Condividi tramite

Configurazione dei gruppi di rete con Criteri di Azure in Gestione rete virtuale di Azure

  • Articolo

Questo articolo illustra come vengono usati i Criteri di Azure in Gestione rete virtuale di Azure per definire l'appartenenza dinamica al gruppo di rete. I gruppi di rete dinamici consentono di creare ambienti di rete virtuale scalabili e dinamici nell'organizzazione.

Panoramica di Criteri di Azure

Criteri di Azure valuta le risorse in Azure confrontando le proprietà di tali risorse con le regole business. Queste regole di business, descritte in formato JSON, sono note come definizioni dei criteri. Una volta formate le regole di business, la definizione dei criteri viene assegnata a qualsiasi ambito di risorse supportate da Azure, ad esempio gruppi di gestione, sottoscrizioni, gruppi di risorse o singole risorse. L'assegnazione si applica a tutte le risorse all'interno dell'ambito di Resource Manager di tale assegnazione. Altre informazioni sull'utilizzo dell'ambito con Ambito in Criteri di Azure.

Nota

Criteri di Azure viene usato solo per la definizione dell'appartenenza dinamica al gruppo di rete.

Definizione di Criteri di gruppo di rete

La creazione e l’implementazione dei criteri in Criteri di Azure ha inizio con la creazione di una risorsa di definizione di criteri. Ogni definizione di criteri ha delle condizioni di applicazione e un effetto definito che si verifica se vengono soddisfatte le condizioni.

Con i gruppi di rete, la definizione dei criteri include l'espressione condizionale per la corrispondenza delle reti virtuali che soddisfano i criteri e specifica il gruppo di rete di destinazione in cui vengono inserite tutte le risorse corrispondenti. L'effetto addToNetworkGroup viene usato per inserire le risorse nel gruppo di rete di destinazione. Ecco un esempio di definizione di una regola dei criteri con l'effetto addToNetworkGroup. Per tutti i criteri personalizzati, la proprietà mode è impostata su Microsoft.Network.Data in modo che sia indirizzata al provider di risorse del gruppo di rete ed è necessaria per la creazione di una definizione di criteri per Gestione rete virtuale di Azure.

"mode": "Microsoft.Network.Data",
"policyRule": {
      "if": {
        "allOf": [
          {
            "field": "Name",
            "contains": "-gen"
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
        }
      }
}

Importante

Quando si definisce un criterio, networkGroupId deve essere l'ID risorsa completo del gruppo di rete di destinazione, come illustrato nella definizione di esempio. Non supporta la parametrizzazione nella definizione dei criteri. Se è necessario parametrizzare il gruppo di rete, è possibile usare un modello di Azure Resource Manager per creare la definizione e l'assegnazione dei criteri.

Quando Criteri di Azure viene usato con Gestione rete virtuale di Azure, il criterio è destinato a una proprietà del provider di risorse di Microsoft.Network.Data. Per questo motivo, è necessario specificare un policyType di Custom nella definizione dei criteri. Quando si crea un criterio per aggiungere in modo dinamico i membri in Gestione reti virtuali, questo viene applicato automaticamente alla creazione del criterio. È sufficiente scegliere custom quando si crea una nuova definizione di criteri tramite Criteri di Azure o altri strumenti al di fuori del dashboard di Gestione reti virtuali.

Ecco un esempio di definizione di criteri con la proprietà policyType impostata su Custom.


"properties": {
      "displayName": "myProdAVNM",
      "policyType": "Custom",
      "mode": "Microsoft.Network.Data",
      "metadata": {
        "category": "Azure Virtual Network Manager",
        "createdBy": "-----------------------------",
        "createdOn": "2023-04-10T15:35:35.9308987Z",
        "updatedBy": null,
        "updatedOn": null
      }
}

Altre informazioni sulla struttura delle definizioni dei criteri.

Creare un'assegnazione di criteri

Analogamente alle configurazioni di Gestione reti virtuali, le definizioni dei criteri non hanno effetto immediato quando vengono create. Per iniziare l'applicazione, è necessario creare un'assegnazione di criteri, che assegna una definizione da valutare in un determinato ambito. Attualmente, tutte le risorse all'interno dell'ambito vengono valutate rispetto alla definizione, che consente una singola definizione riutilizzabile che è possibile assegnare in più posizioni per un controllo di appartenenza a gruppi più granulare. Altre informazioni sulla struttura di assegnazione per Criteri di Azure.

