Konfigurowanie grup sieci za pomocą usługi Azure Policy w usłudze Azure Virtual Network Manager

Z tego artykułu dowiesz się, jak usługa Azure Policy jest używana w usłudze Azure Virtual Network Manager do definiowania dynamicznego członkostwa w grupie sieci. Dynamiczne grupy sieciowe umożliwiają tworzenie skalowalnych i dynamicznie dostosowujących się środowisk sieci wirtualnych w organizacji.

Ważne

Menedżer sieci wirtualnej platformy Azure jest ogólnie dostępny dla konfiguracji łączności piasty i szprych usługi Virtual Network Manager oraz konfiguracji zabezpieczeń przy użyciu reguł administratora zabezpieczeń. Konfiguracje łączności usługi Mesh pozostają w publicznej wersji zapoznawczej.

Ta wersja zapoznawcza nie jest objęta umową dotyczącą poziomu usług i nie zalecamy korzystania z niej w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.

Omówienie zasad platformy Azure

Usługa Azure Policy ocenia zasoby na platformie Azure, porównując właściwości tych zasobów z regułami biznesowymi. Te reguły biznesowe, opisane w formacie JSON, są nazywane definicjami zasad. Po utworzeniu reguł biznesowych definicja zasad jest przypisywana do dowolnego zakresu zasobów, które pomoc techniczna platformy Azure, takich jak grupy zarządzania, subskrypcje, grupy zasobów lub poszczególne zasoby. Przypisanie dotyczy wszystkich zasobów w zakresie usługi Resource Manager tego przypisania. Dowiedz się więcej o użyciu zakresu z zakresem w usłudze Azure Policy.

Uwaga

Usługa Azure Policy jest używana tylko do definicji dynamicznego członkostwa w grupie sieci.

Definicja zasad grupy sieciowej

Tworzenie i implementowanie zasad w usłudze Azure Policy rozpoczyna się od utworzenia zasobu definicji zasad. Każda definicja zasad ma warunki wymuszania i zdefiniowany efekt, który ma miejsce w przypadku spełnienia warunków.

W przypadku grup sieci definicja zasad zawiera wyrażenie warunkowe do dopasowywania sieci wirtualnych spełniających kryteria i określa docelową grupę sieci, w której znajdują się pasujące zasoby. addToNetworkGroup Efekt jest używany do umieszczania zasobów w docelowej grupie sieci. Oto przykład definicji reguły zasad z addToNetworkGroup efektem. Dla wszystkich zasad mode niestandardowych właściwość jest ustawiona na Microsoft.Network.Data docelową dostawcę zasobów grupy sieci i jest wymagana do utworzenia definicji zasad dla usługi Azure Virtual Network Manager.

"mode": "Microsoft.Network.Data",
"policyRule": {
      "if": {
        "allOf": [
          {
            "field": "Name",
            "contains": "-gen"
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "/subscriptions/12345678-abcd-123a-1234-1234abcd7890/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
        }
      }
}

Ważne

Podczas definiowania zasad networkGroupId element musi być pełnym identyfikatorem zasobu docelowej grupy sieciowej, jak pokazano w przykładowej definicji. Nie obsługuje parametryzacji w definicji zasad. Jeśli musisz sparametryzować grupę sieci, możesz użyć szablonu usługi Azure Resource Manager, aby utworzyć definicję i przypisanie zasad.

Gdy usługa Azure Policy jest używana z usługą Azure Virtual Network Manager, zasady dotyczą właściwościMicrosoft.Network.DataDostawcy zasobów . W związku z tym należy określić typ zasadCustom w definicji zasad. Podczas tworzenia zasad w celu dynamicznego dodawania członków w menedżerze sieci wirtualnej jest ona stosowana automatycznie po utworzeniu zasad. Musisz wybrać custom tylko podczas tworzenia nowej definicji zasad za pomocą usługi Azure Policy lub innych narzędzi poza pulpitem nawigacyjnym menedżera sieci wirtualnej.

Oto przykład definicji zasad z właściwością ustawioną policyType na Custom.

"properties": {
      "displayName": "myProdAVNM",
      "policyType": "Custom",
      "mode": "Microsoft.Network.Data",
      "metadata": {
        "category": "Azure Virtual Network Manager",
        "createdBy": "-----------------------------",
        "createdOn": "2023-04-10T15:35:35.9308987Z",
        "updatedBy": null,
        "updatedOn": null
      }
}

Dowiedz się więcej o strukturze definicji zasad.

Tworzenie przypisania zasad

Podobnie jak w przypadku konfiguracji programu Virtual Network Manager definicje zasad nie będą natychmiast obowiązywać podczas ich tworzenia. Aby rozpocząć stosowanie, należy utworzyć przypisanie zasad, które przypisuje definicję do oceny w danym zakresie. Obecnie wszystkie zasoby w zakresie są oceniane względem definicji, co umożliwia przypisanie pojedynczej definicji wielokrotnego użytku w wielu miejscach w celu uzyskania bardziej szczegółowej kontroli członkostwa w grupach. Dowiedz się więcej na temat struktury przypisania dla usługi Azure Policy.

