Schnellstart: Erstellen einer Cloudnetzwerktopologie mit Azure Virtual Network Manager mithilfe der Azure-Befehlszeilenschnittstelle

Erste Schritte mit Azure Virtual Network Manager mithilfe der Azure-Befehlszeilenschnittstelle zum Verwalten der Konnektivität für alle virtuellen Netzwerke

In dieser Schnellstartanleitung stellen Sie drei virtuelle Netzwerke bereit und erstellen Sie mit Azure Virtual Network Manager eine Mesh-Netzwerktopologie. Anschließend überprüfen Sie, ob die Konnektivitätskonfiguration angewandt wurde.

Diagramm der Ressourcen, die für eine virtuelle Cloudnetzwerktopologie mit Azure Virtual Network Manager bereitgestellt werden.

Voraussetzungen

Melden Sie sich bei Ihrem Azure-Konto an, und wählen Sie Ihr Abonnement aus.

Um mit der Konfiguration zu beginnen, melden Sie sich bei Ihrem Azure-Konto an. Wenn Sie die Cloud Shell-Funktion Ausprobieren verwenden, werden Sie automatisch angemeldet.

az login

Wählen Sie das Abonnement aus, in dem Virtual Network Manager bereitgestellt wird:

az account set \
    --subscription "<subscription_id>"

Aktualisieren Sie die Virtual Network Manager-Erweiterung für die Azure-Befehlszeilenschnittstelle:

az extension update --name virtual-network-manager

Erstellen einer Ressourcengruppe

Bevor Sie Azure Virtual Network Manager bereitstellen können, müssen Sie eine Ressourcengruppe zum Hosten mit az group create erstellen. In diesem Beispiel wird eine Ressourcengruppe names myAVNMResourceGroup in der Region „USA, Westen“ erstellt:

az group create \
    --name "myAVNMResourceGroup" \
    --location "westus"

Erstellen einer Virtual Network Manager-Instanz

Definieren Sie den Bereich und Zugriffstyp für diese Virtual Network Manager-Instanz. Sie erstellen den Bereich mit az network manager create. Ersetzen Sie den Wert <subscription_id> durch das Abonnement, für das Virtual Network Manager virtuelle Netzwerke verwalten soll. Ersetzen Sie <mgName\> durch die Verwaltungsgruppe, die Sie verwalten möchten.

az network manager create \
    --location "westus" \
    --name "myAVNM" \
    --resource-group "myAVNMResourceGroup" \
    --scope-accesses "Connectivity" "SecurityAdmin" \
    --network-manager-scopes subscriptions="/subscriptions/<subscription_id>"

Erstellen einer Netzwerkgruppe

Virtual Network Manager wendet Konfigurationen auf Gruppen von virtuellen Netzwerken an, indem sie in Netzwerkgruppen platziert werden. Erstellen Sie mit az network manager group create eine Netzwerkgruppe:

az network manager group create \
    --name "myNetworkGroup" \
    --network-manager-name "myAVNM" \
    --resource-group "myAVNMResourceGroup" \
    --description "Network Group for Production virtual networks"

Erstellen virtueller Netzwerke

Erstellen Sie mit az network vnet create fünf virtuelle Netzwerke. In diesem Beispiel werden virtuelle Netzwerke namens VNetA, VNetBVNetC und VNetD in der Region „USA, Westen“ erstellt. Jedes virtuelle Netzwerk verfügt über ein Tag networkType, das für dynamische Mitgliedschaft verwendet wird. Wenn Sie bereits über virtuelle Netzwerke verfügen, mit denen Sie ein Cloudnetzwerk erstellen möchten, können Sie zum nächsten Abschnitt springen.

az network vnet create \
    --name "VNetA" \
    --resource-group "myAVNMResourceGroup" \
    --address-prefix "10.0.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "VNetB" \
    --resource-group "myAVNMResourceGroup" \
    --address-prefix "10.1.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "VNetC" \
    --resource-group "myAVNMResourceGroup" \
    --address-prefix "10.2.0.0/16" \
    --tags "NetworkType=Prod"

az network vnet create \
    --name "VNetD" \
    --resource-group "myAVNMResourceGroup" \
    --address-prefix "10.3.0.0/16" \
    --tags "NetworkType=Test"

az network vnet create \
    --name "VNetE" \
    --resource-group "myAVNMResourceGroup" \
    --address-prefix "10.4.0.0/16" \
    --tags "NetworkType=Test"

Hinzufügen eines Subnetzes zu den einzelnen virtuellen Netzwerken

Schließen Sie die Konfiguration der virtuellen Netzwerke ab, indem Sie jedem ein /24-Subnetz hinzufügen. Erstellen Sie eine Subnetzkonfiguration namens default mit az network vnet subnet create:

az network vnet subnet create \
    --name "default" \
    --resource-group "myAVNMResourceGroup" \
    --vnet-name "VNetA" \
    --address-prefix "10.0.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "myAVNMResourceGroup" \
    --vnet-name "VNetB" \
    --address-prefix "10.1.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "myAVNMResourceGroup" \
    --vnet-name "VNetC" \
    --address-prefix "10.2.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "myAVNMResourceGroup" \
    --vnet-name "VNetD" \
    --address-prefix "10.3.0.0/24"

az network vnet subnet create \
    --name "default" \
    --resource-group "myAVNMResourceGroup" \
    --vnet-name "VNetE" \
    --address-prefix "10.4.0.0/24"