Le definizioni e l'assegnazione dei criteri possono essere create tramite API/PS/CLI o il portale Criteri di Azure.

Autorizzazioni necessarie

Per usare i gruppi di rete con Criteri di Azure, gli utenti devono disporre delle autorizzazioni seguenti:

  • Microsoft.Authorization/policyassignments/Write e Microsoft.Authorization/policydefinitions/Write sono necessari nell'ambito che si sta assegnando.
  • L'azione Microsoft.Network/networkManagers/networkGroups/join/action è necessaria nel gruppo di rete di destinazione a cui si fa riferimento nella sezione Aggiungi al gruppo di rete. Questa autorizzazione consente l'aggiunta e la rimozione di oggetti dal gruppo di rete di destinazione.
  • Quando si usano definizioni di set per assegnare più criteri contemporaneamente, sono necessarie autorizzazioni Microsoft.Network/networkManagers/networkGroups/join/action simultanee per tutte le definizioni assegnate al momento dell'assegnazione.

Per impostare le autorizzazioni necessarie, agli utenti possono essere assegnati ruoli predefiniti con il controllo degli accessi in base al ruolo:

  • Ruolo Collaboratore di rete al gruppo di rete di destinazione.
  • Ruolo Collaboratore criteri risorse a livello di ambito di destinazione.

Per un'assegnazione di ruolo più dettagliata, è possibile creare ruoli personalizzati usando l'autorizzazione Microsoft.Network/networkManagers/networkGroups/join/action e l'autorizzazione policy/write.

Importante

Per modificare i gruppi dinamici AVNM, è necessario che sia stato concesso l'accesso solo tramite l'assegnazione di ruolo Controllo degli accessi in base al ruolo di Azure. L'autorizzazione di amministratore/legacy classica non è supportata; ciò significa che se all'account è stato assegnato solo il ruolo di sottoscrizione coamministratore, non si dispone delle autorizzazioni per i gruppi dinamici AVNM.

Oltre alle autorizzazioni necessarie, le sottoscrizioni e i gruppi di gestione devono essere registrati con i provider di risorse seguenti:

  • Microsoft.Network è necessario per creare reti virtuali.
  • Microsoft.PolicyInsights è necessario per usare Criteri di Azure.

Per impostare la registrazione dei provider necessari, usare Register-AzResourceProvider in Azure PowerShell o az provider register nell'interfaccia della riga di comando di Azure.

Suggerimenti utili

Filtro dei tipi

Quando si configurano le definizioni dei criteri, è consigliabile includere una condizione tipo per definirne l'ambito nelle reti virtuali. Questa condizione consente a un criterio di filtrare le operazioni non di rete virtuale e migliorare l'efficienza delle risorse dei criteri.

Sezionamento a livello di area

Le risorse dei criteri sono globali, il che significa che qualsiasi modifica ha effetto su tutte le risorse nell'ambito di assegnazione, indipendentemente dall'area. Se il sezionamento a livello di area e l'implementazione graduale sono un problema per l'utente, è consigliabile includere una condizione where location in []. È quindi possibile espandere in modo incrementale l'elenco dei percorsi per implementare gradualmente l'effetto.

Definizione dell'ambito dell'assegnazione

Se si seguono le procedure consigliate per i gruppi di gestione usando i gruppi di gestione di Azure, è probabile che le risorse siano già organizzate in una struttura gerarchia. Usando le assegnazioni, è possibile assegnare la stessa definizione a più ambiti distinti all'interno della gerarchia, consentendo di avere un controllo di granularità più elevata delle risorse idonee per il gruppo di rete.

Eliminazione di una definizione di Criteri di Azure associata a un gruppo di rete

È possibile avere istanze in cui non è più necessaria una definizione di Criteri di Azure. Ad esempio, quando un gruppo di rete associato a un criterio viene eliminato o si dispone di un criterio inutilizzato che non è più necessario. Per eliminare il criterio, è necessario eliminare l'oggetto di associazione criteri e quindi eliminare la definizione dei criteri in Criteri di Azure. Una volta completata l'eliminazione, il nome della definizione non può essere riutilizzato o referenziato di nuovo quando si associa una nuova definizione a un gruppo di rete.

Passaggi successivi