Настройка групп сети с помощью Политика Azure в Диспетчере виртуальная сеть Azure

В этой статье вы узнаете, как Политика Azure используется в Диспетчере виртуальная сеть Azure для определения членства в динамических группах сети. Динамические сетевые группы позволяют создавать масштабируемые и динамически адаптируемые среды виртуальной сети в организации.

Внимание

Диспетчер виртуальная сеть Azure общедоступен для конфигураций подключения концентратора и периферийных подключений и конфигураций безопасности с правилами администратора безопасности. Конфигурации подключения сетки остаются в общедоступной предварительной версии.

Эта предварительная версия предоставляется без соглашения об уровне обслуживания и не рекомендована для использования рабочей среде. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.

Общие сведения о Политике Azure

Политика Azure оценивает ресурсы в Azure, сравнивая их свойства с настроенными бизнес-правилами. Эти бизнес-правила, описанные в формате JSON, называются определениями политик. После формирования бизнес-правил определение политики назначается любому область ресурсов, которые поддержка Azure, такие как группы управления, подписки, группы ресурсов или отдельные ресурсы. Такое назначение применяется ко всем ресурсам в пределахобласти Resource Manager назначения. Дополнительные сведения об использовании область с областью см. в Политика Azure.

Примечание.

Политика Azure используется только для определения членства в динамической группе сети.

Определение групповой политики сети

Создание и реализация политики в Политика Azure начинается с создания ресурса определения политики. Каждое определение политики имеет условия для принудительного применения и определенное действие, которое происходит, если выполнены условия.

При использовании групп сети определение политики включает в себя условное выражение для сопоставления виртуальных сетей с вашими критериями и указывает целевую сетевую группу, в которой размещаются все соответствующие ресурсы. Эффект addToNetworkGroup используется для размещения ресурсов в целевой сетевой группе. Ниже приведен пример определения правила политики с эффектом addToNetworkGroup . Для всех пользовательских политик mode свойство предназначено Microsoft.Network.Data для целевого поставщика ресурсов группы сети и требуется для создания определения политики для Azure виртуальная сеть Manager.

"mode": "Microsoft.Network.Data",
"policyRule": {
      "if": {
        "allOf": [
          {
            "field": "Name",
            "contains": "-gen"
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "/subscriptions/12345678-abcd-123a-1234-1234abcd7890/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
        }
      }
}

Внимание

При определении политики должен быть полный идентификатор ресурса целевой группы сети, networkGroupId как показано в примере определения. Он не поддерживает параметризацию в определении политики. Если необходимо параметризировать группу сети, можно использовать шаблон Azure Resource Manager для создания определения и назначения политики.

Если Политика Azure используется с Диспетчером виртуальная сеть Azure, политика предназначена для свойстваMicrosoft.Network.Dataпоставщика ресурсов. Из-за этого необходимо указать тип политикиCustom в определении политики. При создании политики для динамического добавления членов в диспетчер виртуальная сеть эта политика применяется автоматически при создании политики. Необходимо выбрать custom только при создании определения политики с помощью Политика Azure или других инструментов за пределами панели мониторинга диспетчера виртуальная сеть.

Ниже приведен пример определения политики с заданным CustomсвойствомpolicyType.

"properties": {
      "displayName": "myProdAVNM",
      "policyType": "Custom",
      "mode": "Microsoft.Network.Data",
      "metadata": {
        "category": "Azure Virtual Network Manager",
        "createdBy": "-----------------------------",
        "createdOn": "2023-04-10T15:35:35.9308987Z",
        "updatedBy": null,
        "updatedOn": null
      }
}

Дополнительные сведения о структуре определения политики.

Создание назначения политики

Как и в конфигурациях диспетчера виртуальная сеть, определения политик не сразу вступают в силу при создании. Чтобы начать применение, необходимо создать назначение политики, которое назначает определение для оценки по заданному область. В настоящее время все ресурсы в область оцениваются по определению, что позволяет использовать одно повторное определение, которое можно назначить в нескольких местах для более детального контроля членства в группах. Дополнительные сведения о структуре назначения для Политика Azure.

