Schnellstart: Erstellen von Azure Firewall und IP-Adressgruppen: Terraform

In dieser Schnellstartanleitung wird mithilfe einer Terraform eine Azure Firewall-Instanz mit exemplarischen IP-Adressgruppen erstellt, die in einer Netzwerk- und in einer Anwendungsregel verwendet werden. Eine IP-Adressgruppe ist eine Ressource der obersten Ebene und ermöglicht es, IP-Adressen, Bereiche und Subnetze in einem einzelnen Objekt zu definieren und zu gruppieren. Eine IP-Adressgruppe ist bei der Verwaltung von IP-Adressen in Azure Firewall-Regeln hilfreich. IP-Adressen können entweder manuell eingegeben oder aus einer Datei importiert werden.

Mit Terraform können Sie eine Cloudinfrastruktur definieren, eine Vorschau der Cloudinfrastruktur anzeigen und die Cloudinfrastruktur bereitstellen. Terraform ermöglicht das Erstellen von Konfigurationsdateien mit HCL-Syntax. Mit der HCL-Syntax können Sie den Cloudanbieter (beispielsweise Azure) und die Elemente angeben, aus denen sich Ihre Cloudinfrastruktur zusammensetzt. Nach der Erstellung Ihrer Konfigurationsdateien erstellen Sie einen Ausführungsplan, mit dem Sie eine Vorschau Ihrer Infrastrukturänderungen anzeigen können, bevor diese bereitgestellt werden. Nach der Überprüfung der Änderungen wenden Sie den Ausführungsplan an, um die Infrastruktur bereitzustellen.

In diesem Artikel werden folgende Vorgehensweisen behandelt:

• Erstellen eines zufälligen Werts (der im Ressourcengruppennamen verwendet wird) mithilfe von random_pet
• Erstellen einer Azure-Ressourcengruppe mithilfe von azurerm_resource_group
• Erstellen Sie mit random_password ein zufälliges Kennwort für die Windows-VMs.
• Erstellen eines zufälligen Werts (der als Speichername verwendet werden soll) mithilfe von random_string
• Erstellen einer öffentlichen Azure-IP-Adresse mit azurerm_public_ip
• Erstellen eines Azure Storage-Kontos mit azurerm_storage_account
• Erstellen einer Azure-Firewallrichtlinie mithilfe von azurerm_firewall_policy
• Erstellen einer Auflistung für Azure-Firewallrichtlinien mithilfe von azurerm_firewall_policy_rule_collection_group
• Erstellen einer Azure-Firewall mithilfe von azurerm_firewall
• Erstellen einer Azure-IP-Gruppe mithilfe von azurerm_ip_group
• Erstellen eines virtuellen Azure-Netzwerks mithilfe von azurerm_virtual_network
• Erstellen von drei Azure-Subnetzen mithilfe von azurerm_subnet
• Erstellen einer Netzwerkschnittstelle mithilfe von azurerm_network_interface
• Erstellen einer Netzwerksicherheitsgruppe (zur Aufnahme einer Liste von Netzwerksicherheitsregeln) mithilfe von azurerm_network_security_group
• Erstellen Sie mithilfe von azurerm_network_interface_security_group_association eine Zuordnung zwischen der Netzwerkschnittstelle und der Netzwerksicherheitsgruppe
• Erstellen eine Azure Linux-VM mit azurerm_linux_virtual_machine
• Erstellen einer Routingtabelle mithilfe von azurerm_route_table
• Erstellen einer Zuordnung zwischen der Routentabelle und dem Subnetz mithilfe von azurerm_subnet_route_table_association
• Erstellen Sie eine AzAPI-Ressource azapi_resource.
• Erstellen Sie eine AzAPI-Ressource, um mithilfe von azapi_resource_action ein SSH-Schlüsselpaar zu generieren.

Voraussetzungen

• Installieren und Konfigurieren von Terraform

Implementieren des Terraform-Codes

Hinweis

Der Beispielcode für diesen Artikel befindet sich im Azure Terraform-GitHub-Repository. Sie können die Protokolldatei anzeigen, die die Testergebnisse von aktuellen und früheren Terraform-Versionen enthält.

Betrachten Sie die weiteren Artikel und Beispielcodes zur Verwendung von Terraform zum Verwalten von Azure-Ressourcen.

1. Erstellen Sie ein Verzeichnis, in dem der Terraform-Beispielcode getestet werden soll, und legen Sie es als aktuelles Verzeichnis fest.

