Megosztás a következőn keresztül:

Hálózati virtuális berendezés létrehozása Azure Virtual WAN-központban

  • Cikk

Ez a cikk bemutatja, hogyan helyezhet üzembe egy integrált hálózati virtuális berendezést (NVA) egy Azure Virtual WAN-központban.

Háttér

A Virtual WAN hubon üzembe helyezett NVA-k általában három kategóriába sorolhatók:

  • Kapcsolati berendezések: VPN- és SD-WAN-kapcsolatok megszakítására szolgál a helyszínen. A kapcsolati berendezések a Border Gateway Protocol (BGP) használatával cserélik az útvonalakat a Virtual WAN hubbal.
  • Következő generációs tűzfal (NGFW) berendezések: Az útválasztási szándékkal a virtuális WAN-központon áthaladó forgalom vezetéken belüli ellenőrzésére szolgál.
  • Kétszerepkörű kapcsolati és tűzfalberendezések: Egyetlen eszköz, amely mindkettő a helyszíni eszközöket csatlakoztatja az Azure-hoz, és az útválasztási szándékkal vizsgálja meg a Virtual WAN hubon áthaladó forgalmat.

A Virtual WAN hubon üzembe helyezhető NVA-k és azok képességeinek listáját lásd : Virtual WAN NVA-partnerek.

Üzembehelyezési mechanizmusok

A hálózati virtuális berendezések üzembe helyezhetők több különböző munkafolyamaton keresztül. A különböző hálózati virtuális berendezés-partnerek különböző üzembehelyezési mechanizmusokat támogatnak. Minden Virtual WAN integrált NVA-partner támogatja az Azure Marketplace felügyelt alkalmazás munkafolyamatát. Az egyéb üzembehelyezési módszerekkel kapcsolatos információkért tekintse meg az NVA-szolgáltató dokumentációját.

  • Felügyelt Azure Marketplace-alkalmazás: Minden Virtual WAN NVA-partner az Azure Managed Applications használatával helyezi üzembe az integrált NVA-kat a Virtual WAN-központban. Az Azure Managed Applications segítségével egyszerűen helyezhet üzembe NVA-kat a Virtual WAN-központban az NVA-szolgáltató által létrehozott Azure Portalon. Az Azure Portal felülete összegyűjti az NVA üzembe helyezéséhez és rendszerindításához szükséges kritikus üzembe helyezési és konfigurációs paramétereket. Az Azure Managed Applications szolgáltatással kapcsolatos további információkért tekintse meg a felügyelt alkalmazások dokumentációját. Tekintse át a szolgáltató dokumentációját a teljes üzembehelyezési munkafolyamatról az Azure Managed Application használatával.
  • NVA vezénylő telepítések: Egyes NVA-partnerek lehetővé teszik az NVA-k központi telepítését közvetlenül az NVA vezénylési vagy felügyeleti szoftverből. Az NVA vezénylési szoftverből származó NVA-telepítések általában megkövetelik, hogy azure-szolgáltatásnevet biztosítson az NVA vezénylési szoftverének. Az Azure-szolgáltatásnevet az NVA vezénylési szoftvere használja az Azure API-kkal való interakcióhoz az NVA központi telepítéséhez és kezeléséhez. Ez a munkafolyamat az NVA-szolgáltató implementációjára vonatkozik. További információért tekintse meg a szolgáltató dokumentációját.
  • Egyéb üzembehelyezési mechanizmusok: Az NVA-partnerek más mechanizmusokat is kínálnak az NVA-k központi telepítéséhez, például ARM-sablonok és Terraform. Az egyéb támogatott üzembehelyezési mechanizmusokkal kapcsolatos további információkért tekintse meg a szolgáltató dokumentációját.

Előfeltételek

Az alábbi oktatóanyag feltételezi, hogy üzembe helyezett egy Virtual WAN-erőforrást legalább egy Virtual WAN-központtal. Az oktatóanyag azt is feltételezi, hogy NVA-kat helyez üzembe az Azure Marketplace felügyelt alkalmazáson keresztül.

Szükséges engedélyek

Hálózati virtuális berendezés Virtual WAN Hubon való üzembe helyezéséhez az NVA-t létrehozó és kezelő felhasználónak vagy szolgáltatásnévnek legalább a következő engedélyekkel kell rendelkeznie:

  • Microsoft.Network/virtualHubs/read over the Virtual WAN hub, amelyben az NVA üzembe van helyezve.
  • Microsoft.Network/networkVirtualAppliances/write over the resource group where the NVA is deployed in.
  • Microsoft.Network/publicIpAddresses/join over the public IP address resources that are deployed with the Network Virtual Appliance for Internet Inbound use cases.

Ezeket az engedélyeket meg kell adni az Azure Marketplace felügyelt alkalmazásának, hogy az üzembe helyezés sikeres legyen. További engedélyekre lehet szükség az NVA-partner által kifejlesztett üzembehelyezési munkafolyamat implementációja alapján.

Engedélyek hozzárendelése felügyelt Azure-alkalmazáshoz

Az Azure Marketplace felügyelt alkalmazáson keresztül üzembe helyezett hálózati virtuális berendezések az Azure-bérlő egy speciális erőforráscsoportjában, a felügyelt erőforráscsoportban vannak üzembe helyezve. Amikor létrehoz egy felügyelt alkalmazást az előfizetésben, az előfizetésben létrejön egy megfelelő és különálló felügyelt erőforráscsoport . A felügyelt alkalmazás által létrehozott összes Azure-erőforrás (beleértve a hálózati virtuális berendezést is) a felügyelt erőforráscsoportban lesz üzembe helyezve.

