Configurar uma conexão entre locatários no Gerenciador de Rede Virtual do Azure – Versão Prévia – CLI

Neste artigo, você aprenderá a criar conexões entre locatários com o Gerenciador de Rede Virtual do Azure usando a CLI do Azure. O suporte entre locatários permite que as organizações usem um gerenciador de rede central para gerenciar redes virtuais em locatários e assinaturas.

Primeiro, você criará a conexão de escopo no gerenciador de rede central. Em seguida, você criará a conexão do gerenciador de rede no locatário de conexão e verificará a conexão. Por fim, você adicionará redes virtuais de diferentes locatários e fará a verificação. Depois de realizar todas as tarefas, será possível gerenciar centralmente os recursos de outros locatários por meio do gerenciador de rede.

Pré-requisitos

• Dois locatários do Azure com redes virtuais que você deseja gerenciar por meio do Gerenciador de Rede Virtual do Azure. Este artigo refere-se aos locatários da seguinte maneira:
  • Locatário de gerenciamento central: o locatário em que uma instância do Gerenciador de Rede Virtual do Azure está instalada e você gerenciará centralmente grupos de rede de conexões entre locatários.
  • Locatário gerenciado de destino: o locatário que contém redes virtuais a serem gerenciadas. Esse locatário será conectado ao locatário de gerenciamento central.
• Gerenciador de Rede Virtual do Azure implantado no locatário de gerenciamento central.
• Essas permissões:
  • O administrador do locatário de gerenciamento central tem uma conta de convidado no locatário gerenciado de destino.
  • A conta de convidado do administrador tem permissões de Colaborador de Rede aplicadas no nível de escopo apropriado (grupo de gerenciamento, assinatura ou rede virtual).

Precisa de ajuda para configurar permissões? Confira como adicionar usuários convidados no portal do Azure e como atribuir funções de usuário a recursos no portal do Azure.

Criar uma conexão de escopo em um gerenciador de rede

A criação da conexão de escopo começa no locatário de gerenciamento central com um gerenciador de rede implantado. Esse é o gerenciador de rede em que você planeja gerenciar todos os seus recursos entre locatários.

Nesta tarefa, você configura uma conexão de escopo para adicionar uma assinatura de um locatário de destino. Você usará a ID da assinatura e a ID do locatário do gerenciador de rede de destino. Para usar um grupo de gerenciamento, modifique o argumento –resource-id para ser semelhante a /providers/Microsoft.Management/managementGroups/{mgId}.

# Create a scope connection in the network manager in the central management tenant
az network manager scope-connection create --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" --description "This is a connection to manage resources in the target managed tenant" --resource-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" --tenant-id "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Criar uma conexão do gerenciador de rede em uma assinatura em outro locatário

Depois de criar a conexão de escopo, alterne para o locatário de destino com relação à conexão do gerenciador de rede. Nesta tarefa, você conecta o locatário de destino à conexão de escopo criada anteriormente. Você também verificará o estado da conexão.

1. Insira o seguinte comando para se conectar ao locatário gerenciado de destino usando sua conta administrativa:

   
   # Log in to the target managed tenant
   # Change the --tenant value to the appropriate tenant ID
   az login --tenant "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   

   É preciso realizar a autenticação em sua organização, com base nas políticas associadas.

2. Insira os comandos a seguir para definir a assinatura e criar a conexão entre locatários no locatário de gerenciamento central. A assinatura é a mesma que foi referenciada pela conexão na etapa anterior.

   # Set the Azure subscription
   az account set --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
   
   
   # Create a cross-tenant connection to the central management tenant
   az network manager connection subscription create --connection-name "toCentralManagementTenant" --description "This connection allows management of the tenant by a central management tenant" --network-manager-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRG/providers/Microsoft.Network/networkManagers/myAVNM"
   

Verificar o status da conexão

1. Insira o seguinte comando para verificar o status da conexão:

   # Check connection status
   az network manager connection subscription show --name "toCentralManagementTenant"
   

2. Volte ao locatário de gerenciamento central. Use o comando show do gerenciador de rede para mostrar a assinatura adicionada por meio da propriedade para escopos entre locatários:

   # View the subscription added to the network manager
   az network manager show --resource-group myAVNMResourceGroup --name myAVNM
   

Adicionar membros estáticos a um grupo de rede

Nesta tarefa, você adiciona uma rede virtual entre locatários ao grupo de rede usando a associação estática. No comando a seguir, a assinatura da rede virtual é a mesma que foi referenciada anteriormente durante a criação das conexões.

# Create a network group with a static member from the target managed tenant
az network manager group static-member create --network-group-name "CrossTenantNetworkGroup" --network-manager-name "myAVNM" --resource-group "myAVNMResourceGroup" --static-member-name "targetVnet01" --resource-id="/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
/resourceGroups/myScopeAVNM/providers/Microsoft.Network/virtualNetworks/targetVnet01"

Excluir as configurações do gerenciador de rede

Agora que a rede virtual está no grupo de rede, as configurações são aplicadas. Para remover o membro estático ou os recursos entre inquilinos, use os comandos delete correspondentes:

# Delete the static member group
az network manager group static-member delete --network-group-name  "CrossTenantNetworkGroup" --network-manager-name " myAVNM" --resource-group "myRG" --static-member-name "targetVnet01” 

# Delete scope connections
az network manager scope-connection delete --resource-group "myRG" --network-manager-name "myAVNM" --name "ToTargetManagedTenant" 

# Switch to a managed tenant if needed 
az network manager connection subscription delete --name "toCentralManagementTenant"  

Próximas etapas

• Saiba mais sobre regras do administrador de segurança.

• Saiba como criar uma topologia de rede em malha com o Gerenciador de Rede Virtual do Azure usando o portal do Azure.

• Confira as Perguntas frequentes sobre o Gerenciador de Rede Virtual do Azure.