Share via

Configurar uma conexão entre locatários no Azure Virtual Network Manager Preview - CLI

  • Artigo

Neste artigo, você aprenderá a criar conexões entre locatários no Gerenciador de Rede Virtual do Azure usando a CLI do Azure. O suporte entre locatários permite que as organizações usem um gerenciador de rede central para gerenciar redes virtuais entre locatários e assinaturas.

Primeiro, você criará a conexão de escopo no gerenciador de rede central. Em seguida, você criará a conexão do gerenciador de rede no locatário de conexão e verificará a conexão. Por último, você adicionará redes virtuais de diferentes locatários e verificará. Depois de concluir todas as tarefas, pode gerir centralmente os recursos de outros inquilinos a partir do seu gestor de rede.

Importante

O Azure Virtual Network Manager está geralmente disponível para configurações de conectividade hub-and-spoke e configurações de segurança com regras de administração de segurança. As configurações de conectividade de malha permanecem em visualização pública.

Esta versão de pré-visualização é disponibiliza sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.

Pré-requisitos

  • Dois locatários do Azure com redes virtuais que você deseja gerenciar por meio do Gerenciador de Rede Virtual do Azure. Este artigo refere-se aos inquilinos da seguinte forma:
    • Locatário de gerenciamento central: o locatário onde uma instância do Azure Virtual Network Manager está instalada e onde você gerenciará centralmente grupos de rede a partir de conexões entre locatários.
    • Locatário gerenciado de destino: o locatário que contém redes virtuais a serem gerenciadas. Esse locatário será conectado ao locatário de gerenciamento central.
  • Azure Virtual Network Manager implantado no locatário de gerenciamento central.
  • Estas permissões:
    • O administrador do locatário de gerenciamento central tem uma conta de convidado no locatário gerenciado de destino.
    • A conta de convidado administrador tem permissões de Colaborador de Rede aplicadas no nível de escopo apropriado (grupo de gerenciamento, assinatura ou rede virtual).

Precisa de ajuda para configurar permissões? Confira como adicionar usuários convidados no portal do Azure e como atribuir funções de usuário a recursos no portal do Azure.

Criar uma conexão de escopo dentro de um gerenciador de rede

A criação da conexão de escopo começa no locatário de gerenciamento central com um gerenciador de rede implantado. Este é o gestor de rede onde planeia gerir todos os seus recursos entre inquilinos.

Nesta tarefa, você configura uma conexão de escopo para adicionar uma assinatura de um locatário de destino. Você usará a ID da assinatura e a ID do locatário do gerenciador de rede de destino. Se você quiser usar um grupo de gerenciamento, modifique o –resource-id argumento para ter a aparência de /providers/Microsoft.Management/managementGroups/{mgId}.

# Create a scope connection in the network manager in the central management tenant
az network manager scope-connection create --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" --description "This is a connection to manage resources in the target managed tenant" --resource-id "/subscriptions/13579864-1234-5678-abcd-0987654321ab" --tenant-id "24680975-1234-abcd-56fg-121314ab5643"

Criar uma ligação de gestor de rede numa subscrição noutro inquilino

Depois de criar a conexão de escopo, você alterna para o locatário de destino para a conexão do gerenciador de rede. Nesta tarefa, você conecta o locatário de destino à conexão de escopo criada anteriormente. Você também verifica o estado da conexão.

  1. Digite o seguinte comando para se conectar ao locatário gerenciado de destino usando sua conta administrativa:

    
# Log in to the target managed tenant
# Change the --tenant value to the appropriate tenant ID
az login --tenant "12345678-12a3-4abc-5cde-678909876543"

    É necessário concluir a autenticação com sua organização, com base nas políticas da organização.

  2. Insira os comandos a seguir para definir a assinatura e criar a conexão entre locatários no locatário de gerenciamento central. A assinatura é a mesma que a conexão referenciada na etapa anterior.

    # Set the Azure subscription
az account set --subscription 87654321-abcd-1234-1def-0987654321ab


# Create a cross-tenant connection to the central management tenant
az network manager connection subscription create --connection-name "toCentralManagementTenant" --description "This connection allows management of the tenant by a central management tenant" --network-manager-id "/subscriptions/13579864-1234-5678-abcd-0987654321ab/resourceGroups/myRG/providers/Microsoft.Network/networkManagers/myAVNM"

Verificar o estado da ligação

  1. Digite o seguinte comando para verificar o status da conexão:

    # Check connection status
az network manager connection subscription show --name "toCentralManagementTenant"

  2. Volte para o locatário de gerenciamento central. Use o show comando para o gerenciador de rede para mostrar a assinatura adicionada por meio da propriedade para escopos entre locatários:

    # View the subscription added to the network manager
az network manager show --resource-group myAVNMResourceGroup --name myAVNM

Adicionar membros estáticos a um grupo de rede

Nesta tarefa, você adiciona uma rede virtual entre locatários ao seu grupo de rede usando a associação estática. No comando a seguir, a assinatura de rede virtual é a mesma que você mencionou quando criou conexões anteriormente.

# Create a network group with a static member from the target managed tenant
az network manager group static-member create --network-group-name "CrossTenantNetworkGroup" --network-manager-name "myAVNM" --resource-group "myAVNMResourceGroup" --static-member-name "targetVnet01" --resource-id="/subscriptions/87654321-abcd-1234-1def-0987654321ab
/resourceGroups/myScopeAVNM/providers/Microsoft.Network/virtualNetworks/targetVnet01"

Excluir configurações do gerenciador de rede

Agora que a rede virtual está no grupo de rede, as configurações são aplicadas. Para remover o membro estático ou os recursos entre locatários, use os comandos correspondentes delete :


# Delete the static member group
az network manager group static-member delete --network-group-name  "CrossTenantNetworkGroup" --network-manager-name " myAVNM" --resource-group "myRG" --static-member-name "targetVnet01” 

# Delete scope connections
az network manager scope-connection delete --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" 

# Switch to a managed tenant if needed 
az network manager connection subscription delete --name "toCentralManagementTenant"

Próximos passos