Hálózati csoportok konfigurálása az Azure Policy használatával az Azure Virtual Network Managerben
Ebből a cikkből megtudhatja, hogyan használható az Azure Policy az Azure Virtual Network Managerben a dinamikus hálózati csoporttagság meghatározásához. A dinamikus hálózati csoportok lehetővé teszik skálázható és dinamikusan alkalmazkodó virtuális hálózati környezetek létrehozását a szervezetben.
Fontos
Az Azure Virtual Network Manager általánosan elérhető küllős kapcsolati konfigurációkhoz és biztonsági konfigurációkhoz biztonsági rendszergazdai szabályokkal. A mesh-kapcsolat konfigurációi továbbra is nyilvános előzetes verzióban maradnak.
Erre az előzetes verzióra nem vonatkozik szolgáltatói szerződés, és a használata nem javasolt éles számítási feladatok esetén. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Az Azure Policy áttekintése
Az Azure Policy úgy értékeli ki az Azure-beli erőforrásokat, hogy összehasonlítja ezeknek az erőforrásoknak a tulajdonságait az üzleti szabályokkal. Ezeket a JSON formátumban leírt üzleti szabályokat szabályzatdefinícióknak nevezzük. Az üzleti szabályok létrehozása után a szabályzatdefiníció minden olyan erőforrás-hatókörhöz lesz hozzárendelve, amely Azure-támogatás, például felügyeleti csoportokhoz, előfizetésekhez, erőforráscsoportokhoz vagy egyéni erőforrásokhoz. A hozzárendelés a hozzárendelés Resource Manager-hatókörében lévő összes erőforrásra vonatkozik. További információ a hatókörhasználatról a Hatókör használatával az Azure Policyban.
Feljegyzés
Az Azure Policy csak a dinamikus hálózati csoporttagság meghatározásához használható.
Hálózati csoportházirend definíciója
A szabályzatok létrehozása és megvalósítása az Azure Policyban egy szabályzatdefiníciós erőforrás létrehozásával kezdődik. Minden szabályzatdefiníciónak megvannak a kikényszerítési feltételei, és egy meghatározott hatás, amely a feltételek teljesülése esetén következik be.
A hálózati csoportok esetében a szabályzatdefiníció tartalmazza a feltételeknek megfelelő virtuális hálózatok feltételes kifejezését, és megadja azt a célhálózati csoportot, ahol az egyező erőforrásokat elhelyezi. Az addToNetworkGroup
effektus az erőforrások célhálózati csoportba való helyezésére szolgál. Íme egy példa egy szabályzatszabály-definícióra, amelynek hatása van addToNetworkGroup
. Minden egyéni szabályzat esetében a tulajdonság a mode
hálózati csoport erőforrás-szolgáltatójának megcélzására Microsoft.Network.Data
van beállítva, és az Azure Virtual Network Manager szabályzatdefiníciójának létrehozásához szükséges.
"mode": "Microsoft.Network.Data",
"policyRule": {
"if": {
"allOf": [
{
"field": "Name",
"contains": "-gen"
}
]
},
"then": {
"effect": "addToNetworkGroup",
"details": {
"networkGroupId": "/subscriptions/12345678-abcd-123a-1234-1234abcd7890/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
}
}
}
Fontos
Szabályzat meghatározásakor a networkGroupId
célhálózati csoport teljes erőforrás-azonosítójának kell lennie a mintadefinícióban látható módon. Nem támogatja a paraméterezést a szabályzatdefinícióban. Ha paramétereznie kell a hálózati csoportot, használhat egy Azure Resource Manager-sablont a szabályzatdefiníció és -hozzárendelés létrehozásához.
Ha az Azure Policyt az Azure Virtual Network Managerrel használja, a szabályzat a következő erőforrás-szolgáltatói tulajdonságotMicrosoft.Network.Data
célozza meg: . Emiatt meg kell adnia egy policyType értéketCustom
a szabályzatdefinícióban. Amikor létrehoz egy szabályzatot a tagok dinamikus hozzáadásához a Virtual Network Managerben, a szabályzat létrehozásakor a rendszer automatikusan alkalmazza. Csak akkor kell választania custom
, ha új szabályzatdefiníciót hoz létre az Azure Policy vagy a Virtual Network Manager irányítópultján kívüli egyéb eszközök használatával.
Íme egy példa egy szabályzatdefinícióra, amelynek tulajdonsága a policyType
következő Custom
.
"properties": {
"displayName": "myProdAVNM",
"policyType": "Custom",
"mode": "Microsoft.Network.Data",
"metadata": {
"category": "Azure Virtual Network Manager",
"createdBy": "-----------------------------",
"createdOn": "2023-04-10T15:35:35.9308987Z",
"updatedBy": null,
"updatedOn": null
}
}
További információ a szabályzatdefiníció struktúrájáról.
