Rychlý start: Vytvoření služby Azure Firewall s několika veřejnými IP adresami – Terraform

V tomto rychlém startu použijete Terraform k nasazení služby Azure Firewall s několika veřejnými IP adresami z předpony veřejné IP adresy. Nasazená brána firewall obsahuje pravidla shromažďování pravidel NAT, která umožňují připojení RDP ke dvěma virtuálním počítačům s Windows Serverem 2019.

Terraform umožňuje definici, verzi Preview a nasazení cloudové infrastruktury. Pomocí Terraformu vytvoříte konfigurační soubory pomocí syntaxe HCL. Syntaxe seznamu HCL umožňuje zadat poskytovatele cloudu , například Azure, a prvky, které tvoří vaši cloudovou infrastrukturu. Po vytvoření konfiguračních souborů vytvoříte plán provádění, který vám umožní zobrazit náhled změn infrastruktury před jejich nasazením. Jakmile ověříte změny, použijete plán provádění k nasazení infrastruktury.

Další informace o službě Azure Firewall s několika veřejnými IP adresami najdete v tématu Nasazení služby Azure Firewall s několika veřejnými IP adresami pomocí Azure PowerShellu.

V tomto článku získáte informace o těchto tématech:

• Vytvoření náhodné hodnoty (která se použije v názvu skupiny prostředků) pomocí random_pet
• Vytvoření náhodného hesla pro virtuální počítač s Windows pomocí random_password
• Vytvoření skupiny prostředků Azure pomocí azurerm_resource_group
• Vytvoření předpony veřejné IP adresy Azure pomocí azurerm_public_ip_prefix
• Vytvoření veřejné IP adresy Azure pomocí azurerm_public_ip
• Vytvoření virtuální sítě Azure pomocí azurerm_virtual_network
• Vytvoření podsítě Azure pomocí azurerm_subnet
• Vytvoření síťového rozhraní pomocí azurerm_network_interface
• Vytvoření skupiny zabezpečení sítě (pro zahrnutí seznamu pravidel zabezpečení sítě) pomocí azurerm_network_security_group
• Vytvoření přidružení mezi síťovým rozhraním a skupinou zabezpečení sítě pomocí azurerm_network_interface_security_group_association
• Vytvoření virtuálního počítače s Windows pomocí azurerm_windows_virtual_machine
• Vytvoření zásad služby Azure Firewall pomocí azurerm_firewall_policy
• Vytvoření skupiny pravidel zásad služby Azure Firewall pomocí azurerm_firewall_policy_rule_collection_group
• Vytvoření brány Azure Firewall pomocí azurerm_firewall
• Vytvoření směrovací tabulky pomocí azurerm_route_table
• Vytvoření přidružení mezi směrovací tabulkou a podsítí pomocí azurerm_subnet_route_table_association

Požadavky

• Instalace a konfigurace Terraformu

Implementace kódu Terraformu

Poznámka:

Vzorový kód pro tento článek se nachází v úložišti GitHubu Azure Terraformu. Můžete zobrazit soubor protokolu obsahující výsledky testu z aktuálních a předchozích verzí Terraformu.

Další články a ukázkový kód ukazující použití Terraformu ke správě prostředků Azure

1. Vytvořte adresář, ve kterém otestujete ukázkový kód Terraformu a nastavíte ho jako aktuální adresář.

2. Vytvořte soubor s názvem providers.tf a vložte následující kód:

   terraform {
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
     }
   }
   
   provider "azurerm" {
     features {
       virtual_machine {
         delete_os_disk_on_deletion     = true
         skip_shutdown_and_force_delete = true
       }
     }
   }
   

3. Vytvořte soubor s názvem main.tf a vložte následující kód:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "random_password" "password" {
     count       = 2
     length      = 20
     min_lower   = 1
     min_upper   = 1
     min_numeric = 1
     min_special = 1
     special     = true
   }
   
   resource "azurerm_resource_group" "rg" {
     name     = random_pet.rg_name.id
     location = var.resource_group_location
   }
   
   resource "azurerm_public_ip_prefix" "pip_prefix" {
     name                = "pip-prefix"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     sku                 = "Standard"
     prefix_length       = 31
   }
   
   resource "azurerm_public_ip" "pip_azfw" {
     name                = "pip-azfw"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     sku                 = "Standard"
     allocation_method   = "Static"
     public_ip_prefix_id = azurerm_public_ip_prefix.pip_prefix.id
   }
   
   resource "azurerm_public_ip" "pip_azfw_2" {
     name                = "pip-azfw-1"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     sku                 = "Standard"
     allocation_method   = "Static"
     public_ip_prefix_id = azurerm_public_ip_prefix.pip_prefix.id
   }
   
   resource "azurerm_virtual_network" "azfw_vnet" {
     name                = "azfw-vnet"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     address_space       = ["10.10.0.0/16"]
   }
   
