Rövid útmutató: Hálós hálózati topológia létrehozása az Azure Virtual Network Managerrel az Azure CLI használatával

Ismerkedés az Azure Virtual Network Managerrel az Azure CLI használatával az összes virtuális hálózat kapcsolatának kezeléséhez.

Ebben a rövid útmutatóban három virtuális hálózatot helyez üzembe, és az Azure Virtual Network Manager használatával létrehoz egy hálós hálózati topológiát. Ezután ellenőrizze, hogy a kapcsolatkonfiguráció alkalmazva lett-e.

Előfeltételek

Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
A legújabb Azure CLI, vagy használhatja az Azure Cloud Shellt a portálon.
Az Azure Virtual Network Manager bővítmény. A hozzáadáshoz futtassa a parancsot az extension add -n virtual-network-manager.
A dinamikus hálózati csoportok módosításához csak Azure RBAC-szerepkör-hozzárendelésen keresztül kell hozzáférést biztosítani. A klasszikus rendszergazdai/örökölt engedélyezés nem támogatott.

A konfiguráció megkezdéséhez jelentkezzen be az Azure-fiókjába. Ha a Cloud Shell Kipróbálás funkcióját használja, a rendszer automatikusan bejelentkezik.

az login

Válassza ki azt az előfizetést, amelyben a Virtual Network Manager telepítve van:

az account set \
    --subscription "<subscriptionID>"

Frissítse az Azure CLI Virtual Network Manager-bővítményét:

az extension update --name virtual-network-manager

Erőforráscsoport létrehozása

Ebben a feladatban egy erőforráscsoportot hoz létre egy network manager-példány üzemeltetéséhez az az group create használatával. Ez a példa létrehoz egy erőforráscsoport nevű erőforráscsoportot az (USA) 2 . nyugati régiójában:

az group create \
    --name "resource-group" \
    --location "westus2"

Virtual Network Manager-példány létrehozása

Ebben a feladatban adja meg a Virtual Network Manager-példány hatókörét és hozzáférési típusát. Hozza létre a hatókört az az network manager create használatával. Cserélje le az értéket <subscriptionID> arra az előfizetésre, amelyhez a Virtual Network Manager virtuális hálózatokat szeretne kezelni. Cserélje le <mgName\> a kezelni kívánt felügyeleti csoportra.

az network manager create \
    --location "westus2" \
    --name "network-manager" \
    --resource-group "resource-group" \
    --scope-accesses "Connectivity" "SecurityAdmin" \
    --network-manager-scopes subscriptions="/subscriptions/<subscriptionID>"

Hálózati csoport létrehozása

Ebben a feladatban hozzon létre egy hálózati csoportot az az network manager group create használatával:

az network manager group create \
    --name "network-group" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group" \
    --description "Network Group for Production virtual networks"

Virtuális hálózatok létrehozása

Ebben a feladatban hozzon létre három virtuális hálózatot az az network vnet create használatával. Ez a példa három virtuális nevű virtuális hálózatot hoz létre az (USA) 2 . nyugati régiójában. Minden virtuális hálózat rendelkezik a dinamikus tagsághoz használt címkével networkType . Ha már rendelkezik olyan virtuális hálózatokkal, amelyekkel hálóhálózatot szeretne létrehozni, ugorjon a következő szakaszra.

az network vnet create \
    --name "vnet-00" \
    --resource-group "resource-group" \
    --address-prefix "10.0.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-01" \
    --resource-group "resource-group" \
    --address-prefix "10.1.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-02" \
    --resource-group "resource-group" \
    --address-prefix "10.2.0.0/16" \
    --tags "NetworkType=Prod"

Alhálózat hozzáadása az egyes virtuális hálózatokhoz

Ebben a feladatban fejezze be a virtuális hálózatok konfigurálását úgy, hogy mindegyikhez hozzáad egy /24 alhálózatot. Hozzon létre egy alapértelmezett nevű alhálózat-konfigurációt az az network vnet subnet create használatával:

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-00" \
    --address-prefix "10.0.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-01" \
    --address-prefix "10.1.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-02" \
    --address-prefix "10.2.0.0/24"

Tagság definiálása hálókonfigurációhoz

Az Azure Virtual Network Manager két módszert tesz lehetővé a tagság hálózati csoporthoz való hozzáadásához. A statikus tagság magában foglalja a virtuális hálózatok manuális hozzáadását, a dinamikus tagsághoz pedig az Azure Policy használatával kell dinamikusan hozzáadni a virtuális hálózatokat a feltételek alapján. Válassza ki a hálókonfigurációs tagsághoz használni kívánt lehetőséget.