2. Erstellen Sie eine Datei namens providers.tf, und fügen Sie den folgenden Code ein:

   terraform {
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
       azapi = {
         source  = "azure/azapi"
         version = "~>1.5"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

3. Erstellen Sie eine Datei namens ssh.tf, und fügen Sie den folgenden Code ein:

   resource "random_pet" "ssh_key_name" {
     prefix    = "ssh"
     separator = ""
   }
   
   resource "azapi_resource_action" "ssh_public_key_gen" {
     type        = "Microsoft.Compute/sshPublicKeys@2022-11-01"
     resource_id = azapi_resource.ssh_public_key.id
     action      = "generateKeyPair"
     method      = "POST"
   
     response_export_values = ["publicKey", "privateKey"]
   }
   
   resource "azapi_resource" "ssh_public_key" {
     type      = "Microsoft.Compute/sshPublicKeys@2022-11-01"
     name      = random_pet.ssh_key_name.id
     location  = azurerm_resource_group.rg.location
     parent_id = azurerm_resource_group.rg.id
   }
   
   output "key_data" {
     value = azapi_resource_action.ssh_public_key_gen.output.publicKey
   }
   

4. Erstellen Sie eine Datei namens main.tf, und fügen Sie den folgenden Code ein:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "random_string" "storage_account_name" {
     length  = 8
     lower   = true
     numeric = false
     special = false
     upper   = false
   }
   
   resource "random_password" "password" {
     length      = 20
     min_lower   = 1
     min_upper   = 1
     min_numeric = 1
     min_special = 1
     special     = true
   }
   
   resource "azurerm_resource_group" "rg" {
     name     = random_pet.rg_name.id
     location = var.resource_group_location
   }
   
   resource "azurerm_public_ip" "pip_azfw" {
     name                = "pip-azfw"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     allocation_method   = "Static"
     sku                 = "Standard"
   }
   
   resource "azurerm_storage_account" "sa" {
     name                     = random_string.storage_account_name.result
     resource_group_name      = azurerm_resource_group.rg.name
     location                 = azurerm_resource_group.rg.location
     account_tier             = "Standard"
     account_replication_type = "LRS"
     account_kind             = "StorageV2"
   }
   
   resource "azurerm_firewall_policy" "azfw_policy" {
     name                     = "azfw-policy"
     resource_group_name      = azurerm_resource_group.rg.name
     location                 = azurerm_resource_group.rg.location
     sku                      = var.firewall_sku_tier
     threat_intelligence_mode = "Alert"
   }
   
   resource "azurerm_firewall_policy_rule_collection_group" "prcg" {
     name               = "prcg"
     firewall_policy_id = azurerm_firewall_policy.azfw_policy.id
     priority           = 300
     application_rule_collection {
       name     = "app-rule-collection-1"
       priority = 101
       action   = "Allow"
       rule {
         name = "someAppRule"
         protocols {
           type = "Https"
           port = 443
         }
         destination_fqdns = ["*bing.com"]
         source_ip_groups  = [azurerm_ip_group.ip_group_1.id]
       }
     }
     network_rule_collection {
       name     = "net-rule-collection-1"
       priority = 200
       action   = "Allow"
       rule {
         name                  = "someNetRule"
         protocols             = ["TCP", "UDP", "ICMP"]
         source_ip_groups      = [azurerm_ip_group.ip_group_1.id]
         destination_ip_groups = [azurerm_ip_group.ip_group_2.id]
         destination_ports     = ["90"]
       }
     }
   }
   
   resource "azurerm_firewall" "fw" {
     name                = "azfw"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     sku_name            = "AZFW_VNet"
     sku_tier            = var.firewall_sku_tier
     ip_configuration {
       name                 = "azfw-ipconfig"
       subnet_id            = azurerm_subnet.azfw_subnet.id
       public_ip_address_id = azurerm_public_ip.pip_azfw.id
     }
     firewall_policy_id = azurerm_firewall_policy.azfw_policy.id
   }
   
   resource "azurerm_ip_group" "ip_group_1" {
     name                = "ip-group_1"
     resource_group_name = azurerm_resource_group.rg.name
     location            = azurerm_resource_group.rg.location
     cidrs               = ["13.73.64.64/26", "13.73.208.128/25", "52.126.194.0/23"]
   }
   resource "azurerm_ip_group" "ip_group_2" {
     name                = "ip_group_2"
     resource_group_name = azurerm_resource_group.rg.name
     location            = azurerm_resource_group.rg.location
     cidrs               = ["12.0.0.0/24", "13.9.0.0/24"]
   }
   
   resource "azurerm_virtual_network" "azfw_vnet" {
     name                = "azfw-vnet"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     address_space       = ["10.10.0.0/16"]
   }
   
   resource "azurerm_subnet" "azfw_subnet" {
     name                 = "AzureFirewallSubnet"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.0.0/26"]
   }
   
   resource "azurerm_subnet" "server_subnet" {
     name                 = "subnet-server"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.1.0/24"]
   }
   
   resource "azurerm_subnet" "jump_subnet" {
     name                 = "subnet-jump"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.2.0/24"]
   }
   