   resource "azurerm_subnet" "azfw_subnet" {
     name                 = "AzureFirewallSubnet"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.0.0/26"]
   }
   
   resource "azurerm_subnet" "backend_subnet" {
     name                 = "subnet-backend"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.1.0/24"]
   }
   
   resource "azurerm_network_interface" "backend_nic" {
     count               = 2
     name                = "nic-backend-${count.index + 1}"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   
     ip_configuration {
       name                          = "ipconfig-backend-${count.index + 1}"
       subnet_id                     = azurerm_subnet.backend_subnet.id
       private_ip_address_allocation = "Dynamic"
     }
   }
   
   resource "azurerm_network_security_group" "backend_nsg" {
     name                = "nsg-backend"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     security_rule {
       name                       = "RDP"
       priority                   = 300
       direction                  = "Inbound"
       access                     = "Allow"
       protocol                   = "Tcp"
       source_port_range          = "*"
       destination_port_range     = "3389"
       source_address_prefix      = "*"
       destination_address_prefix = "*"
     }
   }
   
   resource "azurerm_network_interface_security_group_association" "vm_backend_nsg_association" {
     count                     = 2
     network_interface_id      = azurerm_network_interface.backend_nic[count.index].id
     network_security_group_id = azurerm_network_security_group.backend_nsg.id
   }
   
   resource "azurerm_windows_virtual_machine" "vm_backend" {
     count                 = 2
     name                  = "vm-backend-${count.index + 1}"
     resource_group_name   = azurerm_resource_group.rg.name
     location              = azurerm_resource_group.rg.location
     size                  = var.virtual_machine_size
     admin_username        = var.admin_username
     admin_password        = random_password.password[count.index].result
     network_interface_ids = [azurerm_network_interface.backend_nic[count.index].id]
     os_disk {
       caching              = "ReadWrite"
       storage_account_type = "Standard_LRS"
     }
     source_image_reference {
       publisher = "MicrosoftWindowsServer"
       offer     = "WindowsServer"
       sku       = "2019-Datacenter"
       version   = "latest"
     }
   }
   
   resource "azurerm_firewall_policy" "azfw_policy" {
     name                     = "azfw-policy"
     resource_group_name      = azurerm_resource_group.rg.name
     location                 = azurerm_resource_group.rg.location
     sku                      = var.firewall_sku_tier
     threat_intelligence_mode = "Alert"
   }
   
   resource "azurerm_firewall_policy_rule_collection_group" "policy_rule_collection_group" {
     name               = "RuleCollectionGroup"
     firewall_policy_id = azurerm_firewall_policy.azfw_policy.id
     priority           = 300
     application_rule_collection {
       name     = "web"
       priority = 100
       action   = "Allow"
       rule {
         name = "wan-address"
         protocols {
           type = "Http"
           port = 80
         }
         protocols {
           type = "Https"
           port = 443
         }
         destination_fqdns = ["getmywanip.com"]
         source_addresses  = ["*"]
       }
       rule {
         name = "google"
         protocols {
           type = "Http"
           port = 80
         }
         protocols {
           type = "Https"
           port = 443
         }
         destination_fqdns = ["www.google.com"]
         source_addresses  = ["10.10.1.0/24"]
       }
       rule {
         name = "wupdate"
         protocols {
           type = "Http"
           port = 80
         }
         protocols {
           type = "Https"
           port = 443
         }
         destination_fqdn_tags = ["WindowsUpdate"]
         source_addresses      = ["*"]
       }
     }
     nat_rule_collection {
       name     = "Coll-01"
       action   = "Dnat"
       priority = 200
       rule {
         name                = "rdp-01"
         protocols           = ["TCP"]
         translated_address  = "10.10.1.4"
         translated_port     = "3389"
         source_addresses    = ["*"]
         destination_address = azurerm_public_ip.pip_azfw.ip_address
         destination_ports   = ["3389"]
       }
       rule {
         name                = "rdp-02"
         protocols           = ["TCP"]
         translated_address  = "10.10.1.5"
         translated_port     = "3389"
         source_addresses    = ["*"]
         destination_address = azurerm_public_ip.pip_azfw.ip_address
         destination_ports   = ["3389"]
       }
     }
   }
   
   resource "azurerm_firewall" "fw" {
     name                = "azfw"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     sku_name            = "AZFW_VNet"
     sku_tier            = var.firewall_sku_tier
     ip_configuration {
       name                 = "azfw-ipconfig"
       subnet_id            = azurerm_subnet.azfw_subnet.id
       public_ip_address_id = azurerm_public_ip.pip_azfw.id
     }
     ip_configuration {
       name                 = "azfw-ipconfig-2"
       public_ip_address_id = azurerm_public_ip.pip_azfw_2.id
     }
     firewall_policy_id = azurerm_firewall_policy.azfw_policy.id
   }
   
   resource "azurerm_route_table" "rt" {
     name                          = "rt-azfw-eus"
     location                      = azurerm_resource_group.rg.location
     resource_group_name           = azurerm_resource_group.rg.name
     disable_bgp_route_propagation = false
     route {
       name                   = "azfw"
       address_prefix         = "0.0.0.0/0"
       next_hop_type          = "VirtualAppliance"
       next_hop_in_ip_address = "10.10.0.4"
     }
   }
   
   resource "azurerm_subnet_route_table_association" "jump_subnet_rt_association" {
     subnet_id      = azurerm_subnet.backend_subnet.id
     route_table_id = azurerm_route_table.rt.id
   }
   