Az Azure Marketplace rendelkezik egy külső szolgáltatásnévvel, amely elvégzi az erőforrások központi telepítését a felügyelt erőforráscsoportban. Ez a belső tag rendelkezik engedéllyel az erőforrások felügyelt erőforráscsoportban való létrehozására, de nem rendelkezik a felügyelt erőforráscsoporton kívüli Azure-erőforrások olvasására, frissítésére vagy létrehozására vonatkozó engedélyekkel.

Annak biztosítása érdekében, hogy az NVA üzembe helyezése megfelelő szintű engedélyekkel történjen, adjon további engedélyeket az Azure Marketplace üzembehelyezési szolgáltatásnévnek úgy, hogy a felügyelt alkalmazást egy felhasználó által hozzárendelt felügyelt identitással helyezi üzembe, amely rendelkezik engedélyekkel a Virtual WAN-központon és a hálózati virtuális berendezéssel használni kívánt nyilvános IP-címen. Ez a felhasználó által hozzárendelt felügyelt identitás csak a felügyelt erőforráscsoportban lévő erőforrások kezdeti üzembe helyezéséhez használatos, és kizárólag a felügyelt alkalmazás központi telepítésének kontextusában használatos.

Feljegyzés

Csak a felhasználó által hozzárendelt rendszeridentitások rendelhetők hozzá az Azure Managed Applicationshez, hogy hálózati virtuális berendezéseket telepítsenek a Virtual WAN Hubon. A rendszer által hozzárendelt identitások nem támogatottak.

  1. Hozzon létre egy új, felhasználó által hozzárendelt identitást. Az új felhasználó által hozzárendelt identitások létrehozásának lépéseit a felügyelt identitás dokumentációjában találja. Használhat egy meglévő, felhasználó által hozzárendelt identitást is.
  2. Rendeljen engedélyeket a felhasználó által hozzárendelt identitáshoz, hogy legalább a Szükséges engedélyek szakaszban leírt engedélyekkel rendelkezzen az NVA-szolgáltató által igényelt engedélyek mellett. A felhasználó által hozzárendelt identitásnak egy beépített Azure-szerepkört is megadhat, például a hálózati közreműködőt , amely a szükséges engedélyek egy részét tartalmazza.

Másik lehetőségként létrehozhat egy egyéni szerepkört is a következő mintadefinícióval, és hozzárendelheti az egyéni szerepkört a felhasználó által hozzárendelt felügyelt identitáshoz.

{  
"Name": "Virtual WAN NVA Operator", 
  "IsCustom": true,
  "Description": "Can perform deploy and manage NVAs in the Virtual WAN hub.",
  "Actions": [
    "Microsoft.Network/virtualHubs/read",
    "Microsoft.Network/publicIPAddresses/join",
    "Microsoft.Network/networkVirtualAppliances/*",
    "Microsoft.Network/networkVirtualAppliances/inboundSecurityRules/*"    
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscription where Virtual Hub and NVA is deployed}",
    "/subscriptions/{subscription where Public IP used for NVA is deployed}",
  ]
}

Az NVA üzembe helyezése

A következő szakasz a hálózati virtuális berendezés Azure Marketplace-beli felügyelt alkalmazással történő üzembe helyezésének lépéseit ismerteti.

  1. Lépjen a Virtual WAN-központra, és válassza a Hálózati virtuális berendezés lehetőséget a külső szolgáltatók alatt.

Képernyőkép arról, hogyan navigálhat az NVA menübe a Virtual WAN Hub alatt.

  1. Válassza a Hálózati virtuális berendezés létrehozása lehetőséget.

Képernyőkép az NVA létrehozásáról.

  1. Válassza ki az NVA-szállítót. Ebben a példában a "fortinet-ngfw" elem van kiválasztva, és válassza a Létrehozás lehetőséget. Ekkor a rendszer átirányítja az NVA-partner felügyelt Azure Marketplace-alkalmazására.

Képernyőkép az NVA-szállító kiválasztásáról.

  1. Kövesse a felügyelt alkalmazáslétrehozási felületet az NVA üzembe helyezéséhez, és hivatkozzon a szolgáltató dokumentációjára. Győződjön meg arról, hogy az előző szakaszban létrehozott felhasználó által hozzárendelt rendszeridentitás ki van választva a felügyelt alkalmazáslétrehozás munkafolyamatának részeként.

Gyakori üzembehelyezési hibák

Engedélyhibák

Feljegyzés

A LinkedAuthorizationFailedhez társított hibaüzenet csak egy hiányzó engedélyt jelenít meg. Ennek eredményeképpen előfordulhat, hogy a szolgáltatásnévhez, felügyelt identitáshoz vagy felhasználóhoz rendelt engedélyek frissítése után más hiányzó engedély jelenik meg.

  • Ha a LinkedAuthorizationFailed hibakódú hibaüzenet jelenik meg, a felügyelt alkalmazás központi telepítése során megadott felhasználó által hozzárendelt identitás nem rendelkezik a megfelelő engedélyekkel. A hiányzó engedélyek pontos leírását a hibaüzenet tartalmazza. Az alábbi példában ellenőrizze, hogy a felhasználó által hozzárendelt felügyelt identitás olvasási engedélyekkel rendelkezik-e azon a Virtual WAN-központon, amelyben az NVA-t telepíteni szeretné.
The client with object id '<>' does not have authorization to perform action 'Microsoft.Network/virtualHubs/read' over scope '/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>' or the scope is invalid. If access was recently granted, please refresh your credentials

Következő lépések