Aracılığıyla paylaş


Azure Sanal Ağ Manager'da ağ gruplarını Azure İlkesi ile yapılandırma

Bu makalede, dinamik ağ grubu üyeliğini tanımlamak için Azure Sanal Ağ Manager'da Azure İlkesi nasıl kullanıldığını öğreneceksiniz. Dinamik ağ grupları, kuruluşunuzda ölçeklenebilir ve dinamik olarak uyarlanabilir sanal ağ ortamları oluşturmanıza olanak tanır.

Azure İlkesi'ne genel bakış

Azure İlkesi, bu kaynakların özelliklerini iş kurallarıyla karşılaştırarak Azure'daki kaynakları değerlendirir. JSON biçiminde açıklanan bu iş kuralları ilke tanımları olarak bilinir. İş kurallarınız oluşturulduktan sonra ilke tanımı yönetim grupları, abonelikler, kaynak grupları veya tek tek kaynaklar gibi Azure desteği kaynakların kapsamına atanır. Atama, bu atamanın Resource Manager kapsamındaki tüm kaynaklar için geçerlidir. Azure İlkesi'da Kapsam ile kapsam kullanımı hakkında daha fazla bilgi edinin.

Not

Azure İlkesi yalnızca dinamik ağ grubu üyeliğinin tanımı için kullanılır.

Ağ grubu ilkesi tanımı

Azure İlkesi'da ilke oluşturma ve uygulama, ilke tanımı kaynağı oluşturmakla başlar. Her ilke tanımının zorlama koşulları ve koşulların karşılanması durumunda gerçekleşen tanımlı bir etkisi vardır.

Ağ gruplarında, ilke tanımınız ölçütlerinize uyan eşleşen sanal ağlara yönelik koşullu ifadenizi içerir ve eşleşen kaynakların yerleştirildiği hedef ağ grubunu belirtir. Etki addToNetworkGroup , kaynakları hedef ağ grubuna yerleştirmek için kullanılır. Aşağıda etkisi olan bir ilke kuralı tanımı örneği verilmiştir addToNetworkGroup . Tüm özel ilkeler için, mode özelliği ağ grubu kaynak sağlayıcısını hedeflemek Microsoft.Network.Data için olarak ayarlanır ve Azure Sanal Ağ Manager için bir ilke tanımı oluşturmak için gereklidir.

"mode": "Microsoft.Network.Data",
"policyRule": {
      "if": {
        "allOf": [
          {
            "field": "Name",
            "contains": "-gen"
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
        }
      }
}

Önemli

İlke tanımlarken, networkGroupId örnek tanımda görüldüğü gibi hedef ağ grubunun tam kaynak kimliği olmalıdır. İlke tanımında parametreleştirmeyi desteklemez. Ağ grubunu parametreleştirmeniz gerekiyorsa, ilke tanımını ve atamasını oluşturmak için bir Azure Resource Manager şablonu kullanabilirsiniz.

azure Sanal Ağ Yöneticisi ile Azure İlkesi kullanıldığında, ilke bir Microsoft.Network.DataKaynak Sağlayıcısı özelliğini hedefler. Bu nedenle, ilke tanımınızda policyType Custom değerini belirtmeniz gerekir. Sanal Ağ Yöneticisi'ne dinamik olarak üye eklemek için bir ilke oluşturduğunuzda, ilke oluşturulduğunda bu otomatik olarak uygulanır. Yalnızca Sanal Ağ Yöneticisi panosunun dışındaki Azure İlkesi veya diğer araçlar aracılığıyla yeni bir ilke tanımı oluştururken seçim custom yapmanız gerekir.

Burada, özelliği olarak ayarlanmış bir ilke tanımı policyType örneği verilmiştir Custom.


"properties": {
      "displayName": "myProdAVNM",
      "policyType": "Custom",
      "mode": "Microsoft.Network.Data",
      "metadata": {
        "category": "Azure Virtual Network Manager",
        "createdBy": "-----------------------------",
        "createdOn": "2023-04-10T15:35:35.9308987Z",
        "updatedBy": null,
        "updatedOn": null
      }
}

İlke tanımı yapısı hakkında daha fazla bilgi edinin.

İlke ataması oluşturma

Sanal Ağ Yöneticisi yapılandırmalarına benzer şekilde, ilke tanımları oluşturduğunuzda hemen etkili olmaz. Uygulamaya başlamak için, belirli bir kapsamda değerlendirilecek bir tanım atayan bir ilke Ataması oluşturmanız gerekir. Şu anda kapsam içindeki tüm kaynaklar tanımda değerlendirilir ve bu da daha ayrıntılı grup üyeliği denetimi için birden çok yerde atayabileceğiniz tek bir yeniden kullanılabilir tanım sağlar. Azure İlkesi atama yapısı hakkında daha fazla bilgi edinin.

