Поделиться через

Настройка групп сети с помощью Политика Azure в Диспетчере виртуальная сеть Azure

  • Статья

В этой статье вы узнаете, как Политика Azure используется в Диспетчере виртуальная сеть Azure для определения членства в динамических группах сети. Динамические сетевые группы позволяют создавать масштабируемые и динамически адаптируемые среды виртуальной сети в организации.

Общие сведения о Политике Azure

Политика Azure оценивает ресурсы в Azure, сравнивая их свойства с настроенными бизнес-правилами. Эти бизнес-правила, описанные в формате JSON, называются определениями политик. После формирования бизнес-правил определение политики назначается любой области ресурсов, которые поддержка Azure, такие как группы управления, подписки, группы ресурсов или отдельные ресурсы. Такое назначение применяется ко всем ресурсам в пределахобласти Resource Manager назначения. Дополнительные сведения об использовании области с областью в Политика Azure.

Примечание.

Политика Azure используется только для определения членства в динамической группе сети.

Определение групповой политики сети

Создание и реализация политики в Политика Azure начинается с создания ресурса определения политики. Каждое определение политики имеет условия для принудительного применения и определенное действие, которое происходит, если выполнены условия.

При использовании групп сети определение политики включает в себя условное выражение для сопоставления виртуальных сетей с вашими критериями и указывает целевую сетевую группу, в которой размещаются все соответствующие ресурсы. Эффект addToNetworkGroup используется для размещения ресурсов в целевой сетевой группе. Ниже приведен пример определения правила политики с эффектом addToNetworkGroup . Для всех пользовательских политик mode свойство предназначено Microsoft.Network.Data для целевого поставщика ресурсов группы сети и требуется для создания определения политики для Azure виртуальная сеть Manager.

"mode": "Microsoft.Network.Data",
"policyRule": {
      "if": {
        "allOf": [
          {
            "field": "Name",
            "contains": "-gen"
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
        }
      }
}

Внимание

При определении политики должен быть полный идентификатор ресурса целевой группы сети, networkGroupId как показано в примере определения. Он не поддерживает параметризацию в определении политики. Если необходимо параметризировать группу сети, можно использовать шаблон Azure Resource Manager для создания определения и назначения политики.

Если Политика Azure используется с Диспетчером виртуальная сеть Azure, политика предназначена для свойства Microsoft.Network.Dataпоставщика ресурсов. Из-за этого необходимо указать тип политики Custom в определении политики. При создании политики для динамического добавления членов в диспетчер виртуальная сеть эта политика применяется автоматически при создании политики. Необходимо выбрать custom только при создании определения политики с помощью Политика Azure или других инструментов за пределами панели мониторинга диспетчера виртуальная сеть.

Ниже приведен пример определения политики с заданным CustomсвойствомpolicyType.


"properties": {
      "displayName": "myProdAVNM",
      "policyType": "Custom",
      "mode": "Microsoft.Network.Data",
      "metadata": {
        "category": "Azure Virtual Network Manager",
        "createdBy": "-----------------------------",
        "createdOn": "2023-04-10T15:35:35.9308987Z",
        "updatedBy": null,
        "updatedOn": null
      }
}

Дополнительные сведения о структуре определения политики.

Создание назначения политики

Как и в конфигурациях диспетчера виртуальная сеть, определения политик не сразу вступают в силу при создании. Чтобы начать применение, необходимо создать назначение политики, которое назначает определение для оценки в заданной области. В настоящее время все ресурсы в области оцениваются по определению, что позволяет использовать одно повторное определение, которое можно назначить в нескольких местах для более детального управления членством в группах. Дополнительные сведения о структуре назначения для Политика Azure.

Определения и назначения политик можно создавать с помощью API/PS/CLI или портала Политика Azure.

Необходимые разрешения

Чтобы использовать группы сети с Политика Azure, пользователям требуются следующие разрешения:

  • Microsoft.Authorization/policyassignments/Write и Microsoft.Authorization/policydefinitions/Write необходимы в области, которую вы назначаете.
  • Microsoft.Network/networkManagers/networkGroups/join/action действие необходимо для целевой группы сети, на который ссылается раздел "Добавление в группу сети". Это разрешение позволяет добавлять и удалять объекты из целевой группы сети.
  • При использовании определений наборов для назначения нескольких политик одновременно требуются одновременные Microsoft.Network/networkManagers/networkGroups/join/action разрешения для всех определений, назначенных во время назначения.

Чтобы задать необходимые разрешения, пользователям можно назначить встроенные роли с помощью управления доступом на основе ролей:

  • Роль участника сети в целевой группе сети.
  • Роль участника политики ресурсов на уровне целевой области.

Для более детального назначения ролей можно создать пользовательские роли с помощью Microsoft.Network/networkManagers/networkGroups/join/action разрешения и policy/write разрешения.

Внимание

Чтобы изменить динамические группы AVNM, необходимо предоставить доступ только через назначение ролей Azure RBAC. Классическая авторизация администратора или устаревшая авторизация не поддерживается; Это означает, что если ваша учетная запись была назначена только роль подписки соадминистратора, у вас нет разрешений на динамические группы AVNM.

Наряду с необходимыми разрешениями, подписки и группы управления должны быть зарегистрированы со следующими поставщиками ресурсов:

  • Microsoft.Network требуется для создания виртуальных сетей.
  • Microsoft.PolicyInsightsтребуется использовать Политика Azure.

Чтобы настроить регистрацию необходимых поставщиков, используйте Register-AzResourceProvider в Azure PowerShell или az provider register in Azure CLI.

Полезные советы

Фильтрация типов

При настройке определений политики рекомендуется включить условие типа для его применения к виртуальным сетям. Это условие позволяет политике отфильтровать операции, не связанные с виртуальной сетью, и повысить эффективность ресурсов политики.

Региональные срезы

Ресурсы политики являются глобальными, что означает, что любые изменения вступает в силу со всеми ресурсами в области назначения независимо от региона. Если региональные срезы и постепенное развертывание являются проблемой для вас, рекомендуется включить where location in [] условие. Затем вы можете постепенно развернуть список расположений, чтобы постепенно развернуть эффект.

Определение области назначения

Если вы используете рекомендации группы управления с помощью групп управления Azure, скорее всего, у вас уже есть ресурсы, упорядоченные в структуре иерархии. С помощью назначений вы можете назначить одно и то же определение нескольким отдельным областям в иерархии, что позволяет иметь более высокий уровень детализации, в отношении которых ресурсы могут быть доступны для вашей сетевой группы.

Удаление определения Политика Azure, связанного с сетевой группой

Вы можете быть экземплярами, в которых больше не требуется определение Политика Azure. Экземпляры включают в себя удаление сетевой группы, связанной с политикой, или у вас больше нет неиспользуемой политики. Чтобы удалить политику, необходимо удалить объект сопоставления политик, а затем удалить определение политики в Политика Azure. После завершения удаления имя определения нельзя повторно использовать или повторно ссылаться на нее при связывании нового определения с сетевой группой.

Следующие шаги