Microsoft.Network networkSecurityGroups
Bicep-Ressourcendefinition
Der Ressourcentyp networkSecurityGroups kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Bereitstellungsbefehle für Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie im Änderungsprotokoll.
Hinweise
Eine Anleitung zum Erstellen von Netzwerksicherheitsgruppen finden Sie unter Erstellen von Ressourcen für virtuelle Netzwerke mithilfe von Bicep.
Ressourcenformat
Um eine Microsoft.Network/networkSecurityGroups-Ressource zu erstellen, fügen Sie ihrer Vorlage den folgenden Bicep hinzu.
resource symbolicname 'Microsoft.Network/networkSecurityGroups@2023-04-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
flushConnection: bool
securityRules: [
{
id: 'string'
name: 'string'
properties: {
access: 'string'
description: 'string'
destinationAddressPrefix: 'string'
destinationAddressPrefixes: [
'string'
]
destinationApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
destinationPortRange: 'string'
destinationPortRanges: [
'string'
]
direction: 'string'
priority: int
protocol: 'string'
sourceAddressPrefix: 'string'
sourceAddressPrefixes: [
'string'
]
sourceApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
sourcePortRange: 'string'
sourcePortRanges: [
'string'
]
}
type: 'string'
}
]
}
}
Eigenschaftswerte
networkSecurityGroups
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 1-80 Gültige Zeichen: Alphanumerische Zeichen, Unterstriche, Punkte und Bindestriche. Beginnen Sie mit einem alphanumerischen Zeichen. Enden Sie mit einem alphanumerischen Zeichen oder einem Unterstrich. |
| location | Ressourcenspeicherort | Zeichenfolge |
| tags | Ressourcentags. | Wörterbuch der Tagnamen und -werte. Weitere Informationen finden Sie unter Tags in Vorlagen. |
| properties | Eigenschaften der Netzwerksicherheitsgruppe. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| flushConnection | Wenn diese Option aktiviert ist, werden Flows, die über Netzwerksicherheitsgruppenverbindungen erstellt wurden, neu ausgewertet, wenn Regeln aktualisiert werden. Die anfängliche Aktivierung löst eine erneute Auswertung aus. | bool |
| securityRules | Eine Sammlung von Sicherheitsregeln der Netzwerksicherheitsgruppe. | SecurityRule[] |
SecurityRule
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| id | Ressourcen-ID | Zeichenfolge |
| name | Der Name der Ressource, die innerhalb einer Ressourcengruppe eindeutig ist. Dieser Name kann für den Zugriff auf die Ressource verwendet werden. | Zeichenfolge |
| properties | Eigenschaften der Sicherheitsregel. | SecurityRulePropertiesFormat |
| Typ | Der Typ der Ressource. | Zeichenfolge |
SecurityRulePropertiesFormat
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| access | Der Netzwerkdatenverkehr wird zugelassen oder verweigert. | "Zulassen" "Verweigern" (erforderlich) |
| description | Eine Beschreibung für diese Regel. Auf 140 Zeichen beschränkt. | Zeichenfolge |
| destinationAddressPrefix | Das Zieladresspräfix. CIDR oder Ziel-IP-Bereich. Das Sternchen '*' kann auch verwendet werden, um alle Quell-IPs abzugleichen. Standardtags wie "VirtualNetwork", "AzureLoadBalancer" und "Internet" können ebenfalls verwendet werden. | Zeichenfolge |
| destinationAddressPrefixes | Die Zieladresspräfixe. CIDR- oder Ziel-IP-Bereiche. | string[] |
| destinationApplicationSecurityGroups | Die als Ziel angegebene Anwendungssicherheitsgruppe. | ApplicationSecurityGroup[] |
| destinationPortRange | Der Zielport oder -bereich. Ganze Zahl oder Bereich zwischen 0 und 65535. Das Sternchen "*" kann auch verwendet werden, um alle Ports abzugleichen. | Zeichenfolge |
| destinationPortRanges | Die Zielportbereiche. | string[] |
| direction | Die Richtung der Regel. Die Richtung gibt an, ob die Regel bei eingehendem oder ausgehendem Datenverkehr ausgewertet wird. | "Eingehender Eingang" "Ausgehend" (erforderlich) |
| priority | Die Priorität der Regel. Der Wert kann zwischen 100 und 4096 sein. Die Prioritätsnummer muss für jede Regel in der Auflistung eindeutig sein. Je niedrigere die Prioritätsnummer ist, desto höher ist die Priorität der Regel. | int (erforderlich) |
| Protokoll | Netzwerkprotokoll, für das diese Regel gilt. | '*' "Ah" "Esp" "Icmp" "TCP" "Udp" (erforderlich) |
| sourceAddressPrefix | Der CIDR- oder Quell-IP-Bereich. Das Sternchen '*' kann auch verwendet werden, um alle Quell-IPs abzugleichen. Standardtags wie "VirtualNetwork", "AzureLoadBalancer" und "Internet" können ebenfalls verwendet werden. Wenn es sich um eine Eingangsregel handelt, gibt an, woher der Netzwerkdatenverkehr stammt. | Zeichenfolge |
| sourceAddressPrefixes | Der CIDR- oder Quell-IP-Bereich. | string[] |
| sourceApplicationSecurityGroups | Die als Quelle angegebene Anwendungssicherheitsgruppe. | ApplicationSecurityGroup[] |
| sourcePortRange | Der Quellport oder -bereich. Ganze Zahl oder Bereich zwischen 0 und 65535. Das Sternchen "*" kann auch verwendet werden, um alle Ports abzugleichen. | Zeichenfolge |
| sourcePortRanges | Der Quellportbereich. | string[] |
ApplicationSecurityGroup
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| id | Ressourcen-ID | Zeichenfolge |
| location | Ressourcenspeicherort | Zeichenfolge |
| properties | Eigenschaften der Anwendungssicherheitsgruppe. | ApplicationSecurityGroupPropertiesFormat |
| tags | Ressourcentags. | Objekt (object) |
ApplicationSecurityGroupPropertiesFormat
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.
