Mulai cepat: Membuat topologi jaringan jala dengan Azure Virtual Network Manager dengan menggunakan Azure CLI

Mulai menggunakan Azure Virtual Network Manager dengan menggunakan Azure CLI untuk mengelola konektivitas untuk semua jaringan virtual Anda.

Dalam mulai cepat ini, Anda menyebarkan tiga jaringan virtual dan menggunakan Azure Virtual Network Manager untuk membuat topologi jaringan jala. Kemudian Anda memverifikasi bahwa konfigurasi konektivitas diterapkan.

Prasyarat

Akun Azure dengan langganan aktif. Buat akun secara gratis.
Azure CLI terbaru, atau Anda dapat menggunakan Azure Cloud Shell di portal.
Ekstensi Azure Virtual Network Manager. Untuk menambahkannya, jalankan az extension add -n virtual-network-manager.
Untuk mengubah grup jaringan dinamis, Anda harus diberikan akses melalui penetapan peran Azure RBAC saja. Otorisasi Admin/warisan klasik tidak didukung.

Untuk memulai konfigurasi Anda, masuklah ke akun Azure Anda. Jika Anda menggunakan fitur Cloud Shell Try It , Anda akan masuk secara otomatis.

az login

Pilih langganan tempat Virtual Network Manager disebarkan:

az account set \
    --subscription "<subscriptionID>"

Perbarui ekstensi Virtual Network Manager untuk Azure CLI:

az extension update --name virtual-network-manager

Buat grup sumber daya

Dalam tugas ini, Anda membuat grup sumber daya untuk menghosting instans pengelola jaringan dengan menggunakan az group create. Contoh ini membuat grup sumber daya bernama grup sumber daya di lokasi (US) Barat 2 :

az group create \
    --name "resource-group" \
    --location "westus2"

Membuat instans Virtual Network Manager

Dalam tugas ini, tentukan cakupan dan jenis akses untuk instans Virtual Network Manager ini. Buat cakupan dengan menggunakan az network manager create. Ganti nilai <subscriptionID> dengan langganan yang Anda inginkan agar Virtual Network Manager mengelola jaringan virtual. Ganti <mgName\> dengan grup manajemen yang ingin Anda kelola.

az network manager create \
    --location "westus2" \
    --name "network-manager" \
    --resource-group "resource-group" \
    --scope-accesses "Connectivity" "SecurityAdmin" \
    --network-manager-scopes subscriptions="/subscriptions/<subscriptionID>"

Membuat grup jaringan

Dalam tugas ini, buat grup jaringan dengan menggunakan az network manager group create:

az network manager group create \
    --name "network-group" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group" \
    --description "Network Group for Production virtual networks"

Membuat jaringan virtual

Dalam tugas ini, buat tiga jaringan virtual menggunakan az network vnet create. Contoh ini membuat jaringan virtual bernama tiga virtual di lokasi (AS) Barat 2 . Setiap jaringan virtual memiliki tag networkType yang digunakan untuk keanggotaan dinamis. Jika Anda sudah memiliki jaringan virtual yang ingin Anda buat jaringan jalanya, Anda dapat melompat ke bagian berikutnya.

az network vnet create \
    --name "vnet-00" \
    --resource-group "resource-group" \
    --address-prefix "10.0.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-01" \
    --resource-group "resource-group" \
    --address-prefix "10.1.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "vnet-02" \
    --resource-group "resource-group" \
    --address-prefix "10.2.0.0/16" \
    --tags "NetworkType=Prod"

Menambahkan subnet ke setiap jaringan virtual

Dalam tugas ini, selesaikan konfigurasi jaringan virtual dengan menambahkan subnet /24 ke masing-masing. Buat konfigurasi subnet bernama default dengan menggunakan az network vnet subnet create:

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-00" \
    --address-prefix "10.0.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-01" \
    --address-prefix "10.1.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "resource-group" \
    --vnet-name "vnet-02" \
    --address-prefix "10.2.0.0/24"

Menentukan keanggotaan untuk konfigurasi jala

Azure Virtual Network Manager memungkinkan dua metode untuk menambahkan keanggotaan ke grup jaringan. Keanggotaan statis melibatkan penambahan jaringan virtual secara manual, dan keanggotaan dinamis melibatkan penggunaan Azure Policy untuk menambahkan jaringan virtual secara dinamis berdasarkan kondisi. Pilih opsi yang ingin Anda selesaikan untuk keanggotaan konfigurasi jala Anda.

Keanggotaan manual
Kebijakan Azure

Dengan menggunakan keanggotaan statis, Anda menambahkan tiga jaringan virtual secara manual untuk konfigurasi jala ke grup jaringan Anda melalui az network manager group static-member create. Ganti <subscriptionID> dengan langganan tempat jaringan virtual ini dibuat.

az network manager group static-member create \
    --name "vnet-00" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-00"

az network manager group static-member create \
    --name "vnet-01" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-01"

az network manager group static-member create \
    --name "vnet-02" \
    --network-group "network-group" \
    --network-manager "network-manager" \
    --resource-group "resource-group" \
    --resource-id "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/virtualnetworks/vnet-02"

Dengan menggunakan Azure Policy, Anda dapat menambahkan tiga jaringan virtual secara dinamis dengan networkType nilai Prod ke grup jaringan. Ketiga jaringan virtual ini menjadi bagian dari konfigurasi jala setelah disebarkan.

