Share via

Netwerkgroepen configureren met Azure Policy in Azure Virtual Network Manager

  • Artikel

In dit artikel leert u hoe Azure Policy wordt gebruikt in Azure Virtual Network Manager om dynamisch lidmaatschap van netwerkgroepen te definiëren. Met dynamische netwerkgroepen kunt u schaalbare en dynamisch aangepaste virtuele netwerkomgevingen in uw organisatie maken.

Overzicht van Azure-beleid

Azure Policy evalueert resources in Azure door de eigenschappen van deze resources te vergelijken met bedrijfsregels. Deze bedrijfsregels, zoals beschreven in de JSON-indeling, worden beleidsdefinities genoemd. Zodra uw bedrijfsregels zijn gevormd, wordt de beleidsdefinitie toegewezen aan elk bereik van resources die ondersteuning voor Azure, zoals beheergroepen, abonnementen, resourcegroepen of afzonderlijke resources. De toewijzing is van toepassing op alle resources binnen het Resource Manager-bereik van deze toewijzing. Meer informatie over bereikgebruik met Scope in Azure Policy.

Notitie

Azure Policy wordt alleen gebruikt voor de definitie van dynamisch netwerkgroepslidmaatschap.

Definitie van netwerkgroepsbeleid

Het maken en implementeren van een beleid in Azure Policy begint met het maken van een beleidsdefinitieresource. Elke beleidsdefinitie heeft voorwaarden voor afdwinging en een gedefinieerd effect dat plaatsvindt als aan de voorwaarden wordt voldaan.

Met netwerkgroepen bevat uw beleidsdefinitie uw voorwaardelijke expressie voor overeenkomende virtuele netwerken die voldoen aan uw criteria en geeft u de doelnetwerkgroep op waar overeenkomende resources worden geplaatst. Het addToNetworkGroup effect wordt gebruikt om resources in de doelnetwerkgroep te plaatsen. Hier volgt een voorbeeld van een beleidsregeldefinitie met het addToNetworkGroup effect. Voor alle aangepaste beleidsregels is de mode eigenschap ingesteld op Microsoft.Network.Data het doel van de resourceprovider van de netwerkgroep en is deze vereist voor het maken van een beleidsdefinitie voor Azure Virtual Network Manager.

"mode": "Microsoft.Network.Data",
"policyRule": {
      "if": {
        "allOf": [
          {
            "field": "Name",
            "contains": "-gen"
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
        }
      }
}

Belangrijk

Bij het definiëren van een beleid moet de networkGroupId volledige resource-id van de doelnetwerkgroep zijn, zoals te zien is in de voorbeelddefinitie. Het biedt geen ondersteuning voor parameterisatie in de beleidsdefinitie. Als u de netwerkgroep wilt parameteriseren, kunt u een Azure Resource Manager-sjabloon gebruiken om de beleidsdefinitie en toewijzing te maken.

Wanneer Azure Policy wordt gebruikt met Azure Virtual Network Manager, is het beleid gericht op een resourceprovidereigenschap van Microsoft.Network.Data. Daarom moet u een policyType Custom opgeven in uw beleidsdefinitie. Wanneer u een beleid maakt om leden dynamisch toe te voegen in Virtual Network Manager, wordt dit automatisch toegepast wanneer het beleid wordt gemaakt. U hoeft alleen te kiezen custom wanneer u een nieuwe beleidsdefinitie maakt via Azure Policy of andere hulpprogramma's buiten het Virtual Network Manager-dashboard.

Hier volgt een voorbeeld van een beleidsdefinitie waarop de policyType eigenschap is ingesteld op Custom.


"properties": {
      "displayName": "myProdAVNM",
      "policyType": "Custom",
      "mode": "Microsoft.Network.Data",
      "metadata": {
        "category": "Azure Virtual Network Manager",
        "createdBy": "-----------------------------",
        "createdOn": "2023-04-10T15:35:35.9308987Z",
        "updatedBy": null,
        "updatedOn": null
      }
}

Meer informatie over de structuur van beleidsdefinities.

Een beleidstoewijzing maken

Net als bij Virtual Network Manager-configuraties worden beleidsdefinities niet onmiddellijk van kracht wanneer u ze maakt. Als u wilt beginnen met toepassen, moet u een beleidstoewijzing maken, die een definitie toewijst om te evalueren op een bepaald bereik. Op dit moment worden alle resources binnen het bereik geëvalueerd op basis van de definitie, waardoor één herbruikbare definitie kan worden toegewezen op meerdere locaties voor gedetailleerder beheer van groepslidmaatschappen. Meer informatie over de toewijzingsstructuur voor Azure Policy.