Schnellstartvorlagen
Diesen Ressourcentyp werden in den folgenden Schnellstartvorlagen bereitgestellt.
| Vorlage | BESCHREIBUNG |
|---|---|
Verwaltete Azure-Active Directory Domain Services |
Diese Vorlage stellt einen verwalteten Azure-Active Directory-Domäne-Dienst mit den erforderlichen VNET- und NSG-Konfigurationen bereit. |
| AKS-Cluster mit Application Gateway Eingangscontroller |
In diesem Beispiel wird gezeigt, wie Sie einen AKS-Cluster mit Application Gateway, Application Gateway Eingangscontroller, Azure Container Registry, Log Analytics und Key Vault |
| App Gateway mit WAF-, SSL-, IIS- und HTTPS-Umleitung |
Diese Vorlage stellt eine Application Gateway mit WAF, End-to-End-SSL und HTTP-zu-HTTPS-Umleitung auf den IIS-Servern bereit. |
| Erstellen eines IPv6-Application Gateway |
Mit dieser Vorlage wird ein Anwendungsgateway mit einem IPv6-Front-End in einem virtuellen Dual-Stack-Netzwerk erstellt. |
| Anwendungssicherheitsgruppen |
In dieser Vorlage wird gezeigt, wie Sie die Teile zum Schützen von Workloads mithilfe von NSGs mit Anwendungssicherheitsgruppen zusammenstellen. Es wird eine Linux-VM mit NGINX bereitgestellt, und durch die Verwendung von Applicaton-Sicherheitsgruppen in Netzwerksicherheitsgruppen ermöglichen wir den Zugriff auf die Ports 22 und 80 auf eine VM, die der Anwendungssicherheitsgruppe namens webServersAsg zugewiesen ist. |
| Azure Bastion as a Service mit NSG |
Diese Vorlage stellt Azure Bastion in einer Virtual Network |
| Verwenden von Azure Firewall als DNS-Proxy in einer Hub & Spoke-Topologie |
In diesem Beispiel wird gezeigt, wie Eine Hub-Spoke-Topologie in Azure mithilfe der Azure Firewall bereitgestellt wird. Das virtuelle Hubnetzwerk fungiert als zentraler Verbindungspunkt für viele virtuelle Spoke-Netzwerke, die über das Peering virtueller Netzwerke mit dem virtuellen Hubnetzwerk verbunden sind. |
| Erstellen einer Sandbox mit Azure Firewall, Client-VM und Server-VM |
Diese Vorlage erstellt ein virtuelles Netzwerk mit 2 Subnetzen (Serversubnetz und AzureFirewall-Subnetz), einer Server-VM, einer Client-VM, einer öffentlichen IP-Adresse für jeden virtuellen Computer und einer Routingtabelle zum Senden von Datenverkehr zwischen VMs über die Firewall. |
| Erstellen einer Firewall, FirewallPolicy mit explizitem Proxy |
Diese Vorlage erstellt eine Azure Firewall, FirewalllPolicy mit explizitem Proxy und Netzwerkregeln mit IpGroups. Enthält auch ein Linux Jumpbox-VM-Setup |
| Erstellen einer Firewall mit FirewallPolicy und IpGroups |
Diese Vorlage erstellt eine Azure Firewall mit FirewalllPolicy, die auf Netzwerkregeln mit IpGroups verweist. Enthält auch ein Linux Jumpbox-VM-Setup |
| Erstellen einer Azure Firewall mit IpGroups |
Diese Vorlage erstellt eine Azure Firewall mit Anwendungs- und Netzwerkregeln, die auf IP-Gruppen verweisen. Enthält auch ein Linux Jumpbox-VM-Setup |
| Erstellen einer Azure Firewall Sandbox mit Tunnelerzwingung |
Diese Vorlage erstellt eine Azure Firewall Sandbox (Linux) mit einer Firewallzwinge, die durch eine andere Firewall in einem Peering-VNET getunnelt wird. |
| Erstellen eines Sandbox-Setups von Azure Firewall mit Linux-VMs |
Diese Vorlage erstellt ein virtuelles Netzwerk mit 3 Subnetzen (Serversubnetz, Jumpbox-Subet und AzureFirewall-Subnetz), eine Jumpbox-VM mit öffentlicher IP, eine Server-VM, eine UDR-Route, die auf Azure Firewall für das Serversubnetz verweist, und ein Azure Firewall mit mindestens 1 öffentlichen IP-Adressen, 1 Beispielanwendungsregel, 1 Beispielnetzwerkregel und privaten Standardbereichen |
| Erstellen eines Sandbox-Setups mit Firewallrichtlinie |
Diese Vorlage erstellt ein virtuelles Netzwerk mit 3 Subnetzen (Serversubnetz, Jumpbox-Subet und AzureFirewall-Subnetz), eine Jumpbox-VM mit öffentlicher IP, eine Server-VM, eine UDR-Route, die auf Azure Firewall für das Serversubnetz verweist, und eine Azure Firewall mit mindestens 1 öffentlichen IP-Adressen. Erstellt außerdem eine Firewallrichtlinie mit 1 Beispielanwendungsregel, 1 Beispielnetzwerkregel und privaten Standardbereichen |
| Erstellen einer Sandboxeinrichtung von Azure Firewall mit Zonen |
