Mengonfigurasi grup jaringan dengan Azure Policy di Azure Virtual Network Manager

Dalam artikel ini, Anda mempelajari bagaimana Azure Policy digunakan di Azure Virtual Network Manager untuk menentukan keanggotaan grup jaringan dinamis. Grup jaringan dinamis memungkinkan Anda membuat lingkungan jaringan virtual yang dapat diskalakan dan beradaptasi secara dinamis di organisasi Anda.

Penting

Azure Virtual Network Manager umumnya tersedia untuk Virtual Network Manager, konfigurasi konektivitas hub-and-spoke, dan konfigurasi keamanan dengan aturan admin keamanan. Konfigurasi konektivitas mesh tetap berada di pratinjau publik.

Versi pratinjau ini diberikan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas. Untuk mengetahui informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Ringkasan Azure Policy

Azure Policy mengevaluasi sumber daya di Azure dengan membandingkan properti sumber daya tersebut dengan aturan bisnis. Aturan bisnis ini, yang dijelaskan dalam format JSON, dikenal sebagai definisi kebijakan. Setelah aturan bisnis Anda terbentuk, definisi kebijakan ditetapkan ke cakupan sumber daya apa pun yang didukung Azure, seperti grup manajemen, langganan, grup sumber daya, atau sumber daya individual. Penugasan berlaku untuk semua sumber daya dalam Cakupan Resource Manager dari penugasan tersebut. Pelajari selengkapnya tentang penggunaan cakupan dengan Cakupan di Azure Policy.

Catatan

Azure Policy hanya digunakan untuk definisi keanggotaan grup jaringan dinamis.

Definisi kebijakan grup jaringan

Membuat dan menerapkan kebijakan di Azure Policy dimulai dengan membuat sumber daya definisi kebijakan. Setiap definisi kebijakan memiliki kondisi untuk penegakan, dan efek yang ditentukan yang terjadi jika kondisi terpenuhi.

Dengan grup jaringan, definisi kebijakan Anda menyertakan ekspresi kondisional Anda untuk mencocokkan jaringan virtual yang memenuhi kriteria Anda, dan menentukan grup jaringan tujuan tempat sumber daya yang cocok ditempatkan. Efek ini addToNetworkGroup digunakan untuk menempatkan sumber daya dalam grup jaringan tujuan. Berikut adalah sampel definisi aturan kebijakan dengan efeknya addToNetworkGroup . Untuk semua kebijakan kustom, mode properti diatur ke Microsoft.Network.Data untuk menargetkan penyedia sumber daya grup jaringan dan diperlukan untuk membuat definisi kebijakan untuk Azure Virtual Network Manager.

"mode": "Microsoft.Network.Data",
"policyRule": {
      "if": {
        "allOf": [
          {
            "field": "Name",
            "contains": "-gen"
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "/subscriptions/12345678-abcd-123a-1234-1234abcd7890/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
        }
      }
}

Penting

Saat menentukan kebijakan, networkGroupId harus berupa ID sumber daya lengkap dari grup jaringan target seperti yang terlihat dalam definisi sampel. Ini tidak mendukung parameterisasi dalam definisi kebijakan. Jika Anda perlu membuat parameter grup jaringan, Anda dapat menggunakan templat Azure Resource Manager untuk membuat definisi dan penugasan kebijakan.

Saat Azure Policy digunakan dengan Azure Virtual Network Manager, kebijakan menargetkan properti Penyedia Sumber Daya .Microsoft.Network.Data Karena itu, Anda perlu menentukan policyType dalam Custom definisi kebijakan Anda. Saat Anda membuat kebijakan untuk menambahkan anggota secara dinamis di Virtual Network Manager, ini diterapkan secara otomatis saat kebijakan dibuat. Anda hanya perlu memilih custom saat membuat definisi kebijakan baru melalui Azure Policy atau alat lain di luar dasbor Virtual Network Manager.

Berikut adalah sampel definisi kebijakan dengan properti yang policyType diatur ke Custom.

"properties": {
      "displayName": "myProdAVNM",
      "policyType": "Custom",
      "mode": "Microsoft.Network.Data",
      "metadata": {
        "category": "Azure Virtual Network Manager",
        "createdBy": "-----------------------------",
        "createdOn": "2023-04-10T15:35:35.9308987Z",
        "updatedBy": null,
        "updatedOn": null
      }
}

Pelajari selengkapnya tentang struktur definisi kebijakan.

Buat penetapan kebijakan

Mirip dengan konfigurasi Virtual Network Manager, definisi kebijakan tidak segera berlaku saat Anda membuatnya. Untuk mulai menerapkan, Anda harus membuat Penetapan kebijakan, yang menetapkan definisi untuk dievaluasi pada cakupan tertentu. Saat ini, semua sumber daya dalam cakupan dievaluasi terhadap definisi, yang memungkinkan satu definisi yang dapat digunakan kembali yang dapat Anda tetapkan di beberapa tempat untuk kontrol keanggotaan grup yang lebih terperinci. Pelajari informasi selengkapnya tentang Struktur Penugasan untuk Azure Policy.