Beleidsdefinities en -toewijzingen kunnen worden gemaakt met API/PS/CLI of Azure Policy Portal.

Vereiste machtigingen

Als u netwerkgroepen wilt gebruiken met Azure Policy, hebben gebruikers de volgende machtigingen nodig:

  • Microsoft.Authorization/policyassignments/Write en Microsoft.Authorization/policydefinitions/Write zijn nodig voor het bereik dat u toewijst.
  • Microsoft.Network/networkManagers/networkGroups/join/action actie is vereist voor de doelnetwerkgroep waarnaar wordt verwezen in de sectie Toevoegen aan netwerkgroep . Met deze machtiging kunt u objecten toevoegen en verwijderen uit de doelnetwerkgroep.
  • Wanneer u setdefinities gebruikt om meerdere beleidsregels tegelijk toe te wijzen, zijn gelijktijdige Microsoft.Network/networkManagers/networkGroups/join/action machtigingen nodig voor alle definities die worden toegewezen op het moment van toewijzing.

Als u de benodigde machtigingen wilt instellen, kunnen gebruikers ingebouwde rollen toewijzen met op rollen gebaseerd toegangsbeheer:

  • De rol Netwerkbijdrager voor de doelnetwerkgroep.
  • Rol Inzender voor resourcebeleid op het niveau van het doelbereik.

Voor gedetailleerdere roltoewijzing kunt u aangepaste rollen maken met behulp van de Microsoft.Network/networkManagers/networkGroups/join/action machtiging en policy/write machtiging.

Belangrijk

Als u dynamische AVNM-groepen wilt wijzigen, moet u alleen toegang krijgen via Azure RBAC-roltoewijzing. Klassieke beheerder/verouderde autorisatie wordt niet ondersteund; Dit betekent dat als uw account alleen de rol van co-beheerder-abonnement is toegewezen, u geen machtigingen hebt voor dynamische AVNM-groepen.

Naast de vereiste machtigingen moeten uw abonnementen en beheergroepen worden geregistreerd bij de volgende resourceproviders:

  • Microsoft.Network is vereist om virtuele netwerken te maken.
  • Microsoft.PolicyInsights is vereist voor het gebruik van Azure Policy.

Als u de benodigde providers wilt registreren, gebruikt u Register-AzResourceProvider in Azure PowerShell of az provider register in Azure CLI.

Handige tips

Typefiltering

Bij het configureren van uw beleidsdefinities wordt u aangeraden een typevoorwaarde op te nemen om deze te beperken tot virtuele netwerken. Met deze voorwaarde kan een beleid niet-virtuele netwerkbewerkingen filteren en de efficiëntie van uw beleidsresources verbeteren.

Regionale segmentering

Beleidsbronnen zijn globaal, wat betekent dat elke wijziging van kracht wordt op alle resources onder het toewijzingsbereik, ongeacht de regio. Als regionale segmentering en geleidelijke implementatie een probleem voor u is, raden we u aan een where location in [] voorwaarde op te nemen. Vervolgens kunt u de lijst met locaties incrementeel uitbreiden om het effect geleidelijk uit te rollen.

Bereik van toewijzing

Als u best practices voor beheergroepen volgt met behulp van Azure-beheergroepen, hebt u waarschijnlijk al uw resources in een hiërarchiestructuur georganiseerd. Met behulp van toewijzingen kunt u dezelfde definitie toewijzen aan meerdere afzonderlijke bereiken binnen uw hiërarchie, zodat u meer granulariteitsbeheer hebt over welke resources in aanmerking komen voor uw netwerkgroep.

Een Azure Policy-definitie verwijderen die is gekoppeld aan een netwerkgroep

U kunt exemplaren zijn waarbij u geen Azure Policy-definitie meer nodig hebt. Exemplaren zijn onder andere wanneer een netwerkgroep die is gekoppeld aan een beleid wordt verwijderd of als u een ongebruikt beleid hebt dat u niet meer nodig hebt. Als u het beleid wilt verwijderen, moet u het beleidskoppelingsobject verwijderen en vervolgens de beleidsdefinitie in Azure Policy verwijderen. Zodra het verwijderen is voltooid, kan de definitienaam niet opnieuw worden gebruikt of opnieuw worden verwezen bij het koppelen van een nieuwe definitie aan een netwerkgroep.

Volgende stappen