, como Azure, y los elementos que componen la infraestructura de la nube. Después de crear los archivos de configuración, se crea un plan de ejecución que permite obtener una vista previa de los cambios de infraestructura antes de implementarlos. Una vez que compruebe los cambios, aplique el plan de ejecución para implementar la infraestructura.

En este artículo aprenderá a:

Requisitos previos

Implementación del código de Terraform

Este ejemplo de código implementa Azure Virtual Network Manager en el ámbito de la suscripción.

Oharra

El código de ejemplo de este artículo se encuentra en el repositorio de GitHub de Azure Terraform. Puedes ver el archivo de registro que contiene los resultados de las pruebas de las versiones actuales y anteriores de Terraform.

Consulte más artículos y código de ejemplo sobre el uso Terraform para administrar recursos de Azure.

  1. Cree un directorio en el que probar y ejecutar el código de ejemplo de Terraform y conviértalo en el directorio actual.

  2. Cree un archivo denominado providers.tf e inserte el siguiente código:

    Terraform 
    terraform {
  required_version = ">=1.0"
  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = ">= 3.56.0"
    }
    random = {
      source  = "hashicorp/random"
      version = "~>3.0"
    }
  }
}
provider "azurerm" {
  features {}
}

  3. Cree un archivo denominado main.tf e inserte el siguiente código:

    Terraform 
    
# Create the Resource Group

resource "random_pet" "rg_name" {
  prefix = var.resource_group_name_prefix
}

resource "azurerm_resource_group" "rg" {
  location = var.resource_group_location
  name     = random_pet.rg_name.id
}

# Create three virtual networks
resource "random_string" "prefix" {
  length = 4
  special = false
  upper = false
}

resource "random_pet" "virtual_network_name" {
  prefix = "vnet-${random_string.prefix.result}"
}
resource "azurerm_virtual_network" "vnet" {
  count = 3

  name                = "${random_pet.virtual_network_name.id}-0${count.index}"
  resource_group_name = azurerm_resource_group.rg.name
  location            = azurerm_resource_group.rg.location
  address_space       = ["10.${count.index}.0.0/16"]
}

# Add a subnet to each virtual network

resource "azurerm_subnet" "subnet_vnet" {
  count = 3

  name                 = "default"
  virtual_network_name = azurerm_virtual_network.vnet[count.index].name
  resource_group_name  = azurerm_resource_group.rg.name
  address_prefixes     = ["10.${count.index}.0.0/24"]
}

# Create a Virtual Network Manager instance

data "azurerm_subscription" "current" {
}

resource "azurerm_network_manager" "network_manager_instance" {
  name                = "network-manager"
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name
  scope_accesses      = ["Connectivity"]
  description         = "example network manager"
  scope {
    subscription_ids = [data.azurerm_subscription.current.id]
  }
}

# Create a network group

resource "azurerm_network_manager_network_group" "network_group" {
  name               = "network-group"
  network_manager_id = azurerm_network_manager.network_manager_instance.id
}

# Add three virtual networks to a network group as dynamic members with Azure Policy

resource "random_pet" "network_group_policy_name" {
  prefix = "network-group-policy"
}

resource "azurerm_policy_definition" "network_group_policy" {
  name         = "${random_pet.network_group_policy_name.id}"
  policy_type  = "Custom"
  mode         = "Microsoft.Network.Data"
  display_name = "Policy Definition for Network Group"

  metadata = <<METADATA
    {
      "category": "Azure Virtual Network Manager"
    }
  METADATA

  policy_rule = <<POLICY_RULE
    {
      "if": {
        "allOf": [
          {
              "field": "type",
              "equals": "Microsoft.Network/virtualNetworks"
          },
          {
            "allOf": [
              {
              "field": "Name",
              "contains": "${random_pet.virtual_network_name.id}"
              }
            ]
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "${azurerm_network_manager_network_group.network_group.id}"
        }
      }
    }
  POLICY_RULE
}

resource "azurerm_subscription_policy_assignment" "azure_policy_assignment" {
  name                 = "${random_pet.network_group_policy_name.id}-policy-assignment"
  policy_definition_id = azurerm_policy_definition.network_group_policy.id
  subscription_id      = data.azurerm_subscription.current.id
}

# Create a connectivity configuration

resource "azurerm_network_manager_connectivity_configuration" "connectivity_config" {
  name                  = "connectivity-config"
  network_manager_id    = azurerm_network_manager.network_manager_instance.id
  connectivity_topology = "Mesh"
  applies_to_group {
    group_connectivity = "None"
    network_group_id   = azurerm_network_manager_network_group.network_group.id
  }
}


# Commit deployment

resource "azurerm_network_manager_deployment" "commit_deployment" {
  network_manager_id = azurerm_network_manager.network_manager_instance.id
  location           = azurerm_resource_group.rg.location
  scope_access       = "Connectivity"
  configuration_ids  = [azurerm_network_manager_connectivity_configuration.connectivity_config.id]
}

  4. Cree un archivo denominado variables.tf e inserte el siguiente código:

    Terraform 
    variable "resource_group_location" {
  type        = string
  default     = "eastus"
  description = "Location of the resource group."
}

variable "resource_group_name_prefix" {
  type        = string
  description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
  default     = "rg"
}

  5. Cree un archivo denominado outputs.tf e inserte el siguiente código:

    Terraform 
    output "resource_group_name" {
  value = azurerm_resource_group.rg.name
}

output "virtual_network_names" {
  value = azurerm_virtual_network.vnet[*].name
}

Implementación del código de Terraform

Este ejemplo de código implementará Azure Virtual Network Manager en el ámbito del grupo de administración.