   resource "azurerm_public_ip" "vm_jump_pip" {
     name                = "pip-jump"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     allocation_method   = "Static"
     sku                 = "Standard"
   }
   
   resource "azurerm_network_interface" "vm_server_nic" {
     name                = "nic-server"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   
     ip_configuration {
       name                          = "ipconfig-workload"
       subnet_id                     = azurerm_subnet.server_subnet.id
       private_ip_address_allocation = "Dynamic"
     }
   }
   
   resource "azurerm_network_interface" "vm_jump_nic" {
     name                = "nic-jump"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   
     ip_configuration {
       name                          = "ipconfig-jump"
       subnet_id                     = azurerm_subnet.jump_subnet.id
       private_ip_address_allocation = "Dynamic"
       public_ip_address_id          = azurerm_public_ip.vm_jump_pip.id
     }
   }
   
   resource "azurerm_network_security_group" "vm_server_nsg" {
     name                = "nsg-server"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   }
   
   resource "azurerm_network_security_group" "vm_jump_nsg" {
     name                = "nsg-jump"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     security_rule {
       name                       = "Allow-SSH"
       priority                   = 1000
       direction                  = "Inbound"
       access                     = "Allow"
       protocol                   = "Tcp"
       source_port_range          = "*"
       destination_port_range     = "22"
       source_address_prefix      = "*"
       destination_address_prefix = "*"
     }
   }
   
   resource "azurerm_network_interface_security_group_association" "vm_server_nsg_association" {
     network_interface_id      = azurerm_network_interface.vm_server_nic.id
     network_security_group_id = azurerm_network_security_group.vm_server_nsg.id
   }
   
   resource "azurerm_network_interface_security_group_association" "vm_jump_nsg_association" {
     network_interface_id      = azurerm_network_interface.vm_jump_nic.id
     network_security_group_id = azurerm_network_security_group.vm_jump_nsg.id
   }
   
   resource "azurerm_linux_virtual_machine" "vm_server" {
     name                = "server-vm"
     resource_group_name = azurerm_resource_group.rg.name
     location            = azurerm_resource_group.rg.location
     size                = var.virtual_machine_size
     admin_username      = var.admin_username
     admin_ssh_key {
       username   = var.admin_username
       public_key = azapi_resource_action.ssh_public_key_gen.output.publicKey
     }
     network_interface_ids = [azurerm_network_interface.vm_server_nic.id]
     os_disk {
       caching              = "ReadWrite"
       storage_account_type = "Standard_LRS"
     }
     source_image_reference {
       publisher = "Canonical"
       offer     = "UbuntuServer"
       sku       = "18.04-LTS"
       version   = "latest"
     }
     boot_diagnostics {
       storage_account_uri = azurerm_storage_account.sa.primary_blob_endpoint
     }
   }
   
   resource "azurerm_linux_virtual_machine" "vm_jump" {
     name                  = "jump-vm"
     resource_group_name   = azurerm_resource_group.rg.name
     location              = azurerm_resource_group.rg.location
     size                  = var.virtual_machine_size
     network_interface_ids = [azurerm_network_interface.vm_jump_nic.id]
     admin_username        = var.admin_username
     os_disk {
       caching              = "ReadWrite"
       storage_account_type = "Standard_LRS"
     }
     admin_ssh_key {
       username   = var.admin_username
       public_key = azapi_resource_action.ssh_public_key_gen.output.publicKey
     }
     source_image_reference {
       publisher = "Canonical"
       offer     = "UbuntuServer"
       sku       = "18.04-LTS"
       version   = "latest"
     }
     boot_diagnostics {
       storage_account_uri = azurerm_storage_account.sa.primary_blob_endpoint
     }
     computer_name = "JumpBox"
   
   }
   
   resource "azurerm_route_table" "rt" {
     name                          = "rt-azfw-eus"
     location                      = azurerm_resource_group.rg.location
     resource_group_name           = azurerm_resource_group.rg.name
     disable_bgp_route_propagation = false
     route {
       name                   = "azfwDefaultRoute"
       address_prefix         = "0.0.0.0/0"
       next_hop_type          = "VirtualAppliance"
       next_hop_in_ip_address = azurerm_firewall.fw.ip_configuration[0].private_ip_address
     }
   }
   
   resource "azurerm_subnet_route_table_association" "server_subnet_rt_association" {
     subnet_id      = azurerm_subnet.server_subnet.id
     route_table_id = azurerm_route_table.rt.id
   }
   

