Hálózati csoportok konfigurálása az Azure Policy használatával az Azure Virtual Network Managerben

Ebből a cikkből megtudhatja, hogyan használható az Azure Policy az Azure Virtual Network Managerben a dinamikus hálózati csoporttagság meghatározásához. A dinamikus hálózati csoportok lehetővé teszik skálázható és dinamikusan alkalmazkodó virtuális hálózati környezetek létrehozását a szervezetben.

Fontos

Az Azure Virtual Network Manager általánosan elérhető küllős kapcsolati konfigurációkhoz és biztonsági konfigurációkhoz biztonsági rendszergazdai szabályokkal. A mesh-kapcsolat konfigurációi továbbra is nyilvános előzetes verzióban maradnak.

Erre az előzetes verzióra nem vonatkozik szolgáltatói szerződés, és a használata nem javasolt éles számítási feladatok esetén. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Az Azure Policy áttekintése

Az Azure Policy úgy értékeli ki az Azure-beli erőforrásokat, hogy összehasonlítja ezeknek az erőforrásoknak a tulajdonságait az üzleti szabályokkal. Ezeket a JSON formátumban leírt üzleti szabályokat szabályzatdefinícióknak nevezzük. Az üzleti szabályok létrehozása után a szabályzatdefiníció minden olyan erőforrás-hatókörhöz lesz hozzárendelve, amely Azure-támogatás, például felügyeleti csoportokhoz, előfizetésekhez, erőforráscsoportokhoz vagy egyéni erőforrásokhoz. A hozzárendelés a hozzárendelés Resource Manager-hatókörében lévő összes erőforrásra vonatkozik. További információ a hatókörhasználatról a Hatókör használatával az Azure Policyban.

Feljegyzés

Az Azure Policy csak a dinamikus hálózati csoporttagság meghatározásához használható.

Hálózati csoportházirend definíciója

A szabályzatok létrehozása és megvalósítása az Azure Policyban egy szabályzatdefiníciós erőforrás létrehozásával kezdődik. Minden szabályzatdefiníciónak megvannak a kikényszerítési feltételei, és egy meghatározott hatás, amely a feltételek teljesülése esetén következik be.

A hálózati csoportok esetében a szabályzatdefiníció tartalmazza a feltételeknek megfelelő virtuális hálózatok feltételes kifejezését, és megadja azt a célhálózati csoportot, ahol az egyező erőforrásokat elhelyezi. Az addToNetworkGroup effektus az erőforrások célhálózati csoportba való helyezésére szolgál. Íme egy példa egy szabályzatszabály-definícióra, amelynek hatása van addToNetworkGroup . Minden egyéni szabályzat esetében a tulajdonság a mode hálózati csoport erőforrás-szolgáltatójának megcélzására Microsoft.Network.Data van beállítva, és az Azure Virtual Network Manager szabályzatdefiníciójának létrehozásához szükséges.

"mode": "Microsoft.Network.Data",
"policyRule": {
      "if": {
        "allOf": [
          {
            "field": "Name",
            "contains": "-gen"
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "/subscriptions/12345678-abcd-123a-1234-1234abcd7890/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
        }
      }
}

Fontos

Szabályzat meghatározásakor a networkGroupId célhálózati csoport teljes erőforrás-azonosítójának kell lennie a mintadefinícióban látható módon. Nem támogatja a paraméterezést a szabályzatdefinícióban. Ha paramétereznie kell a hálózati csoportot, használhat egy Azure Resource Manager-sablont a szabályzatdefiníció és -hozzárendelés létrehozásához.

Ha az Azure Policyt az Azure Virtual Network Managerrel használja, a szabályzat a következő erőforrás-szolgáltatói tulajdonságotMicrosoft.Network.Datacélozza meg: . Emiatt meg kell adnia egy policyType értéketCustom a szabályzatdefinícióban. Amikor létrehoz egy szabályzatot a tagok dinamikus hozzáadásához a Virtual Network Managerben, a szabályzat létrehozásakor a rendszer automatikusan alkalmazza. Csak akkor kell választania custom , ha új szabályzatdefiníciót hoz létre az Azure Policy vagy a Virtual Network Manager irányítópultján kívüli egyéb eszközök használatával.

Íme egy példa egy szabályzatdefinícióra, amelynek tulajdonsága a policyType következő Custom.

"properties": {
      "displayName": "myProdAVNM",
      "policyType": "Custom",
      "mode": "Microsoft.Network.Data",
      "metadata": {
        "category": "Azure Virtual Network Manager",
        "createdBy": "-----------------------------",
        "createdOn": "2023-04-10T15:35:35.9308987Z",
        "updatedBy": null,
        "updatedOn": null
      }
}

További információ a szabályzatdefiníció struktúrájáról.

