Configurar grupos de rede com a Política do Azure no Azure Virtual Network Manager

  • Artigo

Neste artigo, você aprenderá como a Política do Azure é usada no Gerenciador de Rede Virtual do Azure para definir a associação a grupos dinâmicos de rede. Os grupos de rede dinâmicos permitem criar ambientes de rede virtual escaláveis e dinamicamente adaptáveis na sua organização.

Importante

O Azure Virtual Network Manager está geralmente disponível para configurações de conectividade hub-and-spoke e configurações de segurança com regras de administração de segurança. As configurações de conectividade de malha permanecem em visualização pública.

Esta versão de pré-visualização é disponibiliza sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.

Descrição geral do Azure Policy

O Azure Policy avalia recursos no Azure comparando as propriedades desses recursos com as regras de negócios. Essas regras de negócios, descritas no formato JSON, são conhecidas como definições de política. Depois que suas regras de negócios são formadas, a definição de política é atribuída a qualquer escopo de recursos suportados pelo Azure, como grupos de gerenciamento, assinaturas, grupos de recursos ou recursos individuais. A atribuição aplica-se a todos os recursos dentro do escopo do Gerenciador de Recursos dessa atribuição. Saiba mais sobre o uso do escopo com o Escopo na Política do Azure.

Nota

A Política do Azure é usada apenas para a definição de associação de grupo dinâmico de rede.

Definição de política de grupo de rede

A criação e implementação de uma política na Política do Azure começa com a criação de um recurso de definição de política. Toda definição de política tem condições para aplicação e um efeito definido que ocorre se as condições forem cumpridas.

Com grupos de rede, sua definição de política inclui sua expressão condicional para correspondência de redes virtuais que atendam aos seus critérios e especifica o grupo de rede de destino onde todos os recursos correspondentes são colocados. O addToNetworkGroup efeito é usado para colocar recursos no grupo de rede de destino. Aqui está um exemplo de uma definição de regra de política com o addToNetworkGroup efeito. Para todas as políticas personalizadas, a mode propriedade é definida para Microsoft.Network.Data direcionar o provedor de recursos do grupo de rede e é necessária para criar uma definição de política para o Gerenciador de Rede Virtual do Azure.

"mode": "Microsoft.Network.Data",
"policyRule": {
      "if": {
        "allOf": [
          {
            "field": "Name",
            "contains": "-gen"
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "/subscriptions/12345678-abcd-123a-1234-1234abcd7890/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
        }
      }
}

Importante

Ao definir uma política, o deve ser o networkGroupId ID de recurso completo do grupo de rede de destino, conforme visto na definição de exemplo. Não suporta parametrização na definição da política. Se precisar parametrizar o grupo de rede, você pode utilizar um modelo do Azure Resource Manager para criar a definição e a atribuição de política.

Quando a Política do Azure é usada com o Gerenciador de Rede Virtual do Azure, a política tem como destino uma propriedade de Provedor de Recursos de Microsoft.Network.Data. Por isso, você precisa especificar um policyType de em sua definição de Custom política. Quando você cria uma política para adicionar membros dinamicamente no Gerenciador de Rede Virtual, isso é aplicado automaticamente quando a política é criada. Você só precisa escolher custom ao criar uma nova definição de política por meio da Política do Azure ou de outras ferramentas fora do painel do Virtual Network Manager.

Aqui está um exemplo de uma definição de política com a policyType propriedade definida como Custom.


"properties": {
      "displayName": "myProdAVNM",
      "policyType": "Custom",
      "mode": "Microsoft.Network.Data",
      "metadata": {
        "category": "Azure Virtual Network Manager",
        "createdBy": "-----------------------------",
        "createdOn": "2023-04-10T15:35:35.9308987Z",
        "updatedBy": null,
        "updatedOn": null
      }
}

Saiba mais sobre a estrutura de definição de políticas.