5. Erstellen Sie eine Datei namens variables.tf, und fügen Sie den folgenden Code ein:

   variable "resource_group_location" {
     type        = string
     description = "Location for all resources."
     default     = "eastus"
   }
   
   variable "resource_group_name_prefix" {
     type        = string
     description = "Prefix for the Resource Group Name that's combined with a random id so name is unique in your Azure subcription."
     default     = "rg"
   }
   
   variable "firewall_sku_tier" {
     type        = string
     description = "Firewall SKU."
     default     = "Premium" # Valid values are Standard and Premium
     validation {
       condition     = contains(["Standard", "Premium"], var.firewall_sku_tier)
       error_message = "The SKU must be one of the following: Standard, Premium"
     }
   }
   
   variable "virtual_machine_size" {
     type        = string
     description = "Size of the virtual machine."
     default     = "Standard_D2_v3"
   }
   
   variable "admin_username" {
     type        = string
     description = "Value of the admin username."
     default     = "azureuser"
   }
   

6. Erstellen Sie eine Datei namens outputs.tf, und fügen Sie den folgenden Code ein:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   
   output "firewall_name" {
     value = azurerm_firewall.fw.name
   }
   

Initialisieren von Terraform

Führen Sie zum Initialisieren der Terraform-Bereitstellung terraform init aus. Mit diesem Befehl wird der Azure-Anbieter heruntergeladen, der zum Verwalten Ihrer Azure-Ressourcen erforderlich ist.

terraform init -upgrade

Die wichtigsten Punkte:

• Der Parameter -upgrade aktualisiert die erforderlichen Anbieter-Plug-Ins auf die neueste Version, die den Versionseinschränkungen der Konfiguration entspricht.

Erstellen eines Terraform-Ausführungsplans

Führen Sie terraform plan aus, um einen Ausführungsplan zu erstellen.

terraform plan -out main.tfplan

Die wichtigsten Punkte:

• Durch den Befehl terraform plan wird ein Ausführungsplan erstellt, aber nicht ausgeführt. Stattdessen werden die Aktionen ermittelt, die erforderlich sind, um die in Ihren Konfigurationsdateien angegebene Konfiguration zu erstellen. Mit diesem Muster können Sie überprüfen, ob der Ausführungsplan Ihren Erwartungen entspricht, bevor Sie Änderungen an den eigentlichen Ressourcen vornehmen.
• Der optionale Parameter -out ermöglicht die Angabe einer Ausgabedatei für den Plan. Durch die Verwendung des Parameters -out wird sichergestellt, dass genau der von Ihnen überprüfte Plan angewendet wird.

Anwenden eines Terraform-Ausführungsplans

Führen Sie terraform apply aus, um den Ausführungsplan auf Ihre Cloudinfrastruktur anzuwenden.

terraform apply main.tfplan

Die wichtigsten Punkte:

• Der Beispielbefehl terraform apply setzt voraus, dass Sie zuvor terraform plan -out main.tfplan ausgeführt haben.
• Wenn Sie einen anderen Dateinamen für den Parameter -out angegeben haben, verwenden Sie denselben Dateinamen im Aufruf von terraform apply.
• Wenn Sie den Parameter -out nicht verwendet haben, rufen Sie terraform apply ohne Parameter auf.

Überprüfen der Ergebnisse

Azure-Befehlszeilenschnittstelle

1. Rufen Sie den Namen der Azure-Ressourcengruppe ab.

   resource_group_name=$(terraform output -raw resource_group_name)
   

2. Führen Sie az network ip-group list aus, um die beiden neuen IP-Gruppen anzuzeigen.

   az network ip-group list --resource-group $resource_group_name
   

Bereinigen von Ressourcen

Wenn Sie die über Terraform erstellten Ressourcen nicht mehr benötigen, führen Sie die folgenden Schritte aus:

1. Führen Sie terraform plan aus, und geben Sie das Flag destroy an.

   terraform plan -destroy -out main.destroy.tfplan
   

   Die wichtigsten Punkte:

   • Durch den Befehl terraform plan wird ein Ausführungsplan erstellt, aber nicht ausgeführt. Stattdessen werden die Aktionen ermittelt, die erforderlich sind, um die in Ihren Konfigurationsdateien angegebene Konfiguration zu erstellen. Mit diesem Muster können Sie überprüfen, ob der Ausführungsplan Ihren Erwartungen entspricht, bevor Sie Änderungen an den eigentlichen Ressourcen vornehmen.
   • Der optionale Parameter -out ermöglicht die Angabe einer Ausgabedatei für den Plan. Durch die Verwendung des Parameters -out wird sichergestellt, dass genau der von Ihnen überprüfte Plan angewendet wird.

2. Führen Sie zum Anwenden des Ausführungsplans den Befehl terraform apply aus.

   terraform apply main.destroy.tfplan
   

Problembehandlung für Terraform in Azure

Behandeln allgemeiner Probleme bei der Verwendung von Terraform in Azure

Nächste Schritte

Tutorial: Bereitstellen und Konfigurieren von Azure Firewall in einem Hybridnetzwerk über das Azure-Portal