Definicje zasad i przypisanie można tworzyć za pomocą interfejsu API/ps/interfejsu wiersza polecenia lub witryny Azure Policy Portal.

Wymagane uprawnienia

Aby korzystać z grup sieciowych w usłudze Azure Policy, użytkownicy muszą mieć następujące uprawnienia:

• Microsoft.Authorization/policyassignments/Write i Microsoft.Authorization/policydefinitions/Write są potrzebne w zakresie, który przypisujesz.
• Microsoft.Network/networkManagers/networkGroups/join/action akcja jest wymagana w docelowej grupie sieciowej, do których odwołuje się sekcja Dodaj do grupy sieciowej. To uprawnienie umożliwia dodawanie i usuwanie obiektów z docelowej grupy sieciowej.
• W przypadku używania definicji zestawu do przypisywania wielu zasad jednocześnie wymagane są współbieżne Microsoft.Network/networkManagers/networkGroups/join/action uprawnienia do wszystkich definicji przypisywanych w momencie przypisania.

Aby ustawić wymagane uprawnienia, użytkownicy mogą mieć przypisane wbudowane role z kontrolą dostępu opartą na rolach:

• Rola Współautor sieci w docelowej grupie sieciowej.
• Rola Współautor zasad zasobów na poziomie zakresu docelowego.

Aby uzyskać bardziej szczegółowe przypisanie roli, możesz utworzyć role niestandardowe przy użyciu Microsoft.Network/networkManagers/networkGroups/join/action uprawnień i policy/write uprawnień.

Ważne

Aby zmodyfikować grupy dynamiczne AVNM, należy udzielić dostępu tylko za pośrednictwem przypisania roli RBAC platformy Azure. Klasyczna Administracja/starsza autoryzacja nie jest obsługiwana. Oznacza to, że jeśli twoje konto zostało przypisane tylko do roli subskrypcji współadministratora, nie masz uprawnień do grup dynamicznych AVNM.

Oprócz wymaganych uprawnień subskrypcje i grupy zarządzania muszą być zarejestrowane u następujących dostawców zasobów:

• Microsoft.Network program jest wymagany do tworzenia sieci wirtualnych.
• Microsoft.PolicyInsights jest wymagane do korzystania z usługi Azure Policy.

Aby ustawić rejestrację wymaganych dostawców, użyj polecenia Register-AzResourceProvider w programie Azure PowerShell lub az provider register w interfejsie wiersza polecenia platformy Azure.

Przydatne porady

Filtrowanie typów

Podczas konfigurowania definicji zasad zalecamy uwzględnienie warunku typu w celu określenia zakresu ich w sieciach wirtualnych. Ten warunek pozwala zasadom odfiltrować operacje nienależące do sieci wirtualnej i zwiększyć wydajność zasobów zasad.

Fragmentowanie regionalne

Zasoby zasad są globalne, co oznacza, że każda zmiana ma wpływ na wszystkie zasoby w zakresie przypisania, niezależnie od regionu. Jeśli regionalne wycięcie i stopniowe wdrażanie jest dla Ciebie problemem, zalecamy uwzględnienie where location in [] warunku. Następnie można stopniowo rozszerzać listę lokalizacji, aby stopniowo wprowadzać efekt.

Określanie zakresu przydziału

Jeśli obserwujesz najlepsze rozwiązania dotyczące grup zarządzania przy użyciu grup zarządzania platformy Azure, prawdopodobnie masz już zasoby zorganizowane w strukturze hierarchii. Przy użyciu przypisań można przypisać tę samą definicję do wielu odrębnych zakresów w hierarchii, co pozwala mieć większą kontrolę szczegółowości nad tym, które zasoby kwalifikują się do grupy sieciowej.

Usuwanie definicji usługi Azure Policy skojarzonej z grupą sieciową

Możesz być wystąpieniami, w których nie potrzebujesz już definicji usługi Azure Policy. Wystąpienia obejmują usunięcie grupy sieciowej skojarzonej z zasadami lub nieużywane zasady, które nie są już potrzebne. Aby usunąć zasady, należy usunąć obiekt skojarzenia zasad, a następnie usunąć definicję zasad w usłudze Azure Policy. Po zakończeniu usuwania nie można ponownie użyć nazwy definicji ani odwołać się ponownie podczas kojarzenia nowej definicji z grupą sieciową.

Następne kroki

• Utwórz wystąpienie usługi Azure Virtual Network Manager.
• Dowiedz się więcej o wdrożeniach konfiguracji w usłudze Azure Virtual Network Manager.
• Dowiedz się, jak blokować ruch sieciowy przy użyciu konfiguracji Zabezpieczenia Administracja.