Nicola FerriniConfigurare le reti virtuali con Azure Virtual Network Manager (preview)
Azure Virtual Network Manager (AVNM) è un servizio di gestione delle reti virtuali Azure, attualmente in preview pubblica, che consente di raggruppare, configurare, distribuire e gestire reti virtuali a livello globale tra sottoscrizioni diverse. Con Azure Virtual Network Manager è possibile definire gruppi di rete per identificare e segmentare logicamente le reti virtuali ed è quindi possibile determinare le configurazioni di connettività e sicurezza desiderate e applicarle contemporaneamente a tutte le reti virtuali selezionate in gruppi di rete.
Azure Virtual Network Manager offre i seguenti vantaggi:
- Gestire centralmente i criteri di connettività e sicurezza a livello globale tra aree e sottoscrizioni.
- Abilitare la connettività diretta tra spoke in una configurazione hub-spoke senza la complessità della gestione di una rete mesh.
- Servizio altamente scalabile e a disponibilità elevata con ridondanza e replica in tutto il mondo.
- Possibilità di creare regole di sicurezza di rete che eseguono l’override delle regole del gruppo di sicurezza di rete.
- Bassa latenza e larghezza di banda elevata tra le risorse in reti virtuali diverse usando il peering di rete virtuale.
- Implementare le modifiche di rete tramite una sequenza di area specifica e la frequenza desiderata.
Come funziona Azure Virtual Network Manager
Durante il processo di creazione di Azure Virtual Manager si definisce l’ambito (scope) per la gestione di Azure Virtual Network Manager. Network Manager avrà solo l’accesso delegato per applicare le configurazioni all’interno di scope.
Dopo aver distribuito l’istanza di Azure Virtual Network Manager si crea un gruppo di rete che funge da contenitore logico di risorse di rete per applicare le configurazioni su larga scala. È possibile selezionare manualmente singole reti virtuali da aggiungere al gruppo di rete (appartenenza statica) o in alternativa, è possibile usare le Azure Policy per definire le condizioni che regolano l’appartenenza al gruppo in modo dinamico (appartenenza dinamica).
Successivamente si creano configurazioni di connettività e/o di sicurezza applicate a tali gruppi di rete in base alle esigenze di topologia e sicurezza. Una configurazione di connettività consente di creare una topologia di rete hub-spoke o mesh e di definire una raccolta di regole che è possibile applicare a uno o più gruppi di rete a livello globale. Dopo aver creato i gruppi di rete e le configurazioni desiderati è possibile distribuire le configurazioni in qualsiasi area scelta.
Figura 1: Funzionamento di Azure Virtual Network Manager
NOTA: Azure Virtual Network Manager è attualmente disponibile in anteprima pubblica. Questa versione di anteprima viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate.
Per attivare la funzionalità in Preview collegatevi al portale di Azure e selezionate la vostra sottoscrizione. Dal ramo Preview features selezionate la voce AllowAzureNetworkManager (filtrate le funzionalità per tipo Microsoft.Network per semplificare la ricerca) e fate clic su Register. Attendete qualche minuto che la funzionalità venga attivata.
Figura 2: Registrazione della funzionalità di Azure Virtual Network Manager
Attendete che lo stato della funzionalità sia Registered prima di proseguire.
Figura 3: Funzionalità di Azure Virtual Network Manager attivata
Cercate nel portale la voce Network Managers per configurare la risorsa. Fate clic su Create network manager per lanciare il wizard di creazione.
Figura 4: Creazione di un nuovo Azure Network Manager
Inserite le informazioni richieste scegliendo la Subscription, Il Resource Group, Il nome e la Region. Definite anche lo Scope per cui è possibile gestire Network Manager. In questo esempio verrà usato uno scope a livello di sottoscrizione.
Figura 5: Inserimento delle informazioni per la creazione del Network Manager e scelta dello scope di applicazione
Scegliete anche le funzionalità che desiderate abilitare per Azure Network Manager. Le funzionalità disponibili sono Connettivity e Security admin. Connettivity consente di creare una topologia di rete full mesh o hub e spoke tra reti virtuali all’interno dello scope scelto, mentre Security admin consente di creare regole di sicurezza di rete globali.