Szabályzat-hozzárendelés létrehozása
A Virtual Network Manager-konfigurációkhoz hasonlóan a szabályzatdefiníciók létrehozásakor nem lépnek érvénybe azonnal. Az alkalmazás megkezdéséhez létre kell hoznia egy szabályzat-hozzárendelést, amely hozzárendel egy definíciót az adott hatókörben történő értékeléshez. Jelenleg a hatókörben lévő összes erőforrás kiértékelése a definíció alapján történik, amely lehetővé teszi egyetlen újrafelhasználható definíciót, amelyet több helyen is hozzárendelhet a részletesebb csoporttagság-vezérléshez. További információ az Azure Policy hozzárendelési struktúrájáról .
A szabályzatdefiníciók és -hozzárendelések az API/PS/CLI vagy az Azure Policy Portal használatával hozhatók létre.
Szükséges engedélyek
A hálózati csoportok Azure Policyval való használatához a felhasználóknak a következő engedélyekre van szükségük:
Microsoft.Authorization/policyassignments/Write
ésMicrosoft.Authorization/policydefinitions/Write
a hozzárendelt hatókörre van szükség.Microsoft.Network/networkManagers/networkGroups/join/action
műveletre van szükség a Hozzáadás a hálózati csoporthoz szakaszban hivatkozott célhálózati csoportban . Ez az engedély lehetővé teszi objektumok hozzáadását és eltávolítását a célhálózati csoportból.- Ha a beállításdefiníciók használatával egyszerre több szabályzatot rendel hozzá, egyidejű
Microsoft.Network/networkManagers/networkGroups/join/action
engedélyekre van szükség a hozzárendeléskor hozzárendelt összes definícióhoz.
A szükséges engedélyek beállításához a felhasználók szerepköralapú hozzáférés-vezérléssel rendelhetők hozzá beépített szerepkörökhöz:
- Hálózati közreműködői szerepkör a célhálózati csoporthoz.
- Erőforrásházirend-közreműködői szerepkör a cél hatókör szintjén.
Részletesebb szerepkör-hozzárendelés érdekében egyéni szerepköröket hozhat létre az engedély és policy/write
az Microsoft.Network/networkManagers/networkGroups/join/action
engedély használatával.
Fontos
Az AVNM dinamikus csoportjainak módosításához csak Azure RBAC-szerepkör-hozzárendelésen keresztül kell hozzáférést biztosítani. A klasszikus Rendszergazda/örökölt engedélyezés nem támogatott; ez azt jelenti, hogy ha a fiókjához csak a társadminisztrátori előfizetési szerepkör van hozzárendelve, akkor nem rendelkezik engedélyekkel az AVNM dinamikus csoportjaihoz.
A szükséges engedélyek mellett az előfizetéseket és a felügyeleti csoportokat a következő erőforrás-szolgáltatókkal kell regisztrálni:
Microsoft.Network
virtuális hálózatok létrehozásához szükséges.Microsoft.PolicyInsights
az Azure Policy használatához szükséges.
A szükséges szolgáltatók regisztrációjának beállításához használja a Register-AzResourceProvider szolgáltatást az Azure PowerShellben, vagy az az provider register in Azure CLI-t.
Hasznos tippek
Típusszűrés
A szabályzatdefiníciók konfigurálásakor javasoljuk, hogy adjon meg egy típusfeltételt a virtuális hálózatok hatókörének meghatározásához. Ez a feltétel lehetővé teszi, hogy a szabályzat kiszűrje a nem virtuális hálózati műveleteket, és javítsa a szabályzaterőforrások hatékonyságát.
Regionális szeletelés
A szabályzaterőforrások globálisak, ami azt jelenti, hogy minden módosítás a hozzárendelés hatókörében lévő összes erőforrásra hatással van, régiótól függetlenül. Ha a regionális szeletelés és a fokozatos bevezetés aggodalomra ad okot, javasoljuk, hogy adjon meg egy feltételt where location in []
. Ezután fokozatosan kibonthatja a helyek listáját az effektus fokozatos bevezetéséhez.
Hozzárendelés hatókörének meghatározása
Ha azure-beli felügyeleti csoportokkal követi a felügyeleti csoportok ajánlott eljárásait, valószínű, hogy már hierarchiastruktúrába rendezi az erőforrásait. A hozzárendelések használatával ugyanazt a definíciót több különböző hatókörhöz rendelheti a hierarchián belül, így nagyobb részletességgel szabályozhatja, hogy mely erőforrások jogosultak a hálózati csoportra.
Hálózati csoporthoz társított Azure Policy-definíció törlése
Lehetnek olyan példányok, ahol már nincs szüksége Azure Policy-definícióra. A példányok közé tartozik, ha egy házirendhez társított hálózati csoportot törölnek, vagy ha már nincs szüksége egy nem használt házirendre. A szabályzat törléséhez törölnie kell a szabályzattársítási objektumot, majd törölnie kell a szabályzatdefiníciót az Azure Policyban. A törlés befejezése után a definíció neve nem használható újra és nem hivatkozható újra egy új definíció hálózati csoporthoz való társításakor.
Következő lépések
- Hozzon létre egy Azure Virtual Network Manager-példányt .
- Tudnivalók az Azure Virtual Network Manager konfigurációs üzembe helyezéséről.
- Megtudhatja, hogyan tilthatja le a hálózati forgalmat biztonsági Rendszergazda konfigurációval.