Definieren der Mitgliedschaft für eine Meshkonfiguration

Azure Virtual Network Manager ermöglicht zwei Methoden zum Hinzufügen von Mitgliedschaften zu einer Netzwerkgruppe. Statische Mitgliedschaft umfasst das manuelle Hinzufügen virtueller Netzwerke, und dynamische Mitgliedschaft beinhaltet die Verwendung von Azure Policy, um virtuelle Netzwerke basierend auf Bedingungen dynamisch hinzuzufügen. Wählen Sie die Option aus, die Sie für den Abschluss Ihrer Cloudkonfigurationsmitgliedschaft verwenden möchten:

Option „Statische Mitgliedschaft“

Mithilfe der statischen Mitgliedschaft fügen Sie Ihrer Netzwerkgruppe mit az network manager group static-member create manuell drei virtuelle Netzwerke für Ihre Cloudkonfiguration hinzu. Ersetzen Sie <subscription_id> durch das Abonnement, in dem diese virtuellen Netzwerke erstellt wurden.

az network manager group static-member create \
    --name "VNetA" \
    --network-group "myNetworkGroup" \
    --network-manager "myAVNM" \
    --resource-group "myAVNMResourceGroup" \
    --resource-id "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/virtualnetworks/VNetA"
az network manager group static-member create \
    --name "VNetB" \
    --network-group "myNetworkGroup" \
    --network-manager "myAVNM" \
    --resource-group "myAVNMResourceGroup" \
    --resource-id "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/virtualnetworks/VNetB"
az network manager group static-member create \
    --name "VNetC" \
    --network-group "myNetworkGroup" \
    --network-manager "myAVNM" \
    --resource-group "myAVNMResourceGroup" \
    --resource-id "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/virtualnetworks/VNetC"

Option „Dynamische Mitgliedschaft“

Mithilfe von Azure Policy können Sie die drei virtuellen Netzwerke mit einem networkType-Wert von Prod dynamisch zur Netzwerkgruppe hinzufügen. Diese drei virtuellen Netzwerke werden die Teil der Cloudkonfiguration.

Sie können Richtlinien auf ein Abonnement oder eine Verwaltungsgruppe anwenden, und Sie müssen sie immer auf oder über der Ebene definieren, auf der Sie sie erstellen. Nur virtuelle Netzwerke innerhalb eines Richtlinienbereichs werden einer Netzwerkgruppe hinzugefügt.

Erstellen einer Richtliniendefinition

Erstellen Sie eine Richtliniendefinition mithilfe von az policy definition create für virtuelle Netzwerke, die als „Prod“ gekennzeichnet sind. Ersetzen Sie <subscription_id> durch das Abonnement, auf das Sie diese Richtlinie anwenden möchten. Wenn Sie sie auf eine Verwaltungsgruppe anwenden möchten, ersetzen Sie --subscription <subscription_id> durch --management-group <mgName>.

az policy definition create \
    --name "ProdVNets" \
    --description "Choose Prod virtual networks only" \
    --rules "{\"if\":{\"allOf\":[{\"field\":\"Name\",\"contains\":\"VNet\"},{\"field\":\"tags['NetworkType']\",\"equals\":\"Prod\"}]},\"then\":{\"effect\":\"addToNetworkGroup\",\"details\":{\"networkGroupId\":\"/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNetworkGroup\"}}}" \
    --subscription <subscription_id> \
    --mode "Microsoft.Network.Data"

Erstellen einer Richtliniendefinition

Nachdem Sie eine Richtlinie definiert haben, müssen Sie sie mithilfe von az policy assignment create anwenden. Ersetzen Sie <subscription_id> durch das Abonnement, auf das Sie diese Richtlinie anwenden möchten. Wenn Sie sie auf eine Verwaltungsgruppe anwenden möchten, ersetzen Sie --scope "/subscriptions/<subscription_id>" durch --scope "/providers/Microsoft.Management/managementGroups/<mgName>, und ersetzen Sie <mgName\> durch Ihre Verwaltungsgruppe.



az policy assignment create \
    --name "ProdVNets" \
    --description "Take only virtual networks tagged NetworkType:Prod" \
    --scope "/subscriptions/<subscription_id>" \
    --policy "/subscriptions/<subscription_id>/providers/Microsoft.Authorization/policyDefinitions/ProdVNets"

Erstellen einer Konfiguration

Nachdem Sie nun die Netzwerkgruppe erstellt und ihr die richtigen virtuellen Netzwerke zugeordnet haben, erstellen Sie mithilfe von az network manager connect-config create eine Cloudnetzwerk-Topologiekonfiguration. Ersetzen Sie <subscription_id> durch Ihr Abonnement.