Szabályzat-hozzárendelés létrehozása

A Virtual Network Manager-konfigurációkhoz hasonlóan a szabályzatdefiníciók létrehozásakor nem lépnek érvénybe azonnal. Az alkalmazás megkezdéséhez létre kell hoznia egy szabályzat-hozzárendelést, amely hozzárendel egy definíciót az adott hatókörben történő értékeléshez. Jelenleg a hatókörben lévő összes erőforrás kiértékelése a definíció alapján történik, amely lehetővé teszi egyetlen újrafelhasználható definíciót, amelyet több helyen is hozzárendelhet a részletesebb csoporttagság-vezérléshez. További információ az Azure Policy hozzárendelési struktúrájáról .

A szabályzatdefiníciók és -hozzárendelések az API/PS/CLI vagy az Azure Policy Portal használatával hozhatók létre.

Szükséges engedélyek

A hálózati csoportok Azure Policyval való használatához a felhasználóknak a következő engedélyekre van szükségük:

• Microsoft.Authorization/policyassignments/Write és Microsoft.Authorization/policydefinitions/Write a hozzárendelt hatókörre van szükség.
• Microsoft.Network/networkManagers/networkGroups/join/action műveletre van szükség a Hozzáadás a hálózati csoporthoz szakaszban hivatkozott célhálózati csoportban . Ez az engedély lehetővé teszi objektumok hozzáadását és eltávolítását a célhálózati csoportból.
• Ha a beállításdefiníciók használatával egyszerre több szabályzatot rendel hozzá, egyidejű Microsoft.Network/networkManagers/networkGroups/join/action engedélyekre van szükség a hozzárendeléskor hozzárendelt összes definícióhoz.

A szükséges engedélyek beállításához a felhasználók szerepköralapú hozzáférés-vezérléssel rendelhetők hozzá beépített szerepkörökhöz:

• Hálózati közreműködői szerepkör a célhálózati csoporthoz.
• Erőforrásházirend-közreműködői szerepkör a cél hatókör szintjén.

Részletesebb szerepkör-hozzárendelés érdekében egyéni szerepköröket hozhat létre az engedély és policy/write az Microsoft.Network/networkManagers/networkGroups/join/action engedély használatával.

Fontos

Az AVNM dinamikus csoportjainak módosításához csak Azure RBAC-szerepkör-hozzárendelésen keresztül kell hozzáférést biztosítani. A klasszikus Rendszergazda/örökölt engedélyezés nem támogatott; ez azt jelenti, hogy ha a fiókjához csak a társadminisztrátori előfizetési szerepkör van hozzárendelve, akkor nem rendelkezik engedélyekkel az AVNM dinamikus csoportjaihoz.

A szükséges engedélyek mellett az előfizetéseket és a felügyeleti csoportokat a következő erőforrás-szolgáltatókkal kell regisztrálni:

• Microsoft.Network virtuális hálózatok létrehozásához szükséges.
• Microsoft.PolicyInsights az Azure Policy használatához szükséges.

A szükséges szolgáltatók regisztrációjának beállításához használja a Register-AzResourceProvider szolgáltatást az Azure PowerShellben, vagy az az provider register in Azure CLI-t.

Hasznos tippek

Típusszűrés

A szabályzatdefiníciók konfigurálásakor javasoljuk, hogy adjon meg egy típusfeltételt a virtuális hálózatok hatókörének meghatározásához. Ez a feltétel lehetővé teszi, hogy a szabályzat kiszűrje a nem virtuális hálózati műveleteket, és javítsa a szabályzaterőforrások hatékonyságát.

Regionális szeletelés

A szabályzaterőforrások globálisak, ami azt jelenti, hogy minden módosítás a hozzárendelés hatókörében lévő összes erőforrásra hatással van, régiótól függetlenül. Ha a regionális szeletelés és a fokozatos bevezetés aggodalomra ad okot, javasoljuk, hogy adjon meg egy feltételt where location in [] . Ezután fokozatosan kibonthatja a helyek listáját az effektus fokozatos bevezetéséhez.

Hozzárendelés hatókörének meghatározása

Ha azure-beli felügyeleti csoportokkal követi a felügyeleti csoportok ajánlott eljárásait, valószínű, hogy már hierarchiastruktúrába rendezi az erőforrásait. A hozzárendelések használatával ugyanazt a definíciót több különböző hatókörhöz rendelheti a hierarchián belül, így nagyobb részletességgel szabályozhatja, hogy mely erőforrások jogosultak a hálózati csoportra.

Hálózati csoporthoz társított Azure Policy-definíció törlése

Lehetnek olyan példányok, ahol már nincs szüksége Azure Policy-definícióra. A példányok közé tartozik, ha egy házirendhez társított hálózati csoportot törölnek, vagy ha már nincs szüksége egy nem használt házirendre. A szabályzat törléséhez törölnie kell a szabályzattársítási objektumot, majd törölnie kell a szabályzatdefiníciót az Azure Policyban. A törlés befejezése után a definíció neve nem használható újra és nem hivatkozható újra egy új definíció hálózati csoporthoz való társításakor.

Következő lépések

• Hozzon létre egy Azure Virtual Network Manager-példányt .
• Tudnivalók az Azure Virtual Network Manager konfigurációs üzembe helyezéséről.
• Megtudhatja, hogyan tilthatja le a hálózati forgalmat biztonsági Rendszergazda konfigurációval.