Konfigurace skupin sítě pomocí služby Azure Policy ve službě Azure Virtual Network Manager
V tomto článku se dozvíte, jak se azure Policy používá ve Službě Azure Virtual Network Manager k definování dynamického členství ve skupinách sítě. Dynamické skupiny sítí umožňují vytvářet škálovatelné a dynamicky přizpůsobovat prostředí virtuální sítě ve vaší organizaci.
Přehled služby Azure Policy
Azure Policy vyhodnocuje prostředky v Azure porovnáním vlastností těchto prostředků s obchodními pravidly. Tato obchodní pravidla popsaná ve formátu JSON se označují jako definice zásad. Po vytvoření obchodních pravidel se definice zásady přiřadí k libovolnému rozsahu prostředků, které podpora Azure, jako jsou skupiny pro správu, předplatná, skupiny prostředků nebo jednotlivé prostředky. Přiřazení se vztahuje na všechny zdroje v oboru Resource Manageru daného přiřazení. Přečtěte si další informace o použití oboru s oborem v Azure Policy.
Poznámka:
Azure Policy se používá jenom pro definici dynamického členství ve skupinách sítě.
Definice zásad skupiny sítě
Vytvoření a implementace zásad ve službě Azure Policy začíná vytvořením prostředku definice zásad. Každá definice zásady má podmínky pro vynucování a definovaný účinek, který se provede, pokud jsou splněny podmínky.
V případě skupin sítí definice zásad zahrnuje podmíněný výraz pro odpovídající virtuální sítě splňující vaše kritéria a určuje cílovou skupinu sítě, ve které se umístí všechny odpovídající prostředky. Účinek addToNetworkGroup
se používá k umístění prostředků do cílové skupiny sítě. Tady je ukázka definice pravidla zásad s efektem addToNetworkGroup
. U všech vlastních zásad je vlastnost nastavená tak, mode
aby Microsoft.Network.Data
cílila na poskytovatele prostředků skupiny sítě a vyžaduje se pro vytvoření definice zásad pro Azure Virtual Network Manager.
"mode": "Microsoft.Network.Data",
"policyRule": {
"if": {
"allOf": [
{
"field": "Name",
"contains": "-gen"
}
]
},
"then": {
"effect": "addToNetworkGroup",
"details": {
"networkGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
}
}
}
Důležité
Při definování zásady networkGroupId
musí být úplné ID prostředku cílové skupiny sítě, jak je vidět v ukázkové definici. Nepodporuje parametrizaci v definici zásady. Pokud potřebujete parametrizovat skupinu sítě, můžete k vytvoření definice a přiřazení zásady použít šablonu Azure Resource Manageru.
Pokud se azure Policy používá s Azure Virtual Network Managerem, zásady cílí na vlastnost Microsoft.Network.Data
poskytovatele prostředků . Z tohoto důvodu je nutné zadat typ zásady Custom
v definici zásady. Když vytvoříte zásadu, která bude dynamicky přidávat členy v nástroji Virtual Network Manager, použije se při vytvoření zásady automaticky. Při vytváření nové definice zásad prostřednictvím služby Azure Policy nebo jiných nástrojů mimo řídicí panel Virtual Network Manageru je potřeba zvolit custom
pouze tuto definici .
Tady je ukázka definice zásady s vlastností nastavenou policyType
na Custom
.
"properties": {
"displayName": "myProdAVNM",
"policyType": "Custom",
"mode": "Microsoft.Network.Data",
"metadata": {
"category": "Azure Virtual Network Manager",
"createdBy": "-----------------------------",
"createdOn": "2023-04-10T15:35:35.9308987Z",
"updatedBy": null,
"updatedOn": null
}
}
Přečtěte si další informace o struktuře definic zásad.
Vytvoření přiřazení zásady
Podobně jako konfigurace nástroje Virtual Network Manager se definice zásad okamžitě neprojeví při jejich vytváření. Pokud chcete začít používat, musíte vytvořit přiřazení zásady, které přiřadí definici k vyhodnocení v daném oboru. V současné době se všechny prostředky v rámci oboru vyhodnocují proti definici, což umožňuje jednu opakovaně použitelnou definici, kterou můžete přiřadit na více místech pro podrobnější řízení členství ve skupinách. Přečtěte si další informace o struktuře přiřazení pro Azure Policy.