4. Vytvořte soubor s názvem variables.tf a vložte následující kód:

   variable "resource_group_location" {
     type        = string
     description = "Location for all resources."
     default     = "eastus"
   }
   
   variable "resource_group_name_prefix" {
     type        = string
     description = "Prefix for the Resource Group Name that's combined with a random id so name is unique in your Azure subcription."
     default     = "rg"
   }
   
   variable "firewall_sku_tier" {
     type        = string
     description = "Firewall SKU."
     default     = "Premium" # Valid values are Standard and Premium
     validation {
       condition     = contains(["Standard", "Premium"], var.firewall_sku_tier)
       error_message = "The SKU must be one of the following: Standard, Premium"
     }
   }
   
   variable "virtual_machine_size" {
     type        = string
     description = "Size of the virtual machine."
     default     = "Standard_D2_v3"
   }
   
   variable "admin_username" {
     type        = string
     description = "Value of the admin username."
     default     = "azureuser"
   }
   

5. Vytvořte soubor s názvem outputs.tf a vložte následující kód:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   output "backend_admin_password" {
     sensitive = true
     value     = azurerm_windows_virtual_machine.vm_backend[*].admin_password
   }
   

Inicializace Terraformu

Spuštěním inicializace nasazení Terraformu spusťte inicializaci terraformu. Tento příkaz stáhne poskytovatele Azure potřebného ke správě prostředků Azure.

terraform init -upgrade

Klíčové body:

• Parametr -upgrade upgraduje potřebné moduly plug-in zprostředkovatele na nejnovější verzi, která splňuje omezení verzí konfigurace.

Vytvoření plánu provádění Terraformu

Spuštěním plánu terraformu vytvořte plán provádění.

terraform plan -out main.tfplan

Klíčové body:

• Příkaz terraform plan vytvoří plán provádění, ale nespustí ho. Místo toho určuje, jaké akce jsou nezbytné k vytvoření konfigurace zadané v konfiguračních souborech. Tento model umožňuje ověřit, jestli plán provádění odpovídá vašim očekáváním, než provede jakékoli změny skutečných prostředků.
• Volitelný -out parametr umožňuje zadat výstupní soubor pro plán. Použití parametru -out zajišťuje, že plán, který jste zkontrolovali, je přesně to, co se použije.

Použití plánu provádění Terraformu

Spuštění terraformu platí pro použití plánu provádění na cloudovou infrastrukturu.

terraform apply main.tfplan

Klíčové body:

• terraform apply Ukázkový příkaz předpokládá, že jste dříve spustili terraform plan -out main.tfplan.
• Pokud jste pro -out parametr zadali jiný název souboru, použijte stejný název souboru při volání terraform apply.
• Pokud jste parametr nepoužíli -out , zavolejte terraform apply bez parametrů.

Ověření výsledků

Azure CLI

1. Získejte název skupiny prostředků Azure.

   resource_group_name=$(terraform output -raw resource_group_name)
   

2. Spuštěním příkazu az network ip-group list zobrazte dvě nové skupiny IP adres.

   az network ip-group list --resource-group $resource_group_name
   

Vyčištění prostředků

Pokud už prostředky vytvořené přes Terraform nepotřebujete, proveďte následující kroky:

1. Spusťte plán terraformu destroy a zadejte příznak.

   terraform plan -destroy -out main.destroy.tfplan
   

   Klíčové body:

   • Příkaz terraform plan vytvoří plán provádění, ale nespustí ho. Místo toho určuje, jaké akce jsou nezbytné k vytvoření konfigurace zadané v konfiguračních souborech. Tento model umožňuje ověřit, jestli plán provádění odpovídá vašim očekáváním, než provede jakékoli změny skutečných prostředků.
   • Volitelný -out parametr umožňuje zadat výstupní soubor pro plán. Použití parametru -out zajišťuje, že plán, který jste zkontrolovali, je přesně to, co se použije.

2. Spuštění terraformu platí pro použití plánu provádění.

   terraform apply main.destroy.tfplan
   

Řešení potíží s Terraformem v Azure

Řešení běžných problémů při používání Terraformu v Azure

Další kroky

Kurz: Nasazení a konfigurace služby Azure Firewall v hybridní síti pomocí webu Azure Portal