Criar uma atribuição de política

Semelhante às configurações do Virtual Network Manager, as definições de política não entram em vigor imediatamente quando você as cria. Para começar a aplicar, você deve criar uma Atribuição de política, que atribui uma definição a ser avaliada em um determinado escopo. Atualmente, todos os recursos dentro do escopo são avaliados em relação à definição, que permite uma única definição reutilizável que você pode atribuir em vários locais para um controle de associação de grupo mais granular. Saiba mais informações sobre a Estrutura de Atribuições para a Política do Azure.

As definições de política e a atribuição podem ser criadas através da API/PS/CLI ou do Portal de Políticas do Azure.

Permissões obrigatórias

Para usar grupos de rede com a Política do Azure, os usuários precisam das seguintes permissões:

  • Microsoft.Authorization/policyassignments/Write e Microsoft.Authorization/policydefinitions/Write são necessários no escopo que você está atribuindo.
  • Microsoft.Network/networkManagers/networkGroups/join/action no grupo de rede de destino mencionado na seção Adicionar ao grupo de rede. Essa permissão permite a adição e remoção de objetos do grupo de rede de destino.
  • Ao usar definições definidas para atribuir várias políticas ao mesmo tempo, permissões simultâneas Microsoft.Network/networkManagers/networkGroups/join/action são necessárias em todas as definições que estão sendo atribuídas no momento da atribuição.

Para definir as permissões necessárias, os usuários podem receber funções internas com controle de acesso baseado em função:

  • Função de Colaborador de Rede para o grupo de rede de destino.
  • Função de Colaborador da Política de Recursos no nível do escopo de destino.

Para uma atribuição de função mais granular, você pode criar funções personalizadas usando a permissão e policy/write a Microsoft.Network/networkManagers/networkGroups/join/action permissão.

Importante

Para modificar grupos dinâmicos do AVNM, você deve ter acesso somente por meio da atribuição de função RBAC do Azure. Não há suporte para autorização clássica de administrador/herdado; isso significa que, se sua conta recebesse apenas a função de assinatura de coadministrador, você não teria permissões em grupos dinâmicos do AVNM.

Juntamente com as permissões necessárias, suas assinaturas e grupos de gerenciamento devem ser registrados nos seguintes provedores de recursos:

  • Microsoft.Network é necessário para criar redes virtuais.
  • Microsoft.PolicyInsights é necessário para usar a Política do Azure.

Para definir o registro dos provedores necessários, use Register-AzResourceProvider no Azure PowerShell ou az provider register na CLI do Azure.

Dicas úteis

Filtragem de tipos

Ao configurar suas definições de política, recomendamos que você inclua uma condição de tipo para estendê-la para redes virtuais. Essa condição permite que uma política filtre operações de rede não virtuais e melhore a eficiência de seus recursos de política.

Fatiamento regional

Os recursos de política são globais, o que significa que qualquer alteração entra em vigor em todos os recursos sob o escopo da atribuição, independentemente da região. Se o fatiamento regional e a implantação gradual forem uma preocupação para você, recomendamos que você inclua uma where location in [] condição. Em seguida, você pode expandir incrementalmente a lista de locais para distribuir gradualmente o efeito.

Escopo da atribuição

Se você estiver seguindo as práticas recomendadas do grupo de gerenciamento usando grupos de gerenciamento do Azure, é provável que já tenha seus recursos organizados em uma estrutura hierárquica. Usando atribuições, você pode atribuir a mesma definição a vários escopos distintos dentro de sua hierarquia, permitindo que você tenha um controle de granularidade maior de quais recursos são qualificados para seu grupo de rede.

Eliminar uma definição de Política do Azure associada a um grupo de rede

Você pode ser instâncias em que não precisa mais de uma definição de Política do Azure. As instâncias incluem quando um grupo de rede associado a uma política é excluído ou quando você tem uma política não utilizada que não precisa mais. Para excluir a política, você precisa excluir o objeto de associação de política e, em seguida, excluir a definição de política na Política do Azure. Depois que a exclusão for concluída, o nome da definição não poderá ser reutilizado ou rereferenciado ao associar uma nova definição a um grupo de rede.

Próximos passos