Compartir a través de

Migración de Azure Firewall estándar a prémium con Terraform

  • Artículo

Terraform habilita la definición, vista previa e implementación de la infraestructura en la nube. Con Terraform, se crean archivos de configuración mediante la sintaxis de HCL. La sintaxis de HCL permite especificar el proveedor de la nube, como Azure, y los elementos que componen la infraestructura de la nube. Después de crear los archivos de configuración, se crea un plan de ejecución que permite obtener una vista previa de los cambios de infraestructura antes de implementarlos. Una vez que compruebe los cambios, aplique el plan de ejecución para implementar la infraestructura.

Si usa Terraform para implementar Azure Firewall estándar con reglas clásicas, puede modificar el archivo de configuración de Terraform para migrar el firewall a Azure Firewall prémium mediante una directiva de firewall prémium.

En este artículo aprenderá a:

  • Implementar una instancia de Azure Firewall estándar con reglas clásicas mediante Terraform.
  • Importar las reglas de firewall en una directiva de firewall prémium.
  • Editar el archivo de configuración de Terraform para migrar el firewall.

1. Configurar su entorno

  • Suscripción de Azure: si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

2. Implementación del código de Terraform

  1. Cree un directorio en el que probar el código de ejemplo de Terraform y conviértalo en el directorio actual.

  2. Cree un archivo denominado main.tf e inserte el siguiente código:

    resource "random_pet" "prefix" {
  prefix = var.prefix
  length = 1
}
resource "azurerm_resource_group" "rg" {
  name     = "${random_pet.prefix.id}-rg"
  location = var.resource_group_location
}

resource "azurerm_virtual_network" "vnet" {
  name                = "${random_pet.prefix.id}-vnet"
  address_space       = ["10.0.0.0/16"]
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name
}

resource "azurerm_subnet" "subnet" {
  name                 = "AzureFirewallSubnet"
  resource_group_name  = azurerm_resource_group.rg.name
  virtual_network_name = azurerm_virtual_network.vnet.name
  address_prefixes     = ["10.0.1.0/24"]
}

resource "azurerm_public_ip" "pip" {
  name                = "${random_pet.prefix.id}-pip"
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name
  allocation_method   = "Static"
  sku                 = "Standard"
}

resource "azurerm_firewall" "main" {
  name                = "${random_pet.prefix.id}-fw"
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name
  sku_name            = "AZFW_VNet"
  sku_tier            = "Standard"

  ip_configuration {
    name                 = "configuration"
    subnet_id            = azurerm_subnet.subnet.id
    public_ip_address_id = azurerm_public_ip.pip.id
  }
}

resource "azurerm_firewall_application_rule_collection" "app-rc" {
  name                = "${random_pet.prefix.id}-app-rc"
  azure_firewall_name = azurerm_firewall.main.name
  resource_group_name = azurerm_resource_group.rg.name
  priority            = 100
  action              = "Allow"

  rule {
    name = "testrule"

    source_addresses = [
      "10.0.0.0/16",
    ]

    target_fqdns = [
      "*.google.com",
    ]

    protocol {
      port = "443"
      type = "Https"
    }
  }
}

resource "azurerm_firewall_network_rule_collection" "net-rc" {
  name                = "${random_pet.prefix.id}-net-rc"
  azure_firewall_name = azurerm_firewall.main.name
  resource_group_name = azurerm_resource_group.rg.name
  priority            = 100
  action              = "Allow"

  rule {
    name = "dnsrule"

    source_addresses = [
      "10.0.0.0/16",
    ]

    destination_ports = [
      "53",
    ]

    destination_addresses = [
      "8.8.8.8",
      "8.8.4.4",
    ]

    protocols = [
      "TCP",
      "UDP",
    ]
  }
}

  3. Cree un archivo denominado variables.tf e inserte el siguiente código:

    variable "resource_group_location" {
  type        = string
  default     = "eastus"
  description = "Location of the resource group."
}

variable "prefix" {
  type        = string
  default     = "firewall-standard"
  description = "Prefix of the resource name"
}

3. Inicialización de Terraform

Para inicializar la implementación de Terraform, ejecute terraform init. Este comando descarga el proveedor de Azure necesario para administrar los recursos de Azure.

terraform init -upgrade

Puntos clave:

  • El parámetro -upgrade actualiza los complementos de proveedor necesarios a la versión más reciente que cumpla con las restricciones de versión de la configuración.

4. Creación de un plan de ejecución de Terraform

Ejecute terraform plan para crear un plan de ejecución.

terraform plan -out main.tfplan

Puntos clave:

  • El comando terraform plan crea un plan de ejecución, pero no lo ejecuta. En su lugar, determina qué acciones son necesarias para crear la configuración especificada en los archivos de configuración. Este patrón le permite comprobar si el plan de ejecución coincide con sus expectativas antes de realizar cambios en los recursos reales.
  • El parámetro -out opcional permite especificar un archivo de salida para el plan. El uso del parámetro -out garantiza que el plan que ha revisado es exactamente lo que se aplica.