Figura 6: Scelta delle funzionalità del Network Manager
Figura 7: Schermata di riepilogo della creazione di Azure Network Manager
Figura 8: Schermata Overview di Azure Network Manager
Creazione delle Azure Virtual Network
In questa guida mostrerò come connettere e come gestire 3 reti virtuali in modalità MESH. Ho quindi creato 3 VNET, Chiamate VNETA,VNETB e VNETC.
Figura 9: Creazione di una VNET
Figura 10: Configurazioni della VNETA
Procedete alla creazione delle VNETB e VNETC.
Figura 11: Le 3 VNET sono state create
Creazione del network group in Azure Virtual Network Manager
Terminata la creazione delle VNET possiamo procedere alla creazione del gruppo di reti (Network Group) dall’interfaccia dell’Azure Network Manager. Un gruppo di rete è un contenitore globale che include un set di risorse di rete virtuale da qualsiasi area. Le configurazioni vengono quindi applicate al gruppo di rete di destinazione, che applica la configurazione a tutti i membri del gruppo.
L’appartenenza al gruppo è una relazione molti-a-molti, in modo che un gruppo contenga molte reti virtuali e qualsiasi rete virtuale specificata possa partecipare a più gruppi di rete. Come parte di un gruppo di rete, la rete virtuale riceverà tutte le configurazioni applicate al gruppo e distribuite nell’area reti virtuali.
Come già scritto in precedenza, una rete virtuale può essere impostata per aggiungere un gruppo di rete in più modi. I due tipi sono appartenenze ai gruppi sono appartenenze statiche e dinamiche.
L’appartenenza statica, che è quella che utilizzeremo noi, consente di aggiungere in modo esplicito reti virtuali a un gruppo selezionando manualmente singole reti virtuali. L’elenco delle reti virtuali dipende dall’ambito (gruppo di gestione o sottoscrizione) definito al momento della distribuzione di Azure Virtual Network Manager. L’appartenenza dinamica offre la flessibilità di selezione di più reti virtuali su larga scala se soddisfano le istruzioni condizionali definite. In base alle Azure Policy, l’appartenenza dinamica è utile per scenari in cui si dispone di un numero elevato di reti virtuali o se l’appartenenza è dettata da una condizione anziché da un elenco esplicito.
Figura 12: Creazione di un nuovo Network Group In Azure Virtual Network Manager
Figura 13: Network Group creato
Figura 14: Aggiunta statica delle reti virtual al network group
Figura 15: Scelta delle reti da aggiungere al network group
Figura 16: Reti virtuali aggiunte al network group
L’appartenenza dinamica al gruppo di reti può essere creata semplicemente utilizzando i tag associati alle diverse Virtual Network. AL momento della creazione del network group potrete scegliere infatti di creare una Azure Policy. Nella figura sotto sono mostrati i diversi passaggi per creare un’appartenenza dinamica che valuta il TAG che avete precedentemente associato ad una rete virtuale di Azure.
Figura 17: Creazione di un network group con assegnazione dinamica
Figura 18: Creazione di una Azure Policy per aggiungere dinamicamente le reti virtuali al network group
Figura 19: Esempio di condizioni valutate dalla Azure Policy
Creazione della connectivity configuration In Azure Virtual Network Manager
Dopo aver creato il gruppo di rete e avere le reti virtuali corrette, posiamo creare una configurazione della topologia di rete mesh. Selezionate il nodo Configurations in Network
Manager e cliccate su Create Connectivity Configuration.
Figura 20: Creazione di una nuova connectivity configuration
Figura 21: Nome della connectivity configuration
Nella scheda Topologia selezionare la topologia Mesh se non selezionata e lasciare deselezionata l’opzione Enable mesh connectivity across regions. La connettività tra aree non è necessaria per questa configurazione perché tutte le reti virtuali si trovano nella stessa area di Azure. Fate clic su + Add per aggiungere il network group creato in precedenza.
Figura 22: Impostazioni della connectivity configuration
Figura 23: Conferma delle impostazioni e creazione della nuova connectivity configuration
Figura 24: Creazione della nuova connectivity configuration completata
Distribuzione della connectivity configuration in Azure Virtual Network Manager
Per applicare le configurazioni all’ambiente, è necessario distribuirle. Selezionate Deployments in Azure Virtual Network Manager e fate clic su Deploy configurations.