Diese Vorlage erstellt ein virtuelles Netzwerk mit drei Subnetzen (Serversubnetz, Jumpbox-Subnetz und Azure Firewall Subnetz), eine Jumpbox-VM mit öffentlicher IP, eine Server-VM, eine UDR-Route, die auf Azure Firewall für das ServerSubnet verweist, ein Azure Firewall mit mindestens einer öffentlichen IP-Adresse, einer Beispielanwendungsregel und einer Beispielnetzwerkregel und Azure Firewall in Verfügbarkeitszonen 1, 2 und 3. |
| ExpressRoute-Verbindung mit privatem Peering und Azure-VNET |
In dieser Vorlage wird das ExpressRoute-Microsoft-Peering konfiguriert, ein Azure-VNet mit Expressroute-Gateway bereitgestellt und das VNET mit der ExpressRoute-Verbindung verknüpft. |
| Erstellen von Azure Front Door vor Azure API Management |
In diesem Beispiel wird veranschaulicht, wie Sie Azure Front Door als globalen Lastenausgleich vor Azure API Management verwenden. |
| Erstellen einer Azure Firewall-Instanz mit mehreren öffentlichen IP-Adressen |
Mit dieser Vorlage wird ein Azure Firewall mit zwei öffentlichen IP-Adressen und zwei zu testenden Windows Server 2019-Servern erstellt. |
| Geschützte virtuelle Hubs |
Mit dieser Vorlage wird ein geschützter virtueller Hub erstellt, der Azure Firewall verwendet, um den Datenverkehr Ihres Cloudnetzwerks für das Internet zu schützen. |
| Erstellen eines regionsübergreifenden Lastenausgleichs |
Diese Vorlage erstellt einen regionsübergreifenden Lastenausgleich mit einem Back-End-Pool mit zwei regionalen Lastenausgleichsmodulen. Regionsübergreifender Lastenausgleich ist derzeit in begrenzten Regionen verfügbar. Die regionalen Lastenausgleichsmodule hinter dem regionsübergreifenden Lastenausgleich können sich in jeder Region befinden. |
| Load Balancer Standard mit Back-End-Pool nach IP-Adressen |
Diese Vorlage wird verwendet, um zu veranschaulichen, wie ARM-Vorlagen verwendet werden können, um den Back-End-Pool eines Load Balancer nach IP-Adresse zu konfigurieren, wie im Verwaltungsdokument des Back-End-Pools beschrieben. |
| Erstellen eines Lastenausgleichs mit einer öffentlichen IPv6-Adresse |
Diese Vorlage erstellt einen Lastenausgleich mit Internetzugriff mit einer öffentlichen IPv6-Adresse, Lastenausgleichsregeln und zwei VMs für den Back-End-Pool. |
| Erstellen einer Load Balancer Standard-Instanz |
Diese Vorlage erstellt einen Lastenausgleich mit Internetzugriff, Lastenausgleichsregeln und drei VMs für den Back-End-Pool mit jeder VM in einer redundanten Zone. |
| Virtual Network NAT mit VM |
Bereitstellen eines NAT-Gateways und eines virtuellen Computers |
| Anwenden einer NSG auf ein vorhandenes Subnetz |
Diese Vorlage wendet eine neu erstellte NSG auf ein vorhandenes Subnetz an. |
| Netzwerksicherheitsgruppe mit Diagnoseprotokollen |
Mit dieser Vorlage wird eine Netzwerksicherheitsgruppe mit Diagnoseprotokollen und einer Ressourcensperre erstellt. |
| Mehrschichtiges VNET mit NSGs und DMZ |
Diese Vorlage stellt eine Virtual Network mit 3 Subnetzen, 3 Netzwerksicherheitsgruppen und entsprechenden Sicherheitsregeln bereit, um das FrontEnd-Subnetz zu einer DMZ zu machen. |
| Azure Route Server im BGP-Peering mit Quagga |
Diese Vorlage stellt einen Routerserver und eine Ubuntu-VM mit Quagga bereit. Zwischen dem Routerserver und Quagga werden zwei externe BGP-Sitzungen eingerichtet. Die Installation und Konfiguration von Quagga wird von der benutzerdefinierten Azure-Skripterweiterung für Linux ausgeführt. |
| Erstellen einer Netzwerksicherheitsgruppe |
Mit dieser Vorlage wird eine Netzwerksicherheitsgruppe erstellt. |
| Erstellen einer Site-to-Site-VPN-Verbindung mit einem virtuellen Computer |
Mit dieser Vorlage können Sie eine Site-to-Site-VPN-Verbindung mit Virtual Network Gateways erstellen. |
| Site-to-Site-VPN mit Aktiv-Aktiv-VPN-Gateways mit BGP |
Mit dieser Vorlage können Sie ein Site-to-Site-VPN zwischen zwei VNETs mit VPN Gateways in der Konfiguration active-active mit BGP bereitstellen. Jede Azure-VPN Gateway löst den FQDN der Remote peers auf, um die öffentliche IP-Adresse des Remote-VPN Gateway zu ermitteln. Die Vorlage wird in Azure-Regionen mit Verfügbarkeitszonen wie erwartet ausgeführt. |
| Beispiel für eine Azure Traffic Manager-VM |
Diese Vorlage zeigt, wie Sie einen Azure Traffic Manager-Profillastenausgleich über mehrere virtuelle Computer erstellen. |
| Beispiel für eine Azure Traffic Manager-VM mit Verfügbarkeitszonen |
Diese Vorlage zeigt, wie Sie einen Azure Traffic Manager-Profillastenausgleich über mehrere virtuelle Computer erstellen, die sich in Verfügbarkeitszonen befinden. |
| Benutzerdefinierte Routen und Appliance |
Diese Vorlage stellt eine Virtual Network, VMs in den jeweiligen Subnetzen und Routen bereit, um Datenverkehr an die Anwendung |
| 201-vnet-2subnets-service-endpoints-storage-integration |
Erstellt 2 neue VMs mit jeweils einer NIC in zwei verschiedenen Subnetzen innerhalb desselben VNET. Legt den Dienstendpunkt für eines der Subnetze fest und sichert das Speicherkonto in diesem Subnetz. |
| Hinzufügen einer NSG mit Redis-Sicherheitsregeln zu einem vorhandenen Subnetz |
Mit dieser Vorlage können Sie einem vorhandenen Subnetz innerhalb eines VNET eine NSG mit vorkonfigurierten Azure Redis Cache-Sicherheitsregeln hinzufügen. Stellen Sie in der Ressourcengruppe des vorhandenen VNET bereit. |
Ressourcendefinition mit einer ARM-Vorlage
Der ressourcentyp networkSecurityGroups kann mit Vorgängen bereitgestellt werden, die Folgendes zum Ziel haben:
- Ressourcengruppen : Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Hinweise
Anleitungen zum Erstellen von Netzwerksicherheitsgruppen finden Sie unter Erstellen von Ressourcen für virtuelle Netzwerke mit Bicep.
Ressourcenformat
Um eine Microsoft.Network/networkSecurityGroups-Ressource zu erstellen, fügen Sie Der Vorlage den folgenden JSON-Code hinzu.
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2023-04-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"flushConnection": "bool",
"securityRules": [
{
"id": "string",
"name": "string",
"properties": {
"access": "string",
"description": "string",
"destinationAddressPrefix": "string",
"destinationAddressPrefixes": [ "string" ],
"destinationApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"destinationPortRange": "string",
"destinationPortRanges": [ "string" ],
"direction": "string",
"priority": "int",
"protocol": "string",
"sourceAddressPrefix": "string",
"sourceAddressPrefixes": [ "string" ],
"sourceApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"sourcePortRange": "string",
"sourcePortRanges": [ "string" ]
},
"type": "string"
}
]
}
}
Eigenschaftswerte
networkSecurityGroups
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| type | Der Ressourcentyp | "Microsoft.Network/networkSecurityGroups" |
| apiVersion | Die Version der Ressourcen-API | '2023-04-01' |
| name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 1-80 Gültige Zeichen: Alphanumerische Zeichen, Unterstriche, Punkte und Bindestriche. Beginnen Sie mit einem alphanumerischen Zeichen. Enden Sie mit einem alphanumerischen Zeichen oder einem Unterstrich. |
| location | Ressourcenspeicherort | Zeichenfolge |
| tags | Ressourcentags. | Wörterbuch der Tagnamen und -werte. Weitere Informationen finden Sie unter Tags in Vorlagen. |
| properties | Eigenschaften der Netzwerksicherheitsgruppe. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| flushConnection | Wenn diese Option aktiviert ist, werden Flows, die über Netzwerksicherheitsgruppenverbindungen erstellt wurden, neu ausgewertet, wenn Regeln aktualisiert werden. Die anfängliche Aktivierung löst eine erneute Auswertung aus. | bool |
| securityRules | Eine Sammlung von Sicherheitsregeln der Netzwerksicherheitsgruppe. | SecurityRule[] |
SecurityRule
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| id | Ressourcen-ID | Zeichenfolge |
| name | Der Name der Ressource, die innerhalb einer Ressourcengruppe eindeutig ist. Dieser Name kann für den Zugriff auf die Ressource verwendet werden. | Zeichenfolge |
| properties | Eigenschaften der Sicherheitsregel. | SecurityRulePropertiesFormat |
| Typ | Der Typ der Ressource. | Zeichenfolge |
SecurityRulePropertiesFormat
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| access | Der Netzwerkdatenverkehr wird zugelassen oder verweigert. | "Zulassen" "Verweigern" (erforderlich) |
| description | Eine Beschreibung für diese Regel. Auf 140 Zeichen beschränkt. | Zeichenfolge |
| destinationAddressPrefix | Das Zieladresspräfix. CIDR oder Ziel-IP-Bereich. Das Sternchen '*' kann auch verwendet werden, um alle Quell-IPs abzugleichen. Standardtags wie "VirtualNetwork", "AzureLoadBalancer" und "Internet" können ebenfalls verwendet werden. | Zeichenfolge |
| destinationAddressPrefixes | Die Zieladresspräfixe. CIDR- oder Ziel-IP-Bereiche. | string[] |
| destinationApplicationSecurityGroups | Die als Ziel angegebene Anwendungssicherheitsgruppe. | ApplicationSecurityGroup[] |
| destinationPortRange | Der Zielport oder -bereich. Ganze Zahl oder Bereich zwischen 0 und 65535. Sternchen "*" kann auch verwendet werden, um alle Ports abzugleichen. | Zeichenfolge |
| destinationPortRanges | Die Zielportbereiche. | string[] |
| direction | Die Richtung der Regel. Die Richtung gibt an, ob die Regel bei eingehendem oder ausgehendem Datenverkehr ausgewertet wird. | "Eingehend" "Ausgehend" (erforderlich) |
| priority | Die Priorität der Regel. Der Wert kann zwischen 100 und 4096 sein. Die Prioritätsnummer muss für jede Regel in der Auflistung eindeutig sein. Je niedrigere die Prioritätsnummer ist, desto höher ist die Priorität der Regel. | int (erforderlich) |
| Protokoll | Netzwerkprotokoll, für das diese Regel gilt. | '*' "Ah" "Esp" "Icmp" "TCP" "Udp" (erforderlich) |
| sourceAddressPrefix | Der CIDR- oder Quell-IP-Bereich. Das Sternchen '*' kann auch verwendet werden, um alle Quell-IPs abzugleichen. Standardtags wie "VirtualNetwork", "AzureLoadBalancer" und "Internet" können ebenfalls verwendet werden. Wenn es sich um eine Eingangsregel handelt, gibt an, woher der Netzwerkdatenverkehr stammt. | Zeichenfolge |
| sourceAddressPrefixes | Die CIDR- oder Quell-IP-Bereiche. | string[] |
| sourceApplicationSecurityGroups | Die als Quelle angegebene Anwendungssicherheitsgruppe. | ApplicationSecurityGroup[] |
| sourcePortRange | Der Quellport oder -bereich. Ganze Zahl oder Bereich zwischen 0 und 65535. Sternchen "*" kann auch verwendet werden, um alle Ports abzugleichen. | Zeichenfolge |
| sourcePortRanges | Die Quellportbereiche. | string[] |
ApplicationSecurityGroup
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| id | Ressourcen-ID | Zeichenfolge |
| location | Ressourcenspeicherort | Zeichenfolge |
| properties | Eigenschaften der Anwendungssicherheitsgruppe. | ApplicationSecurityGroupPropertiesFormat |
| tags | Ressourcentags. | Objekt (object) |
ApplicationSecurityGroupPropertiesFormat
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.
Schnellstartvorlagen
In den folgenden Schnellstartvorlagen wird dieser Ressourcentyp bereitgestellt.
| Vorlage | BESCHREIBUNG |
|---|---|
| Verwaltete Azure-Active Directory Domain Services |
Diese Vorlage stellt einen verwalteten Azure Active Directory-Domäne Service mit den erforderlichen VNET- und NSG-Konfigurationen bereit. |
| AKS-Cluster mit dem Application Gateway-Eingangscontroller |
In diesem Beispiel wird gezeigt, wie Sie einen AKS-Cluster mit Application Gateway, Application Gateway Eingangscontroller, Azure Container Registry, Log Analytics und Key Vault |
| App Gateway mit WAF, SSL, IIS und HTTPS-Umleitung |
Diese Vorlage stellt eine Application Gateway mit WAF, End-to-End-SSL und HTTP-zu-HTTPS-Umleitung auf den IIS-Servern bereit. |
| Erstellen einer IPv6-Application Gateway |
Mit dieser Vorlage wird ein Anwendungsgateway mit einem IPv6-Front-End in einem virtuellen Dual-Stack-Netzwerk erstellt. |
| Anwendungssicherheitsgruppen |
In dieser Vorlage wird gezeigt, wie Sie die Komponenten zum Sichern von Workloads mithilfe von NSGs mit Anwendungssicherheitsgruppen zusammenstellen. Es wird eine Linux-VM mit NGINX bereitgestellt, und durch die Verwendung von Applicaton-Sicherheitsgruppen in Netzwerksicherheitsgruppen ermöglichen wir den Zugriff auf die Ports 22 und 80 auf eine VM, die der Anwendungssicherheitsgruppe namens webServersAsg zugewiesen ist. |
| Azure Bastion as a Service mit NSG |
Diese Vorlage stellt Azure Bastion in einem Virtual Network |
| Verwenden von Azure Firewall als DNS-Proxy in einer Hub & Spoke-Topologie |
In diesem Beispiel wird gezeigt, wie Sie mithilfe der Azure Firewall eine Hub-Spoke-Topologie in Azure bereitstellen. Das virtuelle Hubnetzwerk fungiert als zentraler Verbindungspunkt mit virtuellen Netzwerken mit vielen Spokes, die über Peering virtueller Netzwerke mit dem virtuellen Hubnetzwerk verbunden sind. |
| Erstellen einer Sandbox mit Azure Firewall, Client-VM und Server-VM |
Mit dieser Vorlage wird ein virtuelles Netzwerk mit zwei Subnetzen (Serversubnetz und AzureFirewall-Subnetz), einer Server-VM, einer Client-VM, einer öffentlichen IP-Adresse für jeden virtuellen Computer und einer Routingtabelle zum Senden von Datenverkehr zwischen VMs über die Firewall erstellt. |
| Erstellen einer Firewall, FirewallPolicy mit explizitem Proxy |
Diese Vorlage erstellt eine Azure Firewall FirewalllPolicy mit explizitem Proxy und Netzwerkregeln mit IpGroups. Enthält auch ein Linux Jumpbox-VM-Setup. |
| Erstellen einer Firewall mit FirewallPolicy und IpGroups |
Diese Vorlage erstellt eine Azure Firewall mit FirewalllPolicy, die auf Netzwerkregeln mit IpGroups verweist. Enthält auch ein Linux Jumpbox-VM-Setup. |
| Erstellen einer Azure Firewall mit IpGroups |
Diese Vorlage erstellt eine Azure Firewall mit Anwendungs- und Netzwerkregeln, die auf IP-Gruppen verweisen. Enthält auch ein Linux Jumpbox-VM-Setup. |
| Erstellen einer Azure Firewall Sandbox mit Tunnelerzwingung |
Diese Vorlage erstellt eine Azure Firewall Sandbox (Linux) mit einer Firewallzwinge, die durch eine andere Firewall in einem per Peering verknüpften VNET getunnelt wird. |
| Erstellen eines Sandbox-Setups von Azure Firewall mit Linux-VMs |
Mit dieser Vorlage wird ein virtuelles Netzwerk mit drei Subnetzen (Serversubnetz, Jumpbox-Subet und AzureFirewall-Subnetz), eine Jumpbox-VM mit öffentlicher IP, eine Server-VM, eine UDR-Route erstellt, die auf Azure Firewall für das Serversubnetz verweist, und eine Azure Firewall mit mindestens 1 öffentlichen IP-Adressen, 1 Beispielanwendungsregel, 1 Beispielnetzwerkregel und privaten Standardbereichen |
| Erstellen eines Sandbox-Setups mit Firewallrichtlinie |
Diese Vorlage erstellt ein virtuelles Netzwerk mit 3 Subnetzen (Serversubnetz, Jumpbox-Subet und AzureFirewall-Subnetz), eine Jumpbox-VM mit öffentlicher IP-Adresse, eine Server-VM, eine UDR-Route, die auf Azure Firewall für das Serversubnetz verweist, und eine Azure Firewall mit mindestens 1 öffentlichen IP-Adressen. Erstellt außerdem eine Firewallrichtlinie mit einer Beispielanwendungsregel, einer Beispielnetzwerkregel und privaten Standardbereichen. |
| Erstellen einer Sandboxeinrichtung von Azure Firewall mit Zonen |
Diese Vorlage erstellt ein virtuelles Netzwerk mit drei Subnetzen (Serversubnetz, Jumpbox-Subnetz und Azure Firewall Subnetz), eine Jumpbox-VM mit öffentlicher IP, eine Server-VM, eine UDR-Route, die auf Azure Firewall für das ServerSubnet verweist, ein Azure Firewall mit mindestens einer öffentlichen IP-Adresse, einer Beispielanwendungsregel und einer Beispielnetzwerkregel und Azure Firewall in Verfügbarkeitszonen 1, 2 und 3. |
| ExpressRoute-Verbindung mit privatem Peering und Azure-VNET |
In dieser Vorlage wird das ExpressRoute-Microsoft-Peering konfiguriert, ein Azure-VNet mit Expressroute-Gateway bereitgestellt und das VNET mit der ExpressRoute-Verbindung verknüpft. |
| Erstellen von Azure Front Door vor Azure API Management |
In diesem Beispiel wird veranschaulicht, wie Sie Azure Front Door als globalen Lastenausgleich vor Azure API Management verwenden. |
| Erstellen einer Azure Firewall-Instanz mit mehreren öffentlichen IP-Adressen |
Mit dieser Vorlage wird ein Azure Firewall mit zwei öffentlichen IP-Adressen und zwei zu testenden Windows Server 2019-Servern erstellt. |
| Geschützte virtuelle Hubs |
Mit dieser Vorlage wird ein geschützter virtueller Hub erstellt, der Azure Firewall verwendet, um den Datenverkehr Ihres Cloudnetzwerks für das Internet zu schützen. |
| Erstellen eines regionsübergreifenden Lastenausgleichs |
Diese Vorlage erstellt einen regionsübergreifenden Lastenausgleich mit einem Back-End-Pool mit zwei regionalen Lastenausgleichsmodulen. Regionsübergreifender Lastenausgleich ist derzeit in begrenzten Regionen verfügbar. Die regionalen Lastenausgleichsmodule hinter dem regionsübergreifenden Lastenausgleich können sich in jeder Region befinden. |
| Load Balancer Standard mit Back-End-Pool nach IP-Adressen |
Diese Vorlage wird verwendet, um zu veranschaulichen, wie ARM-Vorlagen verwendet werden können, um den Back-End-Pool eines Load Balancer nach IP-Adresse zu konfigurieren, wie im Verwaltungsdokument des Back-End-Pools beschrieben. |
| Erstellen eines Lastenausgleichs mit einer öffentlichen IPv6-Adresse |
Diese Vorlage erstellt einen Lastenausgleich mit Internetzugriff mit einer öffentlichen IPv6-Adresse, Lastenausgleichsregeln und zwei VMs für den Back-End-Pool. |
| Erstellen einer Load Balancer Standard-Instanz |
Diese Vorlage erstellt einen Lastenausgleich mit Internetzugriff, Lastenausgleichsregeln und drei VMs für den Back-End-Pool mit jeder VM in einer redundanten Zone. |
| Virtual Network NAT mit VM |
Bereitstellen eines NAT-Gateways und eines virtuellen Computers |
| Anwenden einer NSG auf ein vorhandenes Subnetz |
Diese Vorlage wendet eine neu erstellte NSG auf ein vorhandenes Subnetz an. |
| Netzwerksicherheitsgruppe mit Diagnoseprotokollen |
Mit dieser Vorlage wird eine Netzwerksicherheitsgruppe mit Diagnoseprotokollen und einer Ressourcensperre erstellt. |
| Mehrschichtiges VNET mit NSGs und DMZ |
Diese Vorlage stellt eine Virtual Network mit 3 Subnetzen, 3 Netzwerksicherheitsgruppen und entsprechenden Sicherheitsregeln bereit, um das FrontEnd-Subnetz zu einer DMZ zu machen. |
| Azure Route Server im BGP-Peering mit Quagga |
Diese Vorlage stellt einen Routerserver und eine Ubuntu-VM mit Quagga bereit. Zwischen dem Routerserver und Quagga werden zwei externe BGP-Sitzungen eingerichtet. Die Installation und Konfiguration von Quagga wird von der benutzerdefinierten Azure-Skripterweiterung für Linux ausgeführt. |
| Erstellen einer Netzwerksicherheitsgruppe |
Mit dieser Vorlage wird eine Netzwerksicherheitsgruppe erstellt. |
| Erstellen einer Site-to-Site-VPN-Verbindung mit einem virtuellen Computer |
Mit dieser Vorlage können Sie eine Site-to-Site-VPN-Verbindung mit Virtual Network Gateways erstellen. |
| Site-to-Site-VPN mit Aktiv-Aktiv-VPN-Gateways mit BGP |
Mit dieser Vorlage können Sie ein Site-to-Site-VPN zwischen zwei VNETs mit VPN Gateways in der Konfiguration active-active mit BGP bereitstellen. Jede Azure-VPN Gateway löst den FQDN der Remote peers auf, um die öffentliche IP-Adresse des Remote-VPN Gateway zu ermitteln. Die Vorlage wird in Azure-Regionen mit Verfügbarkeitszonen wie erwartet ausgeführt. |
| Beispiel für eine Azure Traffic Manager-VM |
Diese Vorlage zeigt, wie Sie einen Azure Traffic Manager-Profillastenausgleich über mehrere virtuelle Computer erstellen. |
| Beispiel für eine Azure Traffic Manager-VM mit Verfügbarkeitszonen |
Diese Vorlage zeigt, wie Sie einen Azure Traffic Manager-Profillastenausgleich über mehrere virtuelle Computer erstellen, die sich in Verfügbarkeitszonen befinden. |
| Benutzerdefinierte Routen und Appliance |
Diese Vorlage stellt eine Virtual Network, VMs in den jeweiligen Subnetzen und Routen bereit, um Datenverkehr an die Anwendung |
| 201-vnet-2subnets-service-endpoints-storage-integration |
Erstellt 2 neue VMs mit jeweils einer NIC in zwei verschiedenen Subnetzen innerhalb desselben VNET. Legt den Dienstendpunkt für eines der Subnetze fest und sichert das Speicherkonto in diesem Subnetz. |
| Hinzufügen einer NSG mit Redis-Sicherheitsregeln zu einem vorhandenen Subnetz |
Mit dieser Vorlage können Sie einem vorhandenen Subnetz innerhalb eines VNET eine NSG mit vorkonfigurierten Azure Redis Cache-Sicherheitsregeln hinzufügen. Stellen Sie in der Ressourcengruppe des vorhandenen VNET bereit. |
Terraform (AzAPI-Anbieter) Ressourcendefinition
Der ressourcentyp networkSecurityGroups kann mit Vorgängen bereitgestellt werden, die Folgendes zum Ziel haben:
- Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Network/networkSecurityGroups-Ressource zu erstellen, fügen Sie der Vorlage die folgende Terraform-Ressource hinzu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/networkSecurityGroups@2023-04-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
flushConnection = bool
securityRules = [
{
id = "string"
name = "string"
properties = {
access = "string"
description = "string"
destinationAddressPrefix = "string"
destinationAddressPrefixes = [
"string"
]
destinationApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
destinationPortRange = "string"
destinationPortRanges = [
"string"
]
direction = "string"
priority = int
protocol = "string"
sourceAddressPrefix = "string"
sourceAddressPrefixes = [
"string"
]
sourceApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
sourcePortRange = "string"
sourcePortRanges = [
"string"
]
}
type = "string"
}
]
}
})
}
Eigenschaftswerte
networkSecurityGroups