Anda dapat menerapkan kebijakan ke langganan atau grup manajemen, dan Anda harus selalu menentukannya di atau di atas tingkat tempat Anda membuatnya. Hanya jaringan virtual dalam cakupan kebijakan yang ditambahkan ke grup jaringan.

Membuat definisi kebijakan

Dalam tugas ini, buat definisi kebijakan dengan menggunakan az policy definition create untuk jaringan virtual yang ditandai sebagai Prod. Ganti dengan langganan yang ingin Anda terapkan <subscriptionID> kebijakan ini. Jika Anda ingin menerapkannya ke grup manajemen, ganti --subscription <subscriptionID> dengan --management-group <mgName>.

az policy definition create \
    --name "azure-policy" \
    --description "Choose Prod virtual networks only" \
    --rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"vnet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group\"}}}" \
    --subscription <subscriptionID> \
    --mode "Microsoft.Network.Data"

Menerapkan definisi kebijakan

Dalam tugas ini, Anda menerapkan kebijakan yang dibuat sebelumnya menggunakan az policy assignment create. Ganti dengan langganan yang ingin Anda terapkan <subscriptionID> kebijakan ini. Jika Anda ingin menerapkannya ke grup manajemen, ganti --scope "/subscriptions/<subscriptionID>" dengan --scope "/providers/Microsoft.Management/managementGroups/<mgName>, dan ganti <mgName\> dengan grup manajemen Anda.


az policy assignment create \
    --name "azure-policy-assignment" \
    --description "Take only virtual networks tagged NetworkType:Prod" \
    --scope "/subscriptions/<subscriptionID>" \
    --policy "/subscriptions/<subscriptionID>/providers/Microsoft.Authorization/azure-policys/azure-policy"

Membuat profil konfigurasi

Dalam tugas ini, buat konfigurasi topologi jaringan jala dengan menggunakan az network manager connect-config create. Ganti <subscriptionID> dengan ID Langganan Anda.

az network manager connect-config create \
    --configuration-name "connectivityconfig" \
    --description "Production Mesh Connectivity Config Example" \
    --applies-to-groups '[{"networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group", "groupConnectivity": "None"}]' \
    --connectivity-topology "Mesh" \
    --network-manager-name "network-manager" \
    --resource-group "resource-group"

Menerapkan penyebaran

Agar konfigurasi berlaku, terapkan konfigurasi ke wilayah target dengan menggunakan manajer jaringan az pasca-penerapan:

az network manager post-commit \
    --network-manager-name "network-manager" \
    --commit-type "Connectivity" \
    --configuration-ids "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig" \
    --target-locations "westus2" \
    --resource-group "resource-group"

Verifikasi konfigurasi

Konfigurasi tampilan jaringan virtual diterapkan saat Anda menggunakan az network manager list-effective-connectivity-config:

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-00"

az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-01"


az network manager list-effective-connectivity-config \
    --resource-group "resource-group" \
    --virtual-network-name "vnet-02"

Untuk jaringan virtual yang merupakan bagian dari konfigurasi konektivitas, Anda mendapatkan output yang mirip dengan contoh ini:

{
  "skipToken": "",
  "value": [
    {
      "appliesToGroups": [
        {
          "groupConnectivity": "None",
          "isGlobal": "False",
          "networkGroupId": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "useHubGateway": "False"
        }
      ],
      "configurationGroups": [
        {
          "description": "Network Group for Production virtual networks",
          "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/networkGroups/network-group",
          "provisioningState": "Succeeded",
          "resourceGroup": "resource-group"
        }
      ],
      "connectivityTopology": "Mesh",
      "deleteExistingPeering": "False",
      "description": "Production Mesh Connectivity Config Example",
      "hubs": [],
      "id": "/subscriptions/<subscriptionID>/resourceGroups/resource-group/providers/Microsoft.Network/networkManagers/network-manager/connectivityConfigurations/connectivityconfig",
      "isGlobal": "False",
      "provisioningState": "Succeeded",
      "resourceGroup": "resource-group"
    }
  ]
}

Membersihkan sumber daya

Jika Anda tidak lagi memerlukan instans Azure Virtual Network Manager dan sumber daya lainnya, hapus grup sumber daya dengan menggunakan az group delete:

az group delete \
    --name "resource-group"

Langkah berikutnya

Dalam langkah ini Anda mempelajari cara memblokir lalu lintas jaringan dengan menggunakan konfigurasi admin keamanan:

Memblokir lalu lintas jaringan dengan Azure Virtual Network Manager

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2025-01-15