Oharra

El código de ejemplo de este artículo se encuentra en el repositorio de GitHub de Azure Terraform. Puedes ver el archivo de registro que contiene los resultados de las pruebas de las versiones actuales y anteriores de Terraform.

Consulte más artículos y código de ejemplo sobre el uso Terraform para administrar recursos de Azure.

  1. Cree un directorio en el que probar y ejecutar el código de ejemplo de Terraform y conviértalo en el directorio actual.

  2. Cree un archivo denominado providers.tf e inserte el siguiente código:

    Terraform 
    terraform {
  required_version = ">=1.0"
  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~> 3.56.0, < 4.0"
    }
    random = {
      source  = "hashicorp/random"
      version = "~>3.0"
    }
  }
}
provider "azurerm" {
  features {}
}

  3. Cree un archivo denominado main.tf e inserte el siguiente código:

    Terraform 
    # Create the Resource Group

resource "random_pet" "rg_name" {
  prefix = var.resource_group_name_prefix
}

resource "azurerm_resource_group" "rg" {
  location = var.resource_group_location
  name     = random_pet.rg_name.id
}

# Create three virtual networks
resource "random_string" "prefix" {
  length  = 4
  special = false
  upper   = false
}

resource "random_pet" "virtual_network_name" {
  prefix = "vnet-${random_string.prefix.result}"
}
resource "azurerm_virtual_network" "vnet" {
  count = 3

  name                = "${random_pet.virtual_network_name.id}-0${count.index}"
  resource_group_name = azurerm_resource_group.rg.name
  location            = azurerm_resource_group.rg.location
  address_space       = ["10.${count.index}.0.0/16"]
}

# Add a subnet to each virtual network

resource "azurerm_subnet" "subnet_vnet" {
  count = 3

  name                 = "default"
  virtual_network_name = azurerm_virtual_network.vnet[count.index].name
  resource_group_name  = azurerm_resource_group.rg.name
  address_prefixes     = ["10.${count.index}.0.0/24"]
}

data "azurerm_subscription" "current" {
}

# Create a Management Group

resource "random_pet" "management_group_name" {
  prefix = "AVNM-management-group"
}

resource "azurerm_management_group" "mg" {
  display_name = random_pet.management_group_name.id

  subscription_ids = [
    data.azurerm_subscription.current.subscription_id,
  ]
}

data "azurerm_client_config" "this" {}

resource "azurerm_role_assignment" "management_group_owner" {
  principal_id         = coalesce(var.msi_id, data.azurerm_client_config.this.object_id)
  scope                = azurerm_management_group.mg.id
  role_definition_name = "Contributor"
}

# register Microsoft.Network to the Management Group

resource "null_resource" "register_rp_to_mg" {
  provisioner "local-exec" {
    command = "az provider register --namespace Microsoft.Network -m ${azurerm_management_group.mg.name}"
  }
  depends_on = [azurerm_role_assignment.management_group_owner]
}

resource "time_sleep" "wait_5_seconds" {
  create_duration = "5s"
  depends_on      = [null_resource.register_rp_to_mg]
}

# Create a Virtual Network Manager instance

resource "azurerm_network_manager" "network_manager_instance" {
  name                = "network-manager"
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name
  scope_accesses      = ["Connectivity"]
  description         = "example network manager"
  scope {
    management_group_ids = [azurerm_management_group.mg.id]
  }
  depends_on = [time_sleep.wait_5_seconds]
}

# Create a network group

resource "azurerm_network_manager_network_group" "network_group" {
  name               = "network-group"
  network_manager_id = azurerm_network_manager.network_manager_instance.id
}

# Add three virtual networks to a network group as dynamic members with Azure Policy

resource "random_pet" "network_group_policy_name" {
  prefix = "network-group-policy"
}

resource "azurerm_policy_definition" "network_group_policy" {
  name         = random_pet.network_group_policy_name.id
  policy_type  = "Custom"
  mode         = "Microsoft.Network.Data"
  display_name = "Policy Definition for Network Group"

  metadata = <<METADATA
    {
      "category": "Azure Virtual Network Manager"
    }
  METADATA

  policy_rule = <<POLICY_RULE
    {
      "if": {
        "allOf": [
          {
              "field": "type",
              "equals": "Microsoft.Network/virtualNetworks"
          },
          {
            "allOf": [
              {
              "field": "Name",
              "contains": "${random_pet.virtual_network_name.id}"
              }
            ]
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "${azurerm_network_manager_network_group.network_group.id}"
        }
      }
    }
  POLICY_RULE
}

resource "azurerm_subscription_policy_assignment" "azure_policy_assignment" {
  name                 = "${random_pet.network_group_policy_name.id}-policy-assignment"
  policy_definition_id = azurerm_policy_definition.network_group_policy.id
  subscription_id      = data.azurerm_subscription.current.id
}