az network manager connect-config create \
    --configuration-name "connectivityconfig" \
    --description "Production Mesh Connectivity Config Example" \
    --applies-to-groups network-group-id="/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNetworkGroup" \
    --connectivity-topology "Mesh" \
    --network-manager-name "myAVNM" \
    --resource-group "myAVNMResourceGroup"

Commit für Bereitstellung ausführen

Damit die Konfiguration wirksam wird, committen Sie die Konfiguration mit az network manager post-commit in die Zielregionen:

az network manager post-commit \
    --network-manager-name "myAVNM" \
    --commit-type "Connectivity" \
    --configuration-ids "/subscriptions/<subscription_id>/resourceGroups/myANVMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/connectivityConfigurations/connectivityconfig" \
    --target-locations "westus" \
    --resource-group "myAVNMResourceGroup"

Überprüfen der Konfiguration

Virtuelle Netzwerke zeigen mit az network manager list-effective-connectivity-config die Konfigurationen an, die auf sie angewendet wurden:

az network manager list-effective-connectivity-config \
    --resource-group "myAVNMResourceGroup" \
    --virtual-network-name "VNetA"

az network manager list-effective-connectivity-config \
    --resource-group "myAVNMResourceGroup" \
    --virtual-network-name "VNetB"


az network manager list-effective-connectivity-config \
    --resource-group "myAVNMResourceGroup" \
    --virtual-network-name "VNetC"

az network manager list-effective-connectivity-config \
    --resource-group "myAVNMResourceGroup" \
    --virtual-network-name "VNetD"

Für die virtuellen Netzwerke, die Teil der Konnektivitätskonfiguration sind, wird eine Ausgabe wie in diesem Beispiel angezeigt:

{
  "skipToken": "",
  "value": [
    {
      "appliesToGroups": [
        {
          "groupConnectivity": "None",
          "isGlobal": "False",
          "networkGroupId": "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNetworkGroup",
          "useHubGateway": "False"
        }
      ],
      "configurationGroups": [
        {
          "description": "Network Group for Production virtual networks",
          "id": "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNetworkGroup",
          "provisioningState": "Succeeded",
          "resourceGroup": "myAVNMResourceGroup"
        }
      ],
      "connectivityTopology": "Mesh",
      "deleteExistingPeering": "False",
      "description": "Production Mesh Connectivity Config Example",
      "hubs": [],
      "id": "/subscriptions/<subscription_id>/resourceGroups/myAVNMResourceGroup/providers/Microsoft.Network/networkManagers/myAVNM/connectivityConfigurations/connectivityconfig",
      "isGlobal": "False",
      "provisioningState": "Succeeded",
      "resourceGroup": "myAVNMResourceGroup"
    }
  ]
}

Für virtuelle Netzwerke, die nicht Teil der Netzwerkgruppe sind (z. B. VNetD), wird eine Ausgabe wie in diesem Beispiel angezeigt:

az network manager list-effective-connectivity-config     --resource-group "myAVNMResourceGroup"     --virtual-network-name "VNetD-test"
{
  "skipToken": "",
  "value": []
}

Bereinigen von Ressourcen

Wenn Sie die Azure Virtual Network Manager-Instanz nicht mehr benötigen, müssen Sie sicherstellen, dass alle der folgenden Punkte wahr sind, bevor Sie die Ressource löschen:

  • In keiner Region sind Konfigurationen bereitgestellt.
  • Alle Konfigurationen wurden gelöscht.
  • Alle Netzwerkgruppen wurden gelöscht.

So löschen Sie die Ressource:

  1. Entfernen Sie die Konnektivitätsbereitstellung, indem Sie mit az network manager post-commit keine Konfigurationen committen:

    az network manager post-commit \
        --network-manager-name "myAVNM" \
        --commit-type "Connectivity" \
        --target-locations "westus" \
        --resource-group "myAVNMResourceGroup"
    
  2. Entfernen Sie die Konnektivitätskonfiguration mit az network manager connect-config delete:

    az network manager connect-config delete \
        --configuration-name "connectivityconfig" \
        --name "myAVNM" \
        --resource-group "myAVNMResourceGroup"
    
  3. Entfernen Sie die Netzwerkgruppe mit az network manager group delete:

    az network manager group delete \
        --name "myNetworkGroup" \
        --network-manager-name "myAVNM" \
        --resource-group "myAVNMResourceGroup"
    
  4. Löschen Sie die Network Manager-Instanz mit az network manager delete:

    az network manager delete \
        --name "myAVNM" \
        --resource-group "myAVNMResourceGroup"
    
  5. Wenn Sie die erstellte Ressource nicht mehr benötigen, löschen Sie die Ressourcengruppe mit az group delete:

    az group delete \
        --name "myAVNMResourceGroup"
    

Nächste Schritte

Nachdem Sie die Azure Virtual Network Manager-Instanz erstellt haben, informieren Sie sich, wie Sie den Netzwerkdatenverkehr mithilfe einer Sicherheitsadministratorkonfiguration blockieren: