Microsoft.Network networkSecurityGroups 2023-04-01
Bicep-Ressourcendefinition
Der Ressourcentyp networkSecurityGroups kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Bereitstellungsbefehle für Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie im Änderungsprotokoll.
Hinweise
Eine Anleitung zum Erstellen von Netzwerksicherheitsgruppen finden Sie unter Create virtuellen Netzwerkressourcen mithilfe von Bicep.
Ressourcenformat
Um eine Microsoft.Network/networkSecurityGroups-Ressource zu erstellen, fügen Sie ihrer Vorlage den folgenden Bicep hinzu.
resource symbolicname 'Microsoft.Network/networkSecurityGroups@2023-04-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
flushConnection: bool
securityRules: [
{
id: 'string'
name: 'string'
properties: {
access: 'string'
description: 'string'
destinationAddressPrefix: 'string'
destinationAddressPrefixes: [
'string'
]
destinationApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
destinationPortRange: 'string'
destinationPortRanges: [
'string'
]
direction: 'string'
priority: int
protocol: 'string'
sourceAddressPrefix: 'string'
sourceAddressPrefixes: [
'string'
]
sourceApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
sourcePortRange: 'string'
sourcePortRanges: [
'string'
]
}
type: 'string'
}
]
}
}
Eigenschaftswerte
networkSecurityGroups
Name | BESCHREIBUNG | Wert |
---|---|---|
name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 1-80 Gültige Zeichen: Alphanumerische Zeichen, Unterstriche, Punkte und Bindestriche. Beginnen Sie mit einem alphanumerischen Zeichen. Enden Sie mit einem alphanumerischen Zeichen oder einem Unterstrich. |
location | Ressourcenspeicherort | Zeichenfolge |
tags | Ressourcentags. | Wörterbuch der Tagnamen und -werte. Weitere Informationen finden Sie unter Tags in Vorlagen. |
properties | Eigenschaften der Netzwerksicherheitsgruppe. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
Name | BESCHREIBUNG | Wert |
---|---|---|
flushConnection | Wenn diese Option aktiviert ist, werden Flows, die über Netzwerksicherheitsgruppenverbindungen erstellt wurden, neu ausgewertet, wenn Regeln aktualisiert werden. Die anfängliche Aktivierung löst eine erneute Auswertung aus. | bool |
securityRules | Eine Sammlung von Sicherheitsregeln der Netzwerksicherheitsgruppe. | SecurityRule[] |
SecurityRule
Name | BESCHREIBUNG | Wert |
---|---|---|
id | Ressourcen-ID | Zeichenfolge |
name | Der Name der Ressource, die innerhalb einer Ressourcengruppe eindeutig ist. Dieser Name kann für den Zugriff auf die Ressource verwendet werden. | Zeichenfolge |
properties | Eigenschaften der Sicherheitsregel. | SecurityRulePropertiesFormat |
Typ | Der Typ der Ressource. | Zeichenfolge |
SecurityRulePropertiesFormat
Name | BESCHREIBUNG | Wert |
---|---|---|
access | Der Netzwerkdatenverkehr wird zugelassen oder verweigert. | "Zulassen" "Verweigern" (erforderlich) |
description | Eine Beschreibung für diese Regel. Auf 140 Zeichen beschränkt. | Zeichenfolge |
destinationAddressPrefix | Das Zieladresspräfix. CIDR oder Ziel-IP-Bereich. Das Sternchen '*' kann auch verwendet werden, um alle Quell-IPs abzugleichen. Standardtags wie "VirtualNetwork", "AzureLoadBalancer" und "Internet" können ebenfalls verwendet werden. | Zeichenfolge |
destinationAddressPrefixes | Die Zieladresspräfixe. CIDR- oder Ziel-IP-Bereiche. | string[] |
destinationApplicationSecurityGroups | Die als Ziel angegebene Anwendungssicherheitsgruppe. | ApplicationSecurityGroup[] |
destinationPortRange | Der Zielport oder -bereich. Ganze Zahl oder Bereich zwischen 0 und 65535. Das Sternchen "*" kann auch verwendet werden, um alle Ports abzugleichen. | Zeichenfolge |
destinationPortRanges | Die Zielportbereiche. | string[] |
direction | Die Richtung der Regel. Die Richtung gibt an, ob die Regel bei eingehendem oder ausgehendem Datenverkehr ausgewertet wird. | "Eingehender Eingang" "Ausgehend" (erforderlich) |
priority | Die Priorität der Regel. Der Wert kann zwischen 100 und 4096 sein. Die Prioritätsnummer muss für jede Regel in der Auflistung eindeutig sein. Je niedrigere die Prioritätsnummer ist, desto höher ist die Priorität der Regel. | int (erforderlich) |
Protokoll | Netzwerkprotokoll, für das diese Regel gilt. | '*' "Ah" "Esp" "Icmp" "TCP" "Udp" (erforderlich) |
sourceAddressPrefix | Der CIDR- oder Quell-IP-Bereich. Das Sternchen '*' kann auch verwendet werden, um alle Quell-IPs abzugleichen. Standardtags wie "VirtualNetwork", "AzureLoadBalancer" und "Internet" können ebenfalls verwendet werden. Wenn es sich um eine Eingangsregel handelt, gibt an, woher der Netzwerkdatenverkehr stammt. | Zeichenfolge |
sourceAddressPrefixes | Der CIDR- oder Quell-IP-Bereich. | string[] |
sourceApplicationSecurityGroups | Die als Quelle angegebene Anwendungssicherheitsgruppe. | ApplicationSecurityGroup[] |
sourcePortRange | Der Quellport oder -bereich. Ganze Zahl oder Bereich zwischen 0 und 65535. Das Sternchen "*" kann auch verwendet werden, um alle Ports abzugleichen. | Zeichenfolge |
sourcePortRanges | Der Quellportbereich. | string[] |
ApplicationSecurityGroup
Name | BESCHREIBUNG | Wert |
---|---|---|
id | Ressourcen-ID | Zeichenfolge |
location | Ressourcenspeicherort | Zeichenfolge |
properties | Eigenschaften der Anwendungssicherheitsgruppe. | ApplicationSecurityGroupPropertiesFormat |
tags | Ressourcentags. | Objekt (object) |
ApplicationSecurityGroupPropertiesFormat
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.
Schnellstartvorlagen
Diesen Ressourcentyp werden in den folgenden Schnellstartvorlagen bereitgestellt.
Vorlage | BESCHREIBUNG |
---|---|
Verwaltete Azure-Active Directory Domain Services |
Diese Vorlage stellt einen verwalteten Azure-Active Directory-Domäne-Dienst mit den erforderlichen VNET- und NSG-Konfigurationen bereit. |
AKS-Cluster mit Application Gateway Eingangscontroller |
In diesem Beispiel wird gezeigt, wie Sie einen AKS-Cluster mit Application Gateway, Application Gateway Eingangscontroller, Azure Container Registry, Log Analytics und Key Vault |
App Gateway mit WAF-, SSL-, IIS- und HTTPS-Umleitung |
Diese Vorlage stellt eine Application Gateway mit WAF, End-to-End-SSL und HTTP-zu-HTTPS-Umleitung auf den IIS-Servern bereit. |
Create eines IPv6-Application Gateway |
Mit dieser Vorlage wird ein Anwendungsgateway mit einem IPv6-Front-End in einem virtuellen Dual-Stack-Netzwerk erstellt. |
Anwendungssicherheitsgruppen |
In dieser Vorlage wird gezeigt, wie Sie die Teile zum Schützen von Workloads mithilfe von NSGs mit Application Security Gruppen zusammenstellen. Es wird eine Linux-VM mit NGINX bereitgestellt, und durch die Verwendung von Applicaton Security Gruppen in Network Security Gruppen wir den Zugriff auf die Ports 22 und 80 auf eine VM zulassen, die der Anwendungssicherheitsgruppe namens webServersAsg zugewiesen ist. |
Azure Bastion as a Service mit NSG |
Diese Vorlage stellt Azure Bastion in einer Virtual Network |
Verwenden von Azure Firewall als DNS-Proxy in einer Hub & Spoke-Topologie |
In diesem Beispiel wird gezeigt, wie Eine Hub-Spoke-Topologie in Azure mithilfe der Azure Firewall bereitgestellt wird. Das virtuelle Hubnetzwerk fungiert als zentraler Verbindungspunkt für viele virtuelle Spoke-Netzwerke, die über das Peering virtueller Netzwerke mit dem virtuellen Hubnetzwerk verbunden sind. |
Create Sandbox von Azure Firewall, Client-VM und Server-VM |
Diese Vorlage erstellt ein virtuelles Netzwerk mit 2 Subnetzen (Serversubnetz und AzureFirewall-Subnetz), einer Server-VM, einer Client-VM, einer öffentlichen IP-Adresse für jeden virtuellen Computer und einer Routingtabelle zum Senden von Datenverkehr zwischen VMs über die Firewall. |
Create einer Firewall, FirewallPolicy mit explizitem Proxy |
Diese Vorlage erstellt eine Azure Firewall, FirewalllPolicy mit explizitem Proxy und Netzwerkregeln mit IpGroups. Enthält auch ein Linux Jumpbox-VM-Setup |
Create einer Firewall mit FirewallPolicy und IpGroups |
Diese Vorlage erstellt eine Azure Firewall mit FirewalllPolicy, die auf Netzwerkregeln mit IpGroups verweist. Enthält auch ein Linux Jumpbox-VM-Setup |
Erstellen einer Azure Firewall mit IpGroups |
Diese Vorlage erstellt eine Azure Firewall mit Anwendungs- und Netzwerkregeln, die auf IP-Gruppen verweisen. Enthält auch ein Linux Jumpbox-VM-Setup |
Create einer Azure Firewall Sandbox mit Tunnelerzwingung |
Diese Vorlage erstellt eine Azure Firewall Sandbox (Linux) mit einer Firewallzwinge, die durch eine andere Firewall in einem Peering-VNET getunnelt wird. |
Create ein Sandbox-Setup von Azure Firewall mit Linux-VMs |
Diese Vorlage erstellt ein virtuelles Netzwerk mit 3 Subnetzen (Serversubnetz, Jumpbox-Subet und AzureFirewall-Subnetz), eine Jumpbox-VM mit öffentlicher IP, eine Server-VM, eine UDR-Route, die auf Azure Firewall für das Serversubnetz verweist, und ein Azure Firewall mit mindestens 1 öffentlichen IP-Adressen, 1 Beispielanwendungsregel, 1 Beispielnetzwerkregel und privaten Standardbereichen |
Create eines Sandbox-Setups mit Firewallrichtlinie |
Diese Vorlage erstellt ein virtuelles Netzwerk mit 3 Subnetzen (Serversubnetz, Jumpbox-Subet und AzureFirewall-Subnetz), eine Jumpbox-VM mit öffentlicher IP, eine Server-VM, eine UDR-Route, die auf Azure Firewall für das Serversubnetz verweist, und eine Azure Firewall mit mindestens 1 öffentlichen IP-Adressen. Erstellt außerdem eine Firewallrichtlinie mit 1 Beispielanwendungsregel, 1 Beispielnetzwerkregel und privaten Standardbereichen |
Erstellen einer Sandboxeinrichtung von Azure Firewall mit Zonen |
Diese Vorlage erstellt ein virtuelles Netzwerk mit drei Subnetzen (Serversubnetz, Jumpbox-Subnetz und Azure Firewall Subnetz), eine Jumpbox-VM mit öffentlicher IP, eine Server-VM, eine UDR-Route, die auf Azure Firewall für das ServerSubnet verweist, ein Azure Firewall mit mindestens einer öffentlichen IP-Adresse, einer Beispielanwendungsregel und einer Beispielnetzwerkregel und Azure Firewall in Verfügbarkeitszonen 1, 2 und 3. |
ExpressRoute-Verbindung mit privatem Peering und Azure-VNET |
In dieser Vorlage wird das ExpressRoute-Microsoft-Peering konfiguriert, ein Azure-VNet mit Expressroute-Gateway bereitgestellt und das VNET mit der ExpressRoute-Verbindung verknüpft. |
Create Azure Front Door vor Azure API Management |
In diesem Beispiel wird veranschaulicht, wie Sie Azure Front Door als globalen Lastenausgleich vor Azure API Management verwenden. |
Erstellen einer Azure Firewall-Instanz mit mehreren öffentlichen IP-Adressen |
Mit dieser Vorlage wird ein Azure Firewall mit zwei öffentlichen IP-Adressen und zwei zu testenden Windows Server 2019-Servern erstellt. |
Geschützte virtuelle Hubs |
Mit dieser Vorlage wird ein geschützter virtueller Hub erstellt, der Azure Firewall verwendet, um den Datenverkehr Ihres Cloudnetzwerks für das Internet zu schützen. |
Erstellen eines regionsübergreifenden Lastenausgleichs |
Diese Vorlage erstellt einen regionsübergreifenden Lastenausgleich mit einem Back-End-Pool mit zwei regionalen Lastenausgleichsmodulen. Regionsübergreifender Lastenausgleich ist derzeit in begrenzten Regionen verfügbar. Die regionalen Lastenausgleichsmodule hinter dem regionsübergreifenden Lastenausgleich können sich in jeder Region befinden. |
Load Balancer Standard mit Back-End-Pool nach IP-Adressen |
Diese Vorlage wird verwendet, um zu veranschaulichen, wie ARM-Vorlagen verwendet werden können, um den Back-End-Pool eines Load Balancer nach IP-Adresse zu konfigurieren, wie im Verwaltungsdokument des Back-End-Pools beschrieben. |
Create eines Lastenausgleichs mit einer öffentlichen IPv6-Adresse |
Diese Vorlage erstellt einen Lastenausgleich mit Internetzugriff mit einer öffentlichen IPv6-Adresse, Lastenausgleichsregeln und zwei VMs für den Back-End-Pool. |
Erstellen einer Load Balancer Standard-Instanz |
Diese Vorlage erstellt einen Lastenausgleich mit Internetzugriff, Lastenausgleichsregeln und drei VMs für den Back-End-Pool mit jeder VM in einer redundanten Zone. |
Virtual Network NAT mit VM |
Bereitstellen eines NAT-Gateways und eines virtuellen Computers |
Anwenden einer NSG auf ein vorhandenes Subnetz |
Diese Vorlage wendet eine neu erstellte NSG auf ein vorhandenes Subnetz an. |
Netzwerksicherheitsgruppe mit Diagnoseprotokollen |
Mit dieser Vorlage wird eine Netzwerksicherheitsgruppe mit Diagnoseprotokollen und einer Ressourcensperre erstellt. |
Mehrschichtiges VNET mit NSGs und DMZ |
Diese Vorlage stellt eine Virtual Network mit 3 Subnetzen, 3 Netzwerksicherheits-Gruppen und entsprechenden Sicherheitsregeln bereit, um das FrontEnd-Subnetz zu einer DMZ zu machen. |
Azure Route Server im BGP-Peering mit Quagga |
Diese Vorlage stellt einen Routerserver und eine Ubuntu-VM mit Quagga bereit. Zwischen dem Routerserver und Quagga werden zwei externe BGP-Sitzungen eingerichtet. Die Installation und Konfiguration von Quagga wird von der benutzerdefinierten Azure-Skripterweiterung für Linux ausgeführt. |
Create einer Netzwerksicherheitsgruppe |
Mit dieser Vorlage wird eine Netzwerksicherheitsgruppe erstellt. |
Create einer Site-to-Site-VPN-Verbindung mit einem virtuellen Computer |
Mit dieser Vorlage können Sie eine Site-to-Site-VPN-Verbindung mit Virtual Network Gateways erstellen. |
Site-to-Site-VPN mit Aktiv-Aktiv-VPN-Gateways mit BGP |
Mit dieser Vorlage können Sie ein Site-to-Site-VPN zwischen zwei VNETs mit VPN Gateways in der Konfiguration active-active mit BGP bereitstellen. Jede Azure-VPN Gateway löst den FQDN der Remote peers auf, um die öffentliche IP-Adresse des Remote-VPN Gateway zu ermitteln. Die Vorlage wird in Azure-Regionen mit Verfügbarkeitszonen wie erwartet ausgeführt. |
Beispiel für eine Azure Traffic Manager-VM |
Diese Vorlage zeigt, wie Sie einen Azure Traffic Manager-Profillastenausgleich über mehrere virtuelle Computer erstellen. |
Beispiel für eine Azure Traffic Manager-VM mit Verfügbarkeitszonen |
Diese Vorlage zeigt, wie Sie einen Azure Traffic Manager-Profillastenausgleich über mehrere virtuelle Computer erstellen, die sich in Verfügbarkeitszonen befinden. |
Benutzerdefinierte Routen und Appliance |
Diese Vorlage stellt eine Virtual Network, VMs in den jeweiligen Subnetzen und Routen bereit, um Datenverkehr an die Anwendung |
201-vnet-2subnets-service-endpoints-storage-integration |
Erstellt 2 neue VMs mit jeweils einer NIC in zwei verschiedenen Subnetzen innerhalb desselben VNET. Legt den Dienstendpunkt für eines der Subnetze fest und sichert das Speicherkonto in diesem Subnetz. |
Hinzufügen einer NSG mit Redis-Sicherheitsregeln zu einem vorhandenen Subnetz |
Mit dieser Vorlage können Sie einem vorhandenen Subnetz innerhalb eines VNET eine NSG mit vorkonfigurierten Azure Redis Cache-Sicherheitsregeln hinzufügen. Stellen Sie in der Ressourcengruppe des vorhandenen VNET bereit. |
Ressourcendefinition mit einer ARM-Vorlage
Der ressourcentyp networkSecurityGroups kann mit Vorgängen bereitgestellt werden, die Folgendes zum Ziel haben:
- Ressourcengruppen : Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Hinweise
Eine Anleitung zum Erstellen von Netzwerksicherheitsgruppen finden Sie unter Create virtuellen Netzwerkressourcen mithilfe von Bicep.
Ressourcenformat
Um eine Microsoft.Network/networkSecurityGroups-Ressource zu erstellen, fügen Sie der Vorlage den folgenden JSON-Code hinzu.
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2023-04-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"flushConnection": "bool",
"securityRules": [
{
"id": "string",
"name": "string",
"properties": {
"access": "string",
"description": "string",
"destinationAddressPrefix": "string",
"destinationAddressPrefixes": [ "string" ],
"destinationApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"destinationPortRange": "string",
"destinationPortRanges": [ "string" ],
"direction": "string",
"priority": "int",
"protocol": "string",
"sourceAddressPrefix": "string",
"sourceAddressPrefixes": [ "string" ],
"sourceApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"sourcePortRange": "string",
"sourcePortRanges": [ "string" ]
},
"type": "string"
}
]
}
}
Eigenschaftswerte
networkSecurityGroups
Name | BESCHREIBUNG | Wert |
---|---|---|
type | Der Ressourcentyp | "Microsoft.Network/networkSecurityGroups" |
apiVersion | Die Version der Ressourcen-API | '2023-04-01' |
name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 1-80 Gültige Zeichen: Alphanumerische Zeichen, Unterstriche, Punkte und Bindestriche. Beginnen Sie mit einem alphanumerischen Zeichen. Enden Sie mit einem alphanumerischen Zeichen oder einem Unterstrich. |
location | Ressourcenspeicherort | Zeichenfolge |
tags | Ressourcentags. | Wörterbuch der Tagnamen und -werte. Weitere Informationen finden Sie unter Tags in Vorlagen. |
properties | Eigenschaften der Netzwerksicherheitsgruppe. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
Name | BESCHREIBUNG | Wert |
---|---|---|
flushConnection | Wenn diese Option aktiviert ist, werden Flows, die über Netzwerksicherheitsgruppenverbindungen erstellt wurden, neu ausgewertet, wenn Regeln aktualisiert werden. Die anfängliche Aktivierung löst eine erneute Auswertung aus. | bool |
securityRules | Eine Sammlung von Sicherheitsregeln der Netzwerksicherheitsgruppe. | SecurityRule[] |
SecurityRule
Name | BESCHREIBUNG | Wert |
---|---|---|
id | Ressourcen-ID | Zeichenfolge |
name | Der Name der Ressource, die innerhalb einer Ressourcengruppe eindeutig ist. Dieser Name kann für den Zugriff auf die Ressource verwendet werden. | Zeichenfolge |
properties | Eigenschaften der Sicherheitsregel. | SecurityRulePropertiesFormat |
Typ | Der Typ der Ressource. | Zeichenfolge |
SecurityRulePropertiesFormat
Name | BESCHREIBUNG | Wert |
---|---|---|
access | Der Netzwerkdatenverkehr wird zugelassen oder verweigert. | "Zulassen" "Verweigern" (erforderlich) |
description | Eine Beschreibung für diese Regel. Auf 140 Zeichen beschränkt. | Zeichenfolge |
destinationAddressPrefix | Das Zieladresspräfix. CIDR oder Ziel-IP-Bereich. Das Sternchen '*' kann auch verwendet werden, um alle Quell-IPs abzugleichen. Standardtags wie "VirtualNetwork", "AzureLoadBalancer" und "Internet" können ebenfalls verwendet werden. | Zeichenfolge |
destinationAddressPrefixes | Die Zieladresspräfixe. CIDR- oder Ziel-IP-Bereiche. | string[] |
destinationApplicationSecurityGroups | Die als Ziel angegebene Anwendungssicherheitsgruppe. | ApplicationSecurityGroup[] |
destinationPortRange | Der Zielport oder -bereich. Ganze Zahl oder Bereich zwischen 0 und 65535. Sternchen "*" kann auch verwendet werden, um alle Ports abzugleichen. | Zeichenfolge |
destinationPortRanges | Die Zielportbereiche. | string[] |
direction | Die Richtung der Regel. Die Richtung gibt an, ob die Regel bei eingehendem oder ausgehendem Datenverkehr ausgewertet wird. | "Eingehend" "Ausgehend" (erforderlich) |
priority | Die Priorität der Regel. Der Wert kann zwischen 100 und 4096 sein. Die Prioritätsnummer muss für jede Regel in der Auflistung eindeutig sein. Je niedrigere die Prioritätsnummer ist, desto höher ist die Priorität der Regel. | int (erforderlich) |
Protokoll | Netzwerkprotokoll, für das diese Regel gilt. | '*' "Ah" "Esp" "Icmp" "TCP" "Udp" (erforderlich) |
sourceAddressPrefix | Der CIDR- oder Quell-IP-Bereich. Das Sternchen '*' kann auch verwendet werden, um alle Quell-IPs abzugleichen. Standardtags wie "VirtualNetwork", "AzureLoadBalancer" und "Internet" können ebenfalls verwendet werden. Wenn es sich um eine Eingangsregel handelt, gibt an, woher der Netzwerkdatenverkehr stammt. | Zeichenfolge |
sourceAddressPrefixes | Der CIDR- oder Quell-IP-Bereich. | string[] |
sourceApplicationSecurityGroups | Die als Quelle angegebene Anwendungssicherheitsgruppe. | ApplicationSecurityGroup[] |
sourcePortRange | Der Quellport oder -bereich. Ganze Zahl oder Bereich zwischen 0 und 65535. Das Sternchen "*" kann auch verwendet werden, um alle Ports abzugleichen. | Zeichenfolge |
sourcePortRanges | Der Quellportbereich. | string[] |
ApplicationSecurityGroup
Name | BESCHREIBUNG | Wert |
---|---|---|
id | Ressourcen-ID | Zeichenfolge |
location | Ressourcenspeicherort | Zeichenfolge |
properties | Eigenschaften der Anwendungssicherheitsgruppe. | ApplicationSecurityGroupPropertiesFormat |
tags | Ressourcentags. | Objekt (object) |
ApplicationSecurityGroupPropertiesFormat
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.
Schnellstartvorlagen
Diesen Ressourcentyp werden in den folgenden Schnellstartvorlagen bereitgestellt.
Vorlage | BESCHREIBUNG |
---|---|
Verwaltete Azure-Active Directory Domain Services |
Diese Vorlage stellt einen verwalteten Azure-Active Directory-Domäne-Dienst mit den erforderlichen VNET- und NSG-Konfigurationen bereit. |
AKS-Cluster mit Application Gateway Eingangscontroller |
In diesem Beispiel wird gezeigt, wie Sie einen AKS-Cluster mit Application Gateway, Application Gateway Eingangscontroller, Azure Container Registry, Log Analytics und Key Vault |
App Gateway mit WAF-, SSL-, IIS- und HTTPS-Umleitung |
Diese Vorlage stellt eine Application Gateway mit WAF, End-to-End-SSL und HTTP-zu-HTTPS-Umleitung auf den IIS-Servern bereit. |
Create eines IPv6-Application Gateway |
Mit dieser Vorlage wird ein Anwendungsgateway mit einem IPv6-Front-End in einem virtuellen Dual-Stack-Netzwerk erstellt. |
Anwendungssicherheitsgruppen |
In dieser Vorlage wird gezeigt, wie Sie die Teile zum Schützen von Workloads mithilfe von NSGs mit Application Security Gruppen zusammenstellen. Es wird eine Linux-VM mit NGINX bereitgestellt, und durch die Verwendung von Applicaton Security Gruppen in Network Security Gruppen wir den Zugriff auf die Ports 22 und 80 auf eine VM zulassen, die der Anwendungssicherheitsgruppe namens webServersAsg zugewiesen ist. |
Azure Bastion as a Service mit NSG |
Diese Vorlage stellt Azure Bastion in einer Virtual Network |
Verwenden von Azure Firewall als DNS-Proxy in einer Hub & Spoke-Topologie |
In diesem Beispiel wird gezeigt, wie Eine Hub-Spoke-Topologie in Azure mithilfe der Azure Firewall bereitgestellt wird. Das virtuelle Hubnetzwerk fungiert als zentraler Verbindungspunkt für viele virtuelle Spoke-Netzwerke, die über das Peering virtueller Netzwerke mit dem virtuellen Hubnetzwerk verbunden sind. |
Create Sandbox von Azure Firewall, Client-VM und Server-VM |
Diese Vorlage erstellt ein virtuelles Netzwerk mit 2 Subnetzen (Serversubnetz und AzureFirewall-Subnetz), einer Server-VM, einer Client-VM, einer öffentlichen IP-Adresse für jeden virtuellen Computer und einer Routingtabelle zum Senden von Datenverkehr zwischen VMs über die Firewall. |
Create einer Firewall, FirewallPolicy mit explizitem Proxy |
Diese Vorlage erstellt eine Azure Firewall, FirewalllPolicy mit explizitem Proxy und Netzwerkregeln mit IpGroups. Enthält auch ein Linux Jumpbox-VM-Setup |
Create einer Firewall mit FirewallPolicy und IpGroups |
Diese Vorlage erstellt eine Azure Firewall mit FirewalllPolicy, die auf Netzwerkregeln mit IpGroups verweist. Enthält auch ein Linux Jumpbox-VM-Setup |
Erstellen einer Azure Firewall mit IpGroups |
Diese Vorlage erstellt eine Azure Firewall mit Anwendungs- und Netzwerkregeln, die auf IP-Gruppen verweisen. Enthält auch ein Linux Jumpbox-VM-Setup |
Create einer Azure Firewall Sandbox mit Tunnelerzwingung |
Diese Vorlage erstellt eine Azure Firewall Sandbox (Linux) mit einer Firewallzwinge, die durch eine andere Firewall in einem Peering-VNET getunnelt wird. |
Create ein Sandbox-Setup von Azure Firewall mit Linux-VMs |
Diese Vorlage erstellt ein virtuelles Netzwerk mit 3 Subnetzen (Serversubnetz, Jumpbox-Subet und AzureFirewall-Subnetz), eine Jumpbox-VM mit öffentlicher IP, eine Server-VM, eine UDR-Route, die auf Azure Firewall für das Serversubnetz verweist, und ein Azure Firewall mit mindestens 1 öffentlichen IP-Adressen, 1 Beispielanwendungsregel, 1 Beispielnetzwerkregel und privaten Standardbereichen |
Create eines Sandbox-Setups mit Firewallrichtlinie |
Diese Vorlage erstellt ein virtuelles Netzwerk mit 3 Subnetzen (Serversubnetz, Jumpbox-Subet und AzureFirewall-Subnetz), eine Jumpbox-VM mit öffentlicher IP-Adresse, eine Server-VM, eine UDR-Route, die auf Azure Firewall für das Serversubnetz verweist, und eine Azure Firewall mit mindestens 1 öffentlichen IP-Adressen. Erstellt außerdem eine Firewallrichtlinie mit einer Beispielanwendungsregel, einer Beispielnetzwerkregel und privaten Standardbereichen. |
Erstellen einer Sandboxeinrichtung von Azure Firewall mit Zonen |
Diese Vorlage erstellt ein virtuelles Netzwerk mit drei Subnetzen (Serversubnetz, Jumpbox-Subnetz und Azure Firewall Subnetz), eine Jumpbox-VM mit öffentlicher IP-Adresse, eine Server-VM, eine UDR-Route, die auf Azure Firewall für das ServerSubnet verweist, eine Azure Firewall mit mindestens einer öffentlichen IP-Adresse, eine Beispielanwendungsregel und eine Beispielnetzwerkregel und Azure Firewall in Verfügbarkeitszonen 1, 2 und 3. |
ExpressRoute-Verbindung mit privatem Peering und Azure-VNET |
Diese Vorlage konfiguriert das ExpressRoute-Microsoft-Peering, stellt ein Azure-VNet mit Expressroute-Gateway bereit und verknüpft das VNet mit der ExpressRoute-Verbindung. |
Create Azure Front Door vor Azure API Management |
In diesem Beispiel wird veranschaulicht, wie Sie Azure Front Door als globalen Lastenausgleich vor Azure API Management verwenden. |
Erstellen einer Azure Firewall-Instanz mit mehreren öffentlichen IP-Adressen |
Diese Vorlage erstellt eine Azure Firewall mit zwei öffentlichen IP-Adressen und zwei Windows Server 2019-Servern, die getestet werden sollen. |
Geschützte virtuelle Hubs |
Mit dieser Vorlage wird ein geschützter virtueller Hub erstellt, der Azure Firewall verwendet, um Ihren Cloudnetzwerkdatenverkehr für das Internet zu schützen. |
Erstellen eines regionsübergreifenden Lastenausgleichs |
Diese Vorlage erstellt einen regionsübergreifenden Lastenausgleich mit einem Back-End-Pool, der zwei regionale Lastenausgleichsmodule enthält. Der regionsübergreifende Lastenausgleich ist derzeit in eingeschränkten Regionen verfügbar. Die regionalen Lastenausgleichsmodule hinter dem regionsübergreifenden Lastenausgleich können sich in jeder Region befinden. |
Load Balancer Standard mit Back-End-Pool nach IP-Adressen |
Diese Vorlage wird verwendet, um zu veranschaulichen, wie ARM-Vorlagen verwendet werden können, um den Back-End-Pool eines Load Balancer nach IP-Adresse zu konfigurieren, wie im Verwaltungsdokument des Back-End-Pools beschrieben. |
Create eines Lastenausgleichs mit einer öffentlichen IPv6-Adresse |
Diese Vorlage erstellt einen Lastenausgleich mit Internetzugriff mit einer öffentlichen IPv6-Adresse, Lastenausgleichsregeln und zwei VMs für den Back-End-Pool. |
Erstellen einer Load Balancer Standard-Instanz |
Diese Vorlage erstellt einen Lastenausgleich mit Internetzugriff, Lastenausgleichsregeln und drei VMs für den Back-End-Pool mit jeder VM in einer redundanten Zone. |
Virtual Network NAT mit VM |
Bereitstellen eines NAT-Gateways und eines virtuellen Computers |
Anwenden einer NSG auf ein vorhandenes Subnetz |
Diese Vorlage wendet eine neu erstellte NSG auf ein vorhandenes Subnetz an. |
Netzwerksicherheitsgruppe mit Diagnoseprotokollen |
Mit dieser Vorlage wird eine Netzwerksicherheitsgruppe mit Diagnoseprotokollen und einer Ressourcensperre erstellt. |
Mehrschichtiges VNET mit NSGs und DMZ |
Diese Vorlage stellt eine Virtual Network mit 3 Subnetzen, 3 Netzwerksicherheits-Gruppen und entsprechenden Sicherheitsregeln bereit, um das FrontEnd-Subnetz zu einer DMZ zu machen. |
Azure Route Server im BGP-Peering mit Quagga |
Diese Vorlage stellt einen Routerserver und eine Ubuntu-VM mit Quagga bereit. Zwischen dem Routerserver und Quagga werden zwei externe BGP-Sitzungen eingerichtet. Installation und Konfiguration von Quagga wird von der benutzerdefinierten Azure-Skripterweiterung für Linux ausgeführt. |
Create einer Netzwerksicherheitsgruppe |
Mit dieser Vorlage wird eine Netzwerksicherheitsgruppe erstellt. |
Create einer Site-to-Site-VPN-Verbindung mit einem virtuellen Computer |
Mit dieser Vorlage können Sie eine Site-to-Site-VPN-Verbindung mit Virtual Network Gateways erstellen. |
Site-to-Site-VPN mit Aktiv/Aktiv-VPN-Gateways mit BGP |
Mit dieser Vorlage können Sie ein Site-to-Site-VPN zwischen zwei VNETs mit VPN-Gateways in der Konfiguration aktiv/aktiv mit BGP bereitstellen. Jeder Azure-VPN Gateway löst den FQDN der Remotepeer auf, um die öffentliche IP-Adresse des Remote-VPN Gateway zu ermitteln. Die Vorlage wird in Azure-Regionen mit Verfügbarkeitszonen erwartungsgemäß ausgeführt. |
Beispiel für eine Azure Traffic Manager-VM |
Diese Vorlage zeigt, wie Sie einen Lastenausgleich für Azure Traffic Manager-Profile über mehrere virtuelle Computer hinweg erstellen. |
Azure Traffic Manager-VM-Beispiel mit Verfügbarkeitszonen |
Diese Vorlage zeigt, wie Sie einen Azure Traffic Manager-Profillastenausgleich über mehrere virtuelle Computer erstellen, die sich in Verfügbarkeitszonen befinden. |
Benutzerdefinierte Routen und Appliance |
Diese Vorlage stellt eine Virtual Network, VMs in den jeweiligen Subnetzen und Routen bereit, um Datenverkehr an die Anwendung |
201-vnet-2subnets-service-endpoints-storage-integration |
Erstellt zwei neue VMs mit jeweils einer Netzwerkkarte in zwei verschiedenen Subnetzen innerhalb desselben VNET. Legt den Dienstendpunkt in einem der Subnetze fest und sichert das Speicherkonto in diesem Subnetz. |
Hinzufügen einer NSG mit Redis-Sicherheitsregeln zu einem vorhandenen Subnetz |
Mit dieser Vorlage können Sie einem vorhandenen Subnetz innerhalb eines VNET eine NSG mit vorkonfigurierten Azure Redis Cache-Sicherheitsregeln hinzufügen. Stellen Sie die Bereitstellung in der Ressourcengruppe des vorhandenen VNET bereit. |
Terraform-Ressourcendefinition (AzAPI-Anbieter)
Der Ressourcentyp networkSecurityGroups kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie im Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Network/networkSecurityGroups-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Terraform-Ressource hinzu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/networkSecurityGroups@2023-04-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
flushConnection = bool
securityRules = [
{
id = "string"
name = "string"
properties = {
access = "string"
description = "string"
destinationAddressPrefix = "string"
destinationAddressPrefixes = [
"string"
]
destinationApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
destinationPortRange = "string"
destinationPortRanges = [
"string"
]
direction = "string"
priority = int
protocol = "string"
sourceAddressPrefix = "string"
sourceAddressPrefixes = [
"string"
]
sourceApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
sourcePortRange = "string"
sourcePortRanges = [
"string"
]
}
type = "string"
}
]
}
})
}
Eigenschaftswerte
networkSecurityGroups
Name | BESCHREIBUNG | Wert |
---|---|---|
type | Der Ressourcentyp | "Microsoft.Network/networkSecurityGroups@2023-04-01" |
name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 1-80 Gültige Zeichen: Alphanumerische Zeichen, Unterstriche, Punkte und Bindestriche. Beginnen Sie mit einem alphanumerischen Zeichen. Enden Sie mit einem alphanumerischen Zeichen oder einem Unterstrich. |
location | Ressourcenspeicherort | Zeichenfolge |
parent_id | Verwenden Sie zum Bereitstellen in einer Ressourcengruppe die ID dieser Ressourcengruppe. | Zeichenfolge (erforderlich) |
tags | Ressourcentags. | Wörterbuch der Tagnamen und -werte. |
properties | Eigenschaften der Netzwerksicherheitsgruppe. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
Name | BESCHREIBUNG | Wert |
---|---|---|
flushConnection | Wenn dies aktiviert ist, werden Flows, die aus Verbindungen der Netzwerksicherheitsgruppe erstellt wurden, neu ausgewertet, wenn Regeln aktualisiert werden. Die anfängliche Aktivierung löst eine erneute Auswertung aus. | bool |
securityRules | Eine Sammlung von Sicherheitsregeln der Netzwerksicherheitsgruppe. | SecurityRule[] |
SecurityRule
Name | BESCHREIBUNG | Wert |
---|---|---|
id | Ressourcen-ID | Zeichenfolge |
name | Der Name der Ressource, die innerhalb einer Ressourcengruppe eindeutig ist. Dieser Name kann für den Zugriff auf die Ressource verwendet werden. | Zeichenfolge |
properties | Eigenschaften der Sicherheitsregel. | SecurityRulePropertiesFormat |
Typ | Der Typ der Ressource. | Zeichenfolge |
SecurityRulePropertiesFormat
Name | BESCHREIBUNG | Wert |
---|---|---|
access | Der Netzwerkdatenverkehr wird zugelassen oder verweigert. | "Zulassen" "Verweigern" (erforderlich) |
description | Eine Beschreibung für diese Regel. Auf 140 Zeichen beschränkt. | Zeichenfolge |
destinationAddressPrefix | Das Präfix der Zieladresse. CIDR oder Ziel-IP-Bereich. Das Sternchen '*' kann auch verwendet werden, um alle Quell-IPs abzugleichen. Standardtags wie "VirtualNetwork", "AzureLoadBalancer" und "Internet" können ebenfalls verwendet werden. | Zeichenfolge |
destinationAddressPrefixes | Die Zieladressenpräfixe. CIDR- oder Ziel-IP-Bereiche. | string[] |
destinationApplicationSecurityGroups | Die als Ziel angegebene Anwendungssicherheitsgruppe. | ApplicationSecurityGroup[] |
destinationPortRange | Der Zielport oder -bereich. Ganze Zahl oder Bereich zwischen 0 und 65535. Das Sternchen "*" kann auch verwendet werden, um alle Ports abzugleichen. | Zeichenfolge |
destinationPortRanges | Die Zielportbereiche. | string[] |
direction | Die Richtung der Regel. Die Richtung gibt an, ob die Regel bei eingehendem oder ausgehendem Datenverkehr ausgewertet wird. | "Eingehender Eingang" "Ausgehend" (erforderlich) |
priority | Die Priorität der Regel. Der Wert kann zwischen 100 und 4096 sein. Die Prioritätsnummer muss für jede Regel in der Auflistung eindeutig sein. Je niedrigere die Prioritätsnummer ist, desto höher ist die Priorität der Regel. | int (erforderlich) |
Protokoll | Netzwerkprotokoll, für das diese Regel gilt. | "*" "Ah" "Esp" "Icmp" "TCP" "Udp" (erforderlich) |
sourceAddressPrefix | Der CIDR- oder Quell-IP-Bereich. Das Sternchen '*' kann auch verwendet werden, um alle Quell-IPs abzugleichen. Standardtags wie "VirtualNetwork", "AzureLoadBalancer" und "Internet" können ebenfalls verwendet werden. Wenn es sich um eine Eingangsregel handelt, gibt an, woher der Netzwerkdatenverkehr stammt. | Zeichenfolge |
sourceAddressPrefixes | Der CIDR- oder Quell-IP-Bereich. | string[] |
sourceApplicationSecurityGroups | Die als Quelle angegebene Anwendungssicherheitsgruppe. | ApplicationSecurityGroup[] |
sourcePortRange | Der Quellport oder -bereich. Ganze Zahl oder Bereich zwischen 0 und 65535. Sternchen "*" kann auch verwendet werden, um alle Ports abzugleichen. | Zeichenfolge |
sourcePortRanges | Die Quellportbereiche. | string[] |
ApplicationSecurityGroup
Name | BESCHREIBUNG | Wert |
---|---|---|
id | Ressourcen-ID | Zeichenfolge |
location | Ressourcenspeicherort | Zeichenfolge |
properties | Eigenschaften der Anwendungssicherheitsgruppe. | ApplicationSecurityGroupPropertiesFormat |
tags | Ressourcentags. | Objekt (object) |
ApplicationSecurityGroupPropertiesFormat
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.