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| type | Ressourcentyp | "Microsoft.Network/networkSecurityGroups@2023-04-01" |
| name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 1-80 Gültige Zeichen: Alphanumerische Zeichen, Unterstriche, Punkte und Bindestriche. Beginnen Sie mit einem alphanumerischen Zeichen. Enden Sie mit einem alphanumerischen Zeichen oder einem Unterstrich. |
| location | Ressourcenspeicherort | Zeichenfolge |
| parent_id | Verwenden Sie zum Bereitstellen in einer Ressourcengruppe die ID dieser Ressourcengruppe. | Zeichenfolge (erforderlich) |
| tags | Ressourcentags. | Wörterbuch der Tagnamen und -werte. |
| properties | Eigenschaften der Netzwerksicherheitsgruppe. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| flushConnection | Wenn diese Option aktiviert ist, werden Flows, die über Netzwerksicherheitsgruppenverbindungen erstellt wurden, neu ausgewertet, wenn Regeln aktualisiert werden. Die anfängliche Aktivierung löst eine erneute Auswertung aus. | bool |
| securityRules | Eine Sammlung von Sicherheitsregeln der Netzwerksicherheitsgruppe. | SecurityRule[] |
SecurityRule
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| id | Ressourcen-ID | Zeichenfolge |
| name | Der Name der Ressource, die innerhalb einer Ressourcengruppe eindeutig ist. Dieser Name kann für den Zugriff auf die Ressource verwendet werden. | Zeichenfolge |
| properties | Eigenschaften der Sicherheitsregel. | SecurityRulePropertiesFormat |
| Typ | Der Typ der Ressource. | Zeichenfolge |
SecurityRulePropertiesFormat
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| access | Der Netzwerkdatenverkehr wird zugelassen oder verweigert. | "Zulassen" "Verweigern" (erforderlich) |
| description | Eine Beschreibung für diese Regel. Auf 140 Zeichen beschränkt. | Zeichenfolge |
| destinationAddressPrefix | Das Zieladresspräfix. CIDR oder Ziel-IP-Bereich. Das Sternchen '*' kann auch verwendet werden, um alle Quell-IPs abzugleichen. Standardtags wie "VirtualNetwork", "AzureLoadBalancer" und "Internet" können ebenfalls verwendet werden. | Zeichenfolge |
| destinationAddressPrefixes | Die Zieladresspräfixe. CIDR- oder Ziel-IP-Bereiche. | string[] |
| destinationApplicationSecurityGroups | Die als Ziel angegebene Anwendungssicherheitsgruppe. | ApplicationSecurityGroup[] |
| destinationPortRange | Der Zielport oder -bereich. Ganze Zahl oder Bereich zwischen 0 und 65535. Sternchen "*" kann auch verwendet werden, um alle Ports abzugleichen. | Zeichenfolge |
| destinationPortRanges | Die Zielportbereiche. | string[] |
| direction | Die Richtung der Regel. Die Richtung gibt an, ob die Regel bei eingehendem oder ausgehendem Datenverkehr ausgewertet wird. | "Eingehend" "Ausgehend" (erforderlich) |
| priority | Die Priorität der Regel. Der Wert kann zwischen 100 und 4096 sein. Die Prioritätsnummer muss für jede Regel in der Auflistung eindeutig sein. Je niedrigere die Prioritätsnummer ist, desto höher ist die Priorität der Regel. | int (erforderlich) |
| Protokoll | Netzwerkprotokoll, für das diese Regel gilt. | "*" "Ah" "Esp" "Icmp" "TCP" "Udp" (erforderlich) |
| sourceAddressPrefix | Der CIDR- oder Quell-IP-Bereich. Das Sternchen '*' kann auch verwendet werden, um alle Quell-IPs abzugleichen. Standardtags wie "VirtualNetwork", "AzureLoadBalancer" und "Internet" können ebenfalls verwendet werden. Wenn es sich um eine Eingangsregel handelt, gibt an, woher der Netzwerkdatenverkehr stammt. | Zeichenfolge |
| sourceAddressPrefixes | Die CIDR- oder Quell-IP-Bereiche. | string[] |
| sourceApplicationSecurityGroups | Die als Quelle angegebene Anwendungssicherheitsgruppe. | ApplicationSecurityGroup[] |
| sourcePortRange | Der Quellport oder -bereich. Ganze Zahl oder Bereich zwischen 0 und 65535. Sternchen "*" kann auch verwendet werden, um alle Ports abzugleichen. | Zeichenfolge |
| sourcePortRanges | Die Quellportbereiche. | string[] |
ApplicationSecurityGroup
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| id | Ressourcen-ID | Zeichenfolge |
| location | Ressourcenspeicherort | Zeichenfolge |
| properties | Eigenschaften der Anwendungssicherheitsgruppe. | ApplicationSecurityGroupPropertiesFormat |
| tags | Ressourcentags. | Objekt (object) |
ApplicationSecurityGroupPropertiesFormat
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für