5. Aplicación de un plan de ejecución de Terraform

Ejecute terraform apply para aplicar el plan de ejecución a su infraestructura en la nube.

terraform apply main.tfplan

Puntos clave:

  • El comando terraform apply de ejemplo asume que ejecutó terraform plan -out main.tfplan previamente.
  • Si especificó un nombre de archivo diferente para el parámetro -out, use ese mismo nombre de archivo en la llamada a terraform apply.
  • Si no ha utilizado el parámetro -out, llame a terraform apply sin ningún parámetro.

6. Importación de las reglas de firewall en una directiva prémium

Ahora tiene un firewall estándar con reglas clásicas. A continuación, cree una directiva de firewall prémium e importe las reglas del firewall.

  1. En Azure Portal, seleccione Crear un recurso.
  2. Busque directiva de firewall y selecciónela.
  3. Seleccione Crear.
  4. Como grupo de recursos, seleccione test-resources.
  5. Como nombre, escriba prem-pol.
  6. Como región, seleccione Este de EE. UU.
  7. Como nivel de directiva, seleccione Prémium.
  8. Seleccione Siguiente: Configuración DNS y continúe hasta llegar a la página Reglas.
  9. En la página Reglas, seleccione Importar reglas desde Azure Firewall.
  10. Seleccione testfirewall y, luego, elija Importar.
  11. Seleccione Revisar + crear.
  12. Seleccione Crear.

7. Edición del archivo de configuración de Terraform para migrar el firewall

Abra el archivo main.tf y realice los siguientes cambios:

  1. Agregue la siguiente sección "data":

    data "azurerm_firewall_policy" "prem-pol" {
  name                 = "prem-pol"
  resource_group_name  = azurerm_resource_group.rg.name
}

  2. Modifique el recurso de firewall:

     resource "azurerm_firewall" "fw" {
     name                = "testfirewall"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     firewall_policy_id  = data.azurerm_firewall_policy.prem-pol.id
     sku_tier            = "Premium"

 ip_configuration {
     name                 = "configuration"
     subnet_id            = azurerm_subnet.subnet.id
     public_ip_address_id = azurerm_public_ip.pip.id
 }
}

  3. Elimine las colecciones de reglas clásicas:

    resource "azurerm_firewall_application_rule_collection" "app-rc" {
  name                = "apptestcollection"
  azure_firewall_name = azurerm_firewall.fw.name
  resource_group_name = azurerm_resource_group.rg.name
  priority            = 100
  action              = "Allow"

  rule {
    name = "testrule"

    source_addresses = [
      "10.0.0.0/16",
    ]

    target_fqdns = [
      "*.google.com",
    ]

    protocol {
      port = "443"
      type = "Https"
    }
  }
}

resource "azurerm_firewall_network_rule_collection" "net-rc" {
  name                = "nettestcollection"
  azure_firewall_name = azurerm_firewall.fw.name
  resource_group_name = azurerm_resource_group.rg.name
  priority            = 100
  action              = "Allow"

  rule {
    name = "dnsrule"

    source_addresses = [
      "10.0.0.0/16",
    ]

    destination_ports = [
      "53",
    ]

    destination_addresses = [
      "8.8.8.8",
      "8.8.4.4",
    ]

    protocols = [
      "TCP",
      "UDP",
    ]
  }
}

8. Aplicación de un plan de ejecución de Terraform modificado

  1. terraform plan -out main.tfplan
  2. terraform apply main.tfplan

9. Verificación de los resultados

  1. Seleccione el grupo de recursos test-resources.
  2. Seleccione el recurso testfirewall.
  3. Compruebe que la SKU del firewall es Prémium.
  4. Compruebe que el firewall usa la directiva de firewall prem-pol. Azure Firewall prémium con una directiva premium.

10. Limpieza de los recursos

Cuando ya no necesite los recursos creados a través de Terraform, realice los pasos siguientes:

  1. Ejecute el comando terraform plan y especifique la marca destroy.

    terraform plan -destroy -out main.destroy.tfplan

    Puntos clave:

    • El comando terraform plan crea un plan de ejecución, pero no lo ejecuta. En su lugar, determina qué acciones son necesarias para crear la configuración especificada en los archivos de configuración. Este patrón le permite comprobar si el plan de ejecución coincide con sus expectativas antes de realizar cambios en los recursos reales.
    • El parámetro -out opcional permite especificar un archivo de salida para el plan. El uso del parámetro -out garantiza que el plan que ha revisado es exactamente lo que se aplica.

  2. Ejecute terraform apply para aplicar el plan de ejecución.

    terraform apply main.destroy.tfplan

Solución de problemas de Terraform en Azure

Solución de problemas comunes al usar Terraform en Azure

Pasos siguientes

Más información sobre el uso de Terraform en Azure