Figura 25: Distribuzione della connectivity configuration
Figura 26: Scelta della connectivity configuration da distribuire
Figura 27: Impostazioni per la distribuzione della connectivity configuration
Figura 28: Distribuzione della connectivity configuration
Figura 29: Distribuzione della connectivity configuration completata con successo
Verificate nelle singole virtual network che la Connectivity configuration sia stata distribuita. Utilizzate il nodo Network Manager presente nel menu di configurazione della Virtual Network.
Figura 30: Connectivity configuration distribuita alla VNETA
Figura 31: Connectivity configuration distribuita alla VNETB
Figura 32: Connectivity configuration distribuita alla VNETC
Distribuzione di una Security Configuration in Azure Virtual Network Manager
Una security configuration permette di poter gestire e bloccare il traffico di rete, esattamente come avviene con i Network Security Group (NSG).
Cliccate sul nodo Configurations dell’Azure Virtual Network Manager e lanciate il wizard per la creazione di una nuova Network Configuration.
Figura 33: Creazione di una nuova security configuration
Nella scheda Basics immettete un nome per identificare questa configurazione di sicurezza e selezionate Next: Rules Collections.
Figura 34: Scheda Basics del wizard id creazione della security configuration di Azure Network Manager
Figura 35: Aggiunta di una nuova collezione di regole
Inserite un nome per identificare la raccolta regole e quindi selezionate i gruppi di rete di destinazione a cui applicare il set di regole. Fate clic su + Add per aggiungere una regola di sicurezza. Immettete le regole che preferite. Io ho scelto di permettere l’ingresso delle porte TCP 80 e 443 verso la VNETB.
Figura 36: Creazione delle regole di sicurezza
Aggiungete tutte le regole di sicurezza che ritenete opportune e fate clic su Add per procedere con il wizard.
Figura 37: Regole di sicurezza aggiunte
Figura 38: Fine del wizard per la creazione della security configuration
Figura 39: Creazione della Security configuration completata
Distribuzione della security configuration in Azure Virtual Network Manager
Dopo aver creato la security configuration siamo pronti per distribuirla alle reti virtuali, esattamente come abbiamo fatto prima per la connectivity configuration. Selezionate il nodo Deployments in Azure Virtual Network Manager e cliccate su Deploy configurations. Seguite il wizard di distribuizione, come mostrato nelle figure sotto:
Figura 40: Distribuzione della security configuration creata
Selezionate la casella di controllo Include security admin in your goal state e scegliete la configurazione di sicurezza creata prima dal menu a discesa. Scegliete quindi le Target regions in cui si vuole distribuire questa configurazione.
Figura 41: Scelta della security configuration da distribuire nelle regioni di Azure
Figura 42: Distribuzione della security configuration
Figura 43: Security configuration distribuita
A questo punto potete verificare che nel nodo Network Manager delle diverse Azure Virtual Network sia stata distribuita la security configuration, visualizzandola nella scheda Security admin configurations.
Figura 44: Security configuration distribuita alle VNET della region scelta
Verificate dalle impostazioni di rete di una macchina virtuale che si trova in una delle VNET a cui avete distribuito la security configuration che le regole siano state applicate correttamente. Come si può vedere dalla figura sotto, viene visualizzata una nuova sezione sotto le regole del Network Security Group della scheda di rete della VM, applicate da Azure Network Manager.
Figura 45: Azure Network Manager security configuration distribuita con successo
Figura 46: Le regole di amministrazione della sicurezza hanno la precedenza sulle regole definite dai Network Security Group
È possibile visualizzare il log attività per la risorsa di Azure Virtual Network Manager per visualizzare le modifiche apportate dall’utente o dall’amministratore di rete. Per visualizzare il log attività, passare alla risorsa di Network Manager nel portale di Azure e selezionate il nodo Activity Log.
Figura 47: Activity Log di Azure Virtual Network Manager
Conclusioni
Azure Virtual Network Manager permette di definire gruppi di reti virtuali da poter poi connettere tra di loro e gestire in maniera centralizzata. AVNM gestisce automaticamente la topologia desiderata definita nella configurazione della connettività e permette di creare regole di amministrazione della sicurezza per applicare criteri di sicurezza tra reti virtuali. Le regole di amministrazione della sicurezza hanno la precedenza sulle regole definite dai network security group. Questo permette di impedire che gli utenti aprano delle porte ad alto rischio, come ad esempio quelle di amministrazione remota, e di allontanare le minacce di sicurezza dovute a configurazioni sbagliate.