Definisi dan penugasan kebijakan dapat dibuat melalui dengan API/PS/CLI atau Portal Azure Policy.

Izin yang diperlukan

Untuk menggunakan grup jaringan dengan Azure Policy, pengguna memerlukan izin berikut:

• Microsoft.Authorization/policyassignments/Write dan Microsoft.Authorization/policydefinitions/Write diperlukan pada cakupan yang Anda tetapkan.
• Microsoft.Network/networkManagers/networkGroups/join/action tindakan diperlukan pada grup jaringan target yang dirujuk di bagian Tambahkan ke grup jaringan. Izin ini memungkinkan penambahan dan penghapusan objek dari grup jaringan target.
• Saat menggunakan definisi yang ditetapkan untuk menetapkan beberapa kebijakan secara bersamaan, Microsoft.Network/networkManagers/networkGroups/join/action izin bersamaan diperlukan pada semua definisi yang ditetapkan pada saat penugasan.

Untuk mengatur izin yang diperlukan, pengguna dapat diberi peran bawaan dengan kontrol akses berbasis peran:

• Peran Kontributor Jaringan ke grup jaringan target.
• Peran Kontributor Kebijakan Sumber Daya di tingkat cakupan target.

Untuk penetapan peran yang lebih terperinci, Anda dapat membuat peran kustom menggunakan Microsoft.Network/networkManagers/networkGroups/join/action izin dan policy/write izin.

Penting

Untuk memodifikasi grup dinamis AVNM, Anda harus diberikan akses melalui penetapan peran Azure RBAC saja. Otorisasi Admin/warisan klasik tidak didukung; ini berarti jika akun Anda hanya ditetapkan sebagai peran langganan administrator bersama, Anda tidak akan memiliki izin pada grup dinamis AVNM.

Seiring dengan izin yang diperlukan, langganan dan grup manajemen Anda harus terdaftar di penyedia sumber daya berikut:

• Microsoft.Network diperlukan untuk membuat jaringan virtual.
• Microsoft.PolicyInsights diperlukan untuk menggunakan Azure Policy.

Untuk mengatur daftarkan penyedia yang diperlukan, gunakan Register-AzResourceProvider di Azure PowerShell atau daftar penyedia az di Azure CLI.

Tips

Pemfilteran jenis

Saat mengonfigurasi definisi kebijakan Anda, kami sarankan Anda menyertakan kondisi jenis untuk mencakupnya ke jaringan virtual. Kondisi ini memungkinkan kebijakan untuk memfilter operasi jaringan non virtual dan meningkatkan efisiensi sumber daya kebijakan Anda.

Pemotongan regional

Sumber daya kebijakan bersifat global, yang berarti bahwa setiap perubahan berlaku pada semua sumber daya di bawah cakupan penugasan, terlepas dari wilayah. Jika pengirisan regional dan peluncuran bertahap menjadi perhatian Anda, kami sarankan Anda menyertakan kondisi where location in [] . Kemudian, Anda dapat secara bertahap memperluas daftar lokasi untuk meluncurkan efek secara bertahap.

Pencakupan penugasan

Jika Anda mengikuti praktik terbaik grup manajemen menggunakan grup manajemen Azure, kemungkinan Anda sudah mengatur sumber daya dalam struktur hierarki. Dengan menggunakan penugasan, Anda dapat menetapkan definisi yang sama ke beberapa cakupan berbeda dalam hierarki Anda, memungkinkan Anda memiliki kontrol granularitas yang lebih tinggi yang memenuhi syarat untuk grup jaringan Anda.

Menghapus definisi Azure Policy yang terkait dengan grup jaringan

Anda dapat menjadi instans di mana Anda tidak lagi memerlukan definisi Azure Policy. Instans termasuk ketika grup jaringan yang terkait dengan kebijakan dihapus, atau Anda memiliki kebijakan yang tidak digunakan yang tidak lagi Anda butuhkan. Untuk menghapus kebijakan, Anda perlu menghapus objek asosiasi kebijakan, lalu menghapus definisi kebijakan di Azure Policy. Setelah penghapusan selesai, nama definisi tidak dapat digunakan kembali atau direferensikan kembali saat mengaitkan definisi baru ke grup jaringan.

Langkah berikutnya

• Membuat instans Azure Virtual Network Manager.
• Mempelajari tentang penyebaran konfigurasi di Azure Virtual Network Manager.
• Mempelajari cara memblokir lalu lintas jaringan dengan konfigurasi SecurityAdmin.