Konfigurowanie połączenia między dzierżawami w wersji zapoznawczej usługi Azure Virtual Network Manager — interfejs wiersza polecenia

W tym artykule dowiesz się, jak tworzyć połączenia między dzierżawami w usłudze Azure Virtual Network Manager przy użyciu interfejsu wiersza polecenia platformy Azure. Obsługa wielu dzierżaw umożliwia organizacjom korzystanie z centralnego menedżera sieci do zarządzania sieciami wirtualnymi w dzierżawach i subskrypcjach.

Najpierw utworzysz połączenie zakresu w centralnym menedżerze sieci. Następnie utworzysz połączenie menedżera sieci w dzierżawie łączącej i zweryfikujesz połączenie. Na koniec dodasz sieci wirtualne z różnych dzierżaw i sprawdzisz. Po wykonaniu wszystkich zadań można centralnie zarządzać zasobami innych dzierżaw z poziomu menedżera sieci.

Ważne

Usługa Azure Virtual Network Manager jest ogólnie dostępna dla konfiguracji łączności piasty i szprych oraz konfiguracji zabezpieczeń z regułami administratora zabezpieczeń. Konfiguracje łączności usługi Mesh pozostają w publicznej wersji zapoznawczej.

Ta wersja zapoznawcza nie jest objęta umową dotyczącą poziomu usług i nie zalecamy korzystania z niej w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.

Wymagania wstępne

• Dwie dzierżawy platformy Azure z sieciami wirtualnymi, którymi chcesz zarządzać za pośrednictwem usługi Azure Virtual Network Manager. W tym artykule opisano dzierżawy w następujący sposób:
  • Dzierżawa zarządzania centralnego: dzierżawa, w której jest zainstalowane wystąpienie usługi Azure Virtual Network Manager, oraz gdzie centralnie będziesz zarządzać grupami sieciowymi z połączeń między dzierżawami.
  • Dzierżawa zarządzana docelowa: dzierżawa zawierająca sieci wirtualne do zarządzania. Ta dzierżawa zostanie połączona z dzierżawą zarządzania centralnego.
• Menedżer usługi Azure Virtual Network Manager wdrożony w centralnej dzierżawie zarządzania.
• Te uprawnienia:
  • Administrator dzierżawy zarządzania centralnego ma konto gościa w docelowej dzierżawie zarządzanej.
  • Konto gościa administratora ma uprawnienia współautora sieci zastosowane na odpowiednim poziomie zakresu (grupa zarządzania, subskrypcja lub sieć wirtualna).

Potrzebujesz pomocy dotyczącej konfigurowania uprawnień? Dowiedz się, jak dodawać użytkowników-gości w witrynie Azure Portal i jak przypisywać role użytkowników do zasobów w witrynie Azure Portal.

Tworzenie połączenia zakresu w menedżerze sieci

Tworzenie połączenia zakresu rozpoczyna się w centralnej dzierżawie zarządzania z wdrożonym menedżerem sieci. Jest to menedżer sieci, w którym planujesz zarządzać wszystkimi zasobami w dzierżawach.

W tym zadaniu skonfigurujesz połączenie zakresu, aby dodać subskrypcję z dzierżawy docelowej. Użyjesz identyfikatora subskrypcji i identyfikatora dzierżawy docelowego menedżera sieci. Jeśli chcesz użyć grupy zarządzania, zmodyfikuj –resource-id argument tak, aby wyglądał następująco: /providers/Microsoft.Management/managementGroups/{mgId}.

# Create a scope connection in the network manager in the central management tenant
az network manager scope-connection create --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" --description "This is a connection to manage resources in the target managed tenant" --resource-id "/subscriptions/13579864-1234-5678-abcd-0987654321ab" --tenant-id "24680975-1234-abcd-56fg-121314ab5643"

Tworzenie połączenia menedżera sieci w subskrypcji w innej dzierżawie

Po utworzeniu połączenia zakresu należy przełączyć się do dzierżawy docelowej dla połączenia menedżera sieci. W tym zadaniu połączysz dzierżawę docelową z utworzonym wcześniej połączeniem zakresu. Sprawdzasz również stan połączenia.

1. Wprowadź następujące polecenie, aby nawiązać połączenie z docelową dzierżawą zarządzaną przy użyciu konta administracyjnego:

   
   # Log in to the target managed tenant
   # Change the --tenant value to the appropriate tenant ID
   az login --tenant "12345678-12a3-4abc-5cde-678909876543"
   

   Wymagane jest ukończenie uwierzytelniania w organizacji na podstawie zasad organizacji.

2. Wprowadź następujące polecenia, aby ustawić subskrypcję i utworzyć połączenie między dzierżawami w centralnej dzierżawie zarządzania. Subskrypcja jest taka sama jak ta, do której odwołuje się połączenie w poprzednim kroku.

   # Set the Azure subscription
   az account set --subscription 87654321-abcd-1234-1def-0987654321ab
   
   
   # Create a cross-tenant connection to the central management tenant
   az network manager connection subscription create --connection-name "toCentralManagementTenant" --description "This connection allows management of the tenant by a central management tenant" --network-manager-id "/subscriptions/13579864-1234-5678-abcd-0987654321ab/resourceGroups/myRG/providers/Microsoft.Network/networkManagers/myAVNM"
   

Weryfikowanie stanu połączenia

1. Wprowadź następujące polecenie, aby sprawdzić stan połączenia:

   # Check connection status
   az network manager connection subscription show --name "toCentralManagementTenant"
   

2. Wróć do dzierżawy zarządzania centralnego. show Użyj polecenia menedżera sieci, aby wyświetlić subskrypcję dodaną za pośrednictwem właściwości dla zakresów między dzierżawami:

   # View the subscription added to the network manager
   az network manager show --resource-group myAVNMResourceGroup --name myAVNM
   

Dodawanie statycznych elementów członkowskich do grupy sieciowej

W tym zadaniu dodasz sieć wirtualną między dzierżawami do grupy sieciowej przy użyciu członkostwa statycznego. W poniższym poleceniu subskrypcja sieci wirtualnej jest taka sama jak wcześniej, do której odwołujesz się podczas tworzenia połączeń.

# Create a network group with a static member from the target managed tenant
az network manager group static-member create --network-group-name "CrossTenantNetworkGroup" --network-manager-name "myAVNM" --resource-group "myAVNMResourceGroup" --static-member-name "targetVnet01" --resource-id="/subscriptions/87654321-abcd-1234-1def-0987654321ab
/resourceGroups/myScopeAVNM/providers/Microsoft.Network/virtualNetworks/targetVnet01"

Usuwanie konfiguracji menedżera sieci

Teraz, gdy sieć wirtualna znajduje się w grupie sieci, zostaną zastosowane konfiguracje. Aby usunąć statyczny element członkowski lub zasoby między dzierżawami, użyj odpowiednich delete poleceń:

# Delete the static member group
az network manager group static-member delete --network-group-name  "CrossTenantNetworkGroup" --network-manager-name " myAVNM" --resource-group "myRG" --static-member-name "targetVnet01” 

# Delete scope connections
az network manager scope-connection delete --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" 

# Switch to a managed tenant if needed 
az network manager connection subscription delete --name "toCentralManagementTenant"  

Następne kroki

• Dowiedz się więcej o regułach administratora zabezpieczeń.

• Dowiedz się, jak utworzyć topologię sieci siatki za pomocą usługi Azure Virtual Network Manager przy użyciu witryny Azure Portal.

• Zapoznaj się z często zadawanymi pytaniami w usłudze Azure Virtual Network Manager.