Manuális tagság
Azure Policy

Statikus tagság használatával manuálisan adhat hozzá három virtuális hálózatot a hálókonfigurációhoz a hálózati csoporthoz az az network manager group static-member create használatával. Cserélje le <subscriptionID> azt az előfizetést, amely alatt ezek a virtuális hálózatok lettek létrehozva.

az network manager group static-member create \
    --name "vnet-00" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-00"

az network manager group static-member create \
    --name "vnet-01" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-01"

az network manager group static-member create \
    --name "vnet-02" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-02"

Az Azure Policy használatával dinamikusan hozzáadhatja a három virtuális hálózatot networkTypeProd a hálózati csoporthoz. Ez a három virtuális hálózat az üzembe helyezés után a hálókonfiguráció részévé válik.

Szabályzatokat alkalmazhat egy előfizetésre vagy felügyeleti csoportra, és mindig a létrehozási szinten vagy annál magasabb szinten kell meghatároznia őket. Csak a szabályzat hatókörébe tartozó virtuális hálózatok lesznek hozzáadva egy hálózati csoporthoz.

Szabályzatdefiníció létrehozása

Ebben a feladatban hozzon létre egy szabályzatdefiníciót az az policy definition create for virtual networks tagged as Prod. Cserélje le <subscriptionID> azt az előfizetést, amelyre alkalmazni szeretné ezt a szabályzatot. Ha egy felügyeleti csoportra szeretné alkalmazni, cserélje le a --subscription <subscriptionID>elemet--management-group <mgName>.

az policy definition create \
    --name "azure-policy" \
    --description "Choose Prod virtual networks only" \
    --rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"vnet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group\"}}}" \
    --subscription <subscriptionID> \
    --mode "Microsoft.Network.Data"

Szabályzatdefiníció alkalmazása

Ebben a feladatban a korábban létrehozott szabályzatot az az policy assignment create használatával alkalmazza. Cserélje le <subscriptionID> azt az előfizetést, amelyre alkalmazni szeretné ezt a szabályzatot. Ha egy felügyeleti csoportra szeretné alkalmazni, cserélje le --scope "/subscriptions/<subscriptionID>"--scope "/providers/Microsoft.Management/managementGroups/<mgName>és cserélje le <mgName\> a felügyeleti csoportra.


az policy assignment create \
    --name "azure-policy-assignment" \
    --description "Take only virtual networks tagged NetworkType:Prod" \
    --scope "/subscriptions/<subscriptionID>" \
    --policy "/subscriptions/<subscriptionID>/providers/Microsoft.Authorization/azure-policys/azure-policy"

Konfiguráció létrehozása

Ebben a feladatban hozzon létre egy hálós hálózati topológia-konfigurációt az az network manager connect-config create használatával. Cserélje le <subscriptionID> az előfizetés azonosítóját.

az network manager connect-config create \
    --configuration-name "connectivityconfig" \
    --description "Production Mesh Connectivity Config Example" \
    --applies-to-groups '[{"networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group", "groupConnectivity": "None"}]' \
    --connectivity-topology "Mesh" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group"

Az üzembe helyezés véglegesítése

A konfiguráció érvénybe lépéséhez véglegesítse a konfigurációt a célrégiókban az az network manager post-commit használatával:

az network manager post-commit \
    --network-manager-name "network-manager" \
    --commit-type "Connectivity" \
    --configuration-ids "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig" \
    --target-locations "westus2" \
    --resource-group "resource-group"

A konfiguráció ellenőrzése

A virtuális hálózatok az az network manager list-effective-connectivity-config használatakor a rájuk alkalmazott konfigurációkat jelenítik meg:

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-00"

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-01"


az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-02"

A kapcsolatkonfiguráció részét képező virtuális hálózatok esetében az alábbi példához hasonló kimenet jelenik meg:

{
  "skipToken": "",
  "value": [
    {
      "appliesToGroups": [
        {
          "groupConnectivity": "None",
          "isGlobal": "False",
          "networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "useHubGateway": "False"
        }
      ],
      "configurationGroups": [
        {
          "description": "Network Group for Production virtual networks",
          "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "provisioningState": "Succeeded",
          "resourceGroup": "resource-group"
        }
      ],
      "connectivityTopology": "Mesh",
      "deleteExistingPeering": "False",
      "description": "Production Mesh Connectivity Config Example",
      "hubs": [],
      "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig",
      "isGlobal": "False",
      "provisioningState": "Succeeded",
      "resourceGroup": "resource-group"
    }
  ]
}

Az erőforrások eltávolítása

Ha már nincs szüksége az Azure Virtual Network Manager-példányra és más erőforrásokra, törölje az erőforráscsoportot az az group delete használatával:

az group delete \
    --name "resource-group"

Következő lépések

Ebben a lépésben megtudhatja, hogyan tilthatja le a hálózati forgalmat egy biztonsági rendszergazdai konfigurációval:

Hálózati forgalom letiltása az Azure Virtual Network Managerrel

Visszajelzés

Hasznosnak találta ezt az oldalt?

Last updated on 2025-01-15