# Create a connectivity configuration

resource "azurerm_network_manager_connectivity_configuration" "connectivity_config" {
  name                  = "connectivity-config"
  network_manager_id    = azurerm_network_manager.network_manager_instance.id
  connectivity_topology = "Mesh"
  applies_to_group {
    group_connectivity = "None"
    network_group_id   = azurerm_network_manager_network_group.network_group.id
  }
}


# Commit deployment

resource "azurerm_network_manager_deployment" "commit_deployment" {
  network_manager_id = azurerm_network_manager.network_manager_instance.id
  location           = azurerm_resource_group.rg.location
  scope_access       = "Connectivity"
  configuration_ids  = [azurerm_network_manager_connectivity_configuration.connectivity_config.id]
}

  4. Cree un archivo denominado variables.tf e inserte el siguiente código:

    Terraform 
    variable "resource_group_location" {
  type        = string
  default     = "eastus"
  description = "Location of the resource group."
}

variable "resource_group_name_prefix" {
  type        = string
  description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
  default     = "rg"
}

variable "msi_id" {
  type    = string
  description = "(Optional) Manage identity id that be used as authentication method. Defaults to `null`."
  default = null
}

  5. Cree un archivo denominado outputs.tf e inserte el siguiente código:

    Terraform 
    output "resource_group_name" {
  value = azurerm_resource_group.rg.name
}

output "virtual_network_names" {
  value = azurerm_virtual_network.vnet[*].name
}

Inicialización de Terraform

Para inicializar la implementación de Terraform, ejecute terraform init. Este comando descarga el proveedor de Azure necesario para administrar los recursos de Azure.

Consola 
terraform init -upgrade

Puntos clave:

  • El parámetro -upgrade actualiza los complementos de proveedor necesarios a la versión más reciente que cumpla con las restricciones de versión de la configuración.

Creación de un plan de ejecución de Terraform

Ejecute terraform plan para crear un plan de ejecución.

Consola 
terraform plan -out main.tfplan

Puntos clave:

  • El comando terraform plan crea un plan de ejecución, pero no lo ejecuta. En su lugar, determina qué acciones son necesarias para crear la configuración especificada en los archivos de configuración. Este patrón le permite comprobar si el plan de ejecución coincide con sus expectativas antes de realizar cambios en los recursos reales.
  • El parámetro -out opcional permite especificar un archivo de salida para el plan. El uso del parámetro -out garantiza que el plan que ha revisado es exactamente lo que se aplica.

Aplicación de un plan de ejecución de Terraform

Ejecute terraform apply para aplicar el plan de ejecución a su infraestructura en la nube.

Consola 
terraform apply main.tfplan

Puntos clave:

  • El comando terraform apply de ejemplo asume que ejecutó terraform plan -out main.tfplan previamente.
  • Si especificó un nombre de archivo diferente para el parámetro -out, use ese mismo nombre de archivo en la llamada a terraform apply.
  • Si no ha utilizado el parámetro -out, llame a terraform apply sin ningún parámetro.

Verificación de los resultados

  1. Obtenga el nombre del grupo de recursos de Azure.

    Consola 
    resource_group_name=$(terraform output -raw resource_group_name)

  2. Obtenga los nombres de las redes virtuales.

    Consola 
    terraform output virtual_network_names

  3. Para cada nombre de red virtual impreso en el paso anterior, ejecute az network manager list-effective-connectivity-config para imprimir las configuraciones efectivas (aplicadas). Reemplace el marcador de posición <virtual_network_name> por el nombre de la red virtual.

    Azure CLI 
    az network manager list-effective-connectivity-config \
  --resource-group $resource_group_name \
  --vnet-name <virtual_network_name>

Limpieza de recursos

Cuando ya no necesite los recursos creados a través de Terraform, realice los pasos siguientes:

  1. Ejecute el comando terraform plan y especifique la marca destroy.

    Consola 
    terraform plan -destroy -out main.destroy.tfplan

    Puntos clave:

    • El comando terraform plan crea un plan de ejecución, pero no lo ejecuta. En su lugar, determina qué acciones son necesarias para crear la configuración especificada en los archivos de configuración. Este patrón le permite comprobar si el plan de ejecución coincide con sus expectativas antes de realizar cambios en los recursos reales.
    • El parámetro -out opcional permite especificar un archivo de salida para el plan. El uso del parámetro -out garantiza que el plan que ha revisado es exactamente lo que se aplica.

  2. Ejecute terraform apply para aplicar el plan de ejecución.

    Consola 
    terraform apply main.destroy.tfplan

Solución de problemas de Terraform en Azure

Solución de problemas comunes al usar Terraform en Azure

Pasos siguientes

Bloquear el tráfico de red con Azure Virtual Network Manager

Oharra: egileak AAren laguntzarekin sortu du artikulua. Informazio gehiago