Definice a přiřazení zásad je možné vytvořit pomocí rozhraní API/PS/CLI nebo portálu Azure Policy.
Požadována oprávnění
Pokud chcete používat skupiny sítí se službou Azure Policy, uživatelé potřebují následující oprávnění:
Microsoft.Authorization/policyassignments/Write
aMicrosoft.Authorization/policydefinitions/Write
jsou potřeba v oboru, který přiřazujete.Microsoft.Network/networkManagers/networkGroups/join/action
v cílové skupině sítě, na kterou odkazuje oddíl Přidat do skupiny sítě, je potřeba provést akci. Toto oprávnění umožňuje přidávat a odebírat objekty z cílové skupiny sítě.- Při použití definic sady k přiřazování více zásad současně jsou potřeba souběžná
Microsoft.Network/networkManagers/networkGroups/join/action
oprávnění pro všechny definice, které se přiřazují v době přiřazení.
Pokud chcete nastavit potřebná oprávnění, dají se uživatelům přiřadit předdefinované role pomocí řízení přístupu na základě role:
- Role Přispěvatel sítě cílové skupině sítě
- Role Přispěvatel zásad prostředků na úrovni cílového oboru
Pokud chcete podrobnější přiřazení role, můžete vytvořit vlastní role pomocí Microsoft.Network/networkManagers/networkGroups/join/action
oprávnění a policy/write
oprávnění.
Důležité
Pokud chcete upravit dynamické skupiny AVNM, musíte mít udělený přístup pouze prostřednictvím přiřazení role Azure RBAC. Klasický správce nebo starší verze autorizace se nepodporuje. To znamená, že pokud byl váš účet přiřazen pouze roli předplatného spolusprávce, neměli byste žádná oprávnění k dynamickým skupinám AVNM.
Společně s požadovanými oprávněními musí být vaše předplatná a skupiny pro správu zaregistrované u následujících poskytovatelů prostředků:
Microsoft.Network
k vytvoření virtuálních sítí se vyžaduje.Microsoft.PolicyInsights
k používání služby Azure Policy se vyžaduje.
Pokud chcete nastavit registraci potřebných poskytovatelů, použijte Register-AzResourceProvider v Azure PowerShellu nebo az provider register v Azure CLI.
Užitečné tipy
Filtrování typů
Při konfiguraci definic zásad doporučujeme zahrnout podmínku typu , která ji definuje na virtuální sítě. Tato podmínka umožňuje zásadě vyfiltrovat operace mimo virtuální síť a zlepšit efektivitu prostředků zásad.
Regionální řezy
Prostředky zásad jsou globální, což znamená, že jakákoli změna se projeví u všech prostředků v oboru přiřazení bez ohledu na oblast. Pokud vás zajímá oblastní řez a postupné zavedení, doporučujeme uvést podmínku where location in []
. Potom můžete seznam umístění postupně rozbalit, aby se efekt postupně zaváděl.
Určení rozsahu přiřazení
Pokud používáte skupiny pro správu s využitím skupin pro správu Azure, pravděpodobně už máte prostředky uspořádané do struktury hierarchie. Pomocí přiřazení můžete stejnou definici přiřadit několika odlišným oborům v rámci hierarchie, což vám umožní mít větší úroveň podrobností o tom, které prostředky mají nárok na vaši skupinu sítě.
Odstranění definice služby Azure Policy přidružené ke skupině sítě
Můžete být instancemi, ve kterých už definici Azure Policy nepotřebujete. Mezi instance patří, když dojde k odstranění skupiny sítě přidružené k zásadě nebo pokud už nepoužíváte zásadu, kterou už nepotřebujete. Pokud chcete zásadu odstranit, musíte odstranit objekt přidružení zásad a pak odstranit definici zásad ve službě Azure Policy. Po dokončení odstranění se název definice nedá znovu použít nebo znovu odkazovat při přidružování nové definice ke skupině sítě.
Další kroky
- Vytvořte instanci Azure Virtual Network Manageru .
- Seznamte se s nasazeními konfigurace ve službě Azure Virtual Network Manager.
- Zjistěte, jak blokovat síťový provoz pomocí konfigurace SecurityAdmin.