Определения и назначения политик можно создавать с помощью API/PS/CLI или портала Политика Azure.

Необходимые разрешения

Чтобы использовать группы сети с Политика Azure, пользователям требуются следующие разрешения:

• Microsoft.Authorization/policyassignments/Writeи Microsoft.Authorization/policydefinitions/Write требуются в область, которую вы назначаете.
• Microsoft.Network/networkManagers/networkGroups/join/action действие необходимо для целевой группы сети, на который ссылается раздел "Добавление в группу сети". Это разрешение позволяет добавлять и удалять объекты из целевой группы сети.
• При использовании определений наборов для назначения нескольких политик одновременно требуются одновременные Microsoft.Network/networkManagers/networkGroups/join/action разрешения для всех определений, назначенных во время назначения.

Чтобы задать необходимые разрешения, пользователям можно назначить встроенные роли с помощью управления доступом на основе ролей:

• Роль участника сети в целевой группе сети.
• Роль участника политики ресурсов на целевом уровне область.

Для более детального назначения ролей можно создать пользовательские роли с помощью Microsoft.Network/networkManagers/networkGroups/join/action разрешения и policy/write разрешения.

Внимание

Чтобы изменить динамические группы AVNM, необходимо предоставить доступ только через назначение ролей Azure RBAC. Классическая Администратор/устаревшая авторизация не поддерживается. Это означает, что если ваша учетная запись была назначена только роль подписки соадминистратора, у вас нет разрешений на динамические группы AVNM.

Наряду с необходимыми разрешениями, подписки и группы управления должны быть зарегистрированы со следующими поставщиками ресурсов:

• Microsoft.Network требуется для создания виртуальных сетей.
• Microsoft.PolicyInsightsтребуется использовать Политика Azure.

Чтобы настроить регистрацию необходимых поставщиков, используйте Register-AzResourceProvider в Azure PowerShell или az provider register in Azure CLI.

Полезные советы

Фильтрация типов

При настройке определений политики рекомендуется включить условие типа для область его виртуальных сетей. Это условие позволяет политике отфильтровать операции, не связанные с виртуальной сетью, и повысить эффективность ресурсов политики.

Региональные срезы

Ресурсы политики являются глобальными, что означает, что любые изменения вступает в силу со всеми ресурсами в рамках область назначения независимо от региона. Если региональные срезы и постепенное развертывание являются проблемой для вас, рекомендуется включить where location in [] условие. Затем вы можете постепенно развернуть список расположений, чтобы постепенно развернуть эффект.

Определение области назначения

Если вы используете рекомендации группы управления с помощью групп управления Azure, скорее всего, у вас уже есть ресурсы, упорядоченные в структуре иерархии. С помощью назначений можно назначить одно и то же определение нескольким отдельным область в иерархии, что позволяет получить более высокий контроль детализации, в отношении которых ресурсы могут быть доступны для вашей сетевой группы.

Удаление определения Политика Azure, связанного с сетевой группой

Вы можете быть экземплярами, в которых больше не требуется определение Политика Azure. Экземпляры включают в себя удаление сетевой группы, связанной с политикой, или у вас больше нет неиспользуемой политики. Чтобы удалить политику, необходимо удалить объект сопоставления политик, а затем удалить определение политики в Политика Azure. После завершения удаления имя определения нельзя повторно использовать или повторно ссылаться на нее при связывании нового определения с сетевой группой.

Следующие шаги

• Создайте экземпляр Azure виртуальная сеть Manager.
• Сведения о развертываниях конфигурации в Azure виртуальная сеть Manager.
• Узнайте, как заблокировать сетевой трафик с помощью конфигурации Security Администратор.