本文介绍如何在 Azure Virtual Network Manager (AVNM) 中使用具有安全管理员规则的网络组。 网络组允许创建具有常见属性的虚拟网络和子网的逻辑组,这些属于包括环境、区域、服务类型等。 然后,可以将网络组指定为安全管理员规则的源和/或目标,以便可以在分组网络资源之间强制实施流量管理。 此功能简化了跨工作负载和环境保护流量的过程,因为它消除了手动指定单个无类域间路由 (CIDR) 范围或资源 ID 的步骤。
重要
使用网络组作为源和目标在 Azure Virtual Network Manager 中创建安全管理员规则是公共预览版。 若你同意 Microsoft Azure 预览版补充使用条款的条件,便可以使用公共预览版。 某些功能可能不受支持或者受限。 此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。
为何使用具有安全管理员规则的网络组?
使用具有安全管理员规则的网络组,可以定义安全管理员规则的流量的源和目标。 此功能通过将网络组的 CIDR 范围聚合到虚拟网络管理器实例,简化了跨工作负载和环境保护流量的过程。 通过聚合到虚拟网络管理器,无需手动指定单个 CIDR 范围或资源 ID。
例如,需要确保在生产环境和非生产环境之间拒绝流量,这两个环境由两个单独的网络组表示。 创建具有操作类型“拒绝”的安全管理员规则。 将一个网络组指定为规则集合的目标,这些虚拟网络将收到配置的规则。 然后选择要拒绝的流量方向,并将其他网络组用作相应的源/目标。 可以强制实施分组网络资源之间的流量,而无需指定单个 CIDR 范围或资源 ID。
如何使用网络组部署安全管理员规则?
从 Azure 门户中,可以使用网络组部署安全管理员规则。 若要创建安全管理员角色,请创建安全管理员配置,并添加一个将网络组用作源和目标的安全管理员规则。 要实现此操作,对于配置中的“网络组地址空间聚合选项”设置,可选择“手动”。 选中后,虚拟网络管理器实例将聚合配置中作为安全管理规则的源和目标引用的网络组的 CIDR 范围。
最后,部署安全管理员配置,规则适用于网络组资源。 如果使用手动聚合选项,仅当部署安全管理配置时,才会聚合网络组中的 CIDR 范围。 这样就可以按计划提交 CIDR 范围。
如果更改网络组中的资源,或者网络组的 CIDR 范围发生变化,你需要在进行更改后重新部署安全配置。 部署后,新的 CIDR 范围将在整个网络中应用于所有新的和现有的网络组资源。
支持的区域
在公共预览版期间,提供 Azure Virtual Network Manager 的所有区域都支持具有安全管理员规则的网络组。
具有安全管理员规则的网络组的限制
在使用具有网络安全管理员规则的网络组时,存在以下限制:
仅支持在网络组中手动聚合 CIDR。 规则中的 CIDR 范围仅在客户提交时发生更改。 这意味着规则中的 CIDR 范围在客户提交之前保持不变。
支持安全管理员规则中引用的任何一个网络组中的 100 个网络资源(虚拟网络或子网)。
网络组成员的 CIDR 范围可以是 Ipv4 或 Ipv6 CIDR,但不能位于同一组中。 如果 Ipv4 和 Ipv6 范围位于同一组中,虚拟网络管理器只使用 IPv4 范围。
基于角色的访问控制所有权仅从
Microsoft.Network/networkManagers/securityAdminConfigurations/rulecollections/rules/write权限推断。网络组必须具有相同的成员类型。 支持虚拟网络和子网,但必须位于单独的网络组中。
目前不支持强制删除用作安全管理员规则中的源和/或目标的任何网络组。 使用情况会导致错误。