İlke tanımları ve atama, API/PS/CLI veya Azure İlkesi Portalı ile oluşturulabilir.

Gerekli izinler

Ağ gruplarını Azure İlkesi ile kullanmak için kullanıcıların aşağıdaki izinlere sahip olması gerekir:

  • Microsoft.Authorization/policyassignments/Write ve Microsoft.Authorization/policydefinitions/Write atadığınız kapsamda gereklidir.
  • Microsoft.Network/networkManagers/networkGroups/join/action eylemi, Ağ grubuna ekle bölümünde başvuruda bulunan hedef ağ grubunda gereklidir. Bu izin, nesneleri hedef ağ grubundan eklemeye ve kaldırmaya olanak tanır.
  • Aynı anda birden çok ilke atamak için küme tanımları kullanılırken, atama sırasında atanan tüm tanımlarda eşzamanlı Microsoft.Network/networkManagers/networkGroups/join/action izinler gerekir.

Gerekli izinleri ayarlamak için kullanıcılara rol tabanlı erişim denetimine sahip yerleşik roller atanabilir:

  • Hedef ağ grubu için Ağ Katkıda Bulunanı rolü.
  • Hedef kapsam düzeyinde Kaynak İlkesi Katkıda Bulunanı rolü.

Daha ayrıntılı rol ataması için, izni ve policy/write izni kullanarak Microsoft.Network/networkManagers/networkGroups/join/action özel roller oluşturabilirsiniz.

Önemli

AVNM dinamik gruplarını değiştirmek için yalnızca Azure RBAC rol ataması aracılığıyla size erişim verilmelidir. Klasik Yönetici/eski yetkilendirme desteklenmez; Bu, hesabınıza yalnızca ortak yönetici abonelik rolü atanmışsa AVNM dinamik grupları üzerinde hiçbir izninizin olmadığı anlamına gelir.

Gerekli izinlerle birlikte aboneliklerinizin ve yönetim gruplarınızın aşağıdaki kaynak sağlayıcılarına kaydedilmesi gerekir:

  • Microsoft.Network sanal ağlar oluşturmak için gereklidir.
  • Microsoft.PolicyInsightsAzure İlkesi kullanmak için gereklidir.

Gerekli sağlayıcıları kaydetmek için Azure PowerShell'de Register-AzResourceProvider veya Azure CLI'da az provider register kullanın.

Yararlı ipuçları

Tür filtreleme

İlke tanımlarınızı yapılandırırken, bunun kapsamını sanal ağlar olarak belirlemeye yönelik bir tür koşulu eklemenizi öneririz. Bu koşul, bir ilkenin sanal olmayan ağ işlemlerini filtrelemesine ve ilke kaynaklarınızın verimliliğini artırmasına olanak tanır.

Bölgesel dilimleme

İlke kaynakları geneldir, bu da herhangi bir değişikliğin atama kapsamı altındaki tüm kaynaklar üzerinde (bölgeden bağımsız olarak) etkili olduğu anlamına gelir. Bölgesel dilimleme ve aşamalı dağıtım sizin için önemliyse, bir where location in [] koşul eklemenizi öneririz. Ardından, efekti aşamalı olarak kullanıma açmak için konumlar listesini artımlı olarak genişletebilirsiniz.

Atama kapsamını belirleme

Azure yönetim gruplarını kullanarak yönetim grubu en iyi yöntemlerini izliyorsanız, büyük olasılıkla kaynaklarınızı zaten bir hiyerarşi yapısında düzenlenmişsinizdir. Atamaları kullanarak, hiyerarşinizdeki birden çok ayrı kapsama aynı tanımı atayabilir ve hangi kaynakların ağ grubunuz için uygun olduğu konusunda daha yüksek ayrıntı denetimine sahip olmanıza olanak sağlayabilirsiniz.

Ağ grubuyla ilişkili Azure İlkesi tanımını silme

Artık bir Azure İlkesi tanımına ihtiyacınız olmayan örnekler olabilirsiniz. Örnekler, bir ilkeyle ilişkilendirilmiş bir ağ grubunun silinmesini veya artık ihtiyacınız olmayan kullanılmayan bir ilkenin bulunmasını içerir. İlkeyi silmek için, ilke ilişkilendirme nesnesini silmeniz ve ardından Azure İlkesi ilke tanımını silmeniz gerekir. Silme işlemi tamamlandıktan sonra, yeni bir tanım bir ağ grubuyla ilişkilendirilirken tanım adı yeniden kullanılamaz veya yeniden başvurulamazsınız.

Sonraki adımlar

  • Azure Sanal Ağ Manager örneği oluşturun.
  • Azure Sanal Ağ Yöneticisi'nde yapılandırma dağıtımları hakkında bilgi edinin.
  • SecurityAdmin yapılandırmasıyla ağ trafiğini engellemeyi öğrenin.