Démarrage rapide : Déployer le Pare-feu Azure avec des zones de disponibilité - Terraform

Dans ce guide de démarrage rapide, vous allez utiliser Terraform pour déployer un pare-feu Azure dans trois zones de disponibilité.

Terraform active la définition, la préversion et le déploiement de l’infrastructure cloud. À l’aide de Terraform, vous créez des fichiers de configuration à l’aide de la syntaxe HCL. La syntaxe HCL vous permet de spécifier le fournisseur de cloud , tel qu’Azure, et les éléments qui composent votre infrastructure cloud. Après avoir créé vos fichiers de configuration, vous créez un plan d’exécution qui vous permet d’afficher un aperçu des modifications de votre infrastructure avant leur déploiement. Une fois que vous avez vérifié les modifications, vous appliquez le plan d’exécution pour déployer l’infrastructure.

La configuration Terraform crée un environnement réseau de test avec un pare-feu. Le réseau dispose d’un réseau virtuel (VNet) avec trois sous-réseaux : AzureFirewallSubnet, subnet-server et subnet-jump. Les sous-réseaux subnet-server et subnet-jump disposent chacun d’une seule machine virtuelle Windows Server à deux cœurs.

Le pare-feu se trouve dans le sous-réseau AzureFirewallSubnet et dispose d’une collection de règles d’application avec une seule règle qui permet d’accéder à www.microsoft.com.

Un itinéraire défini par l’utilisateur achemine le trafic réseau du sous-réseau du serveur de sous-réseau à travers le pare-feu où les règles de pare-feu sont appliquées.

Pour plus d’informations sur le Pare-feu Azure, consultez Déployer et configurer le Pare-feu Azure à l’aide du portail Azure.

Dans cet article, vous allez apprendre à :

• Créer une valeur aléatoire (à utiliser dans le nom du groupe de ressources) avec random_pet
• Créer un groupe de ressources Azure à l’aide de azurerm_resource_group
• Créer un réseau virtuel Azure à l’aide de azurerm_virtual_network
• Créer trois sous-réseaux Azure à l’aide de azurerm_subnet
• Créer une adresse IP Azure publique à l’aide d’azurerm_public_ip
• Créer une stratégie de pare-feu Azure à l’aide de azurerm_firewall_policy
• Créer un groupe de règles de stratégie de pare-feu Azure en utilisant azurerm_firewall_policy_rule_collection_group
• Créer un pare-feu Azure à l’aide de azurerm_firewall
• Créer une interface réseau à l’aide d’azurerm_network_interface
• Créez un groupe de sécurité réseau (pour contenir une liste de règles de sécurité réseau) à l’aide de azurerm_network_security_group
• Créer une association entre l’interface réseau et le groupe de sécurité réseau à l’aide de - azurerm_network_interface_security_group_association
• Créer une table de routage à l’aide de azurerm_route_table
• Créer une association entre la table de routage et le sous-réseau à l’aide de - azurerm_subnet_route_table_association
• Créez une valeur aléatoire (à utiliser comme nom de stockage) à l’aide de random_string
• Créer un compte de stockage à l’aide de azurerm_storage_account
• Créez un mot de passe aléatoire pour la machine virtuelle Windows à l’aide de random_password
• Créer une machine virtuelle Windows Azure à l’aide de azurerm_windows_virtual_machine

Conditions préalables

• Installer et configurer Terraform

Implémenter le code Terraform

Remarque

L’exemple de code de cet article se trouve dans le dépôt GitHub Azure Terraform . Vous pouvez afficher le fichier journal contenant les résultats des tests des versions actuelles et précédentes de Terraform.

Consultez d’autres articles et exemples de code montrant comment utiliser Terraform pour gérer les ressources Azure

1. Créez un répertoire dans lequel tester l’exemple de code Terraform et définissez-le comme répertoire actuel.

2. Créez un fichier nommé providers.tf et insérez le code suivant :

   terraform {
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

3. Créez un fichier nommé main.tf et insérez le code suivant :

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "random_string" "storage_account_name" {
     length  = 8
     lower   = true
     numeric = false
     special = false
     upper   = false
   }
   
   resource "random_password" "password" {
     length      = 20
     min_lower   = 1
     min_upper   = 1
     min_numeric = 1
     min_special = 1
     special     = true
   }
   
   resource "azurerm_resource_group" "rg" {
     name     = random_pet.rg_name.id
     location = var.resource_group_location
   }
   
   resource "azurerm_public_ip" "pip_azfw" {
     name                = "pip-azfw"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     allocation_method   = "Static"
     sku                 = "Standard"
     zones               = ["1", "2", "3"]
   }
   
   resource "azurerm_storage_account" "sa" {
     name                     = random_string.storage_account_name.result
     resource_group_name      = azurerm_resource_group.rg.name
     location                 = azurerm_resource_group.rg.location
     account_tier             = "Standard"
     account_replication_type = "LRS"
     account_kind             = "StorageV2"
   }
   
   resource "azurerm_virtual_network" "azfw_vnet" {
     name                = "azfw-vnet"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     address_space       = ["10.10.0.0/16"]
   }
   
   resource "azurerm_subnet" "azfw_subnet" {
     name                 = "AzureFirewallSubnet"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.0.0/26"]
   }
   
   resource "azurerm_subnet" "server_subnet" {
     name                 = "subnet-server"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.1.0/24"]
   }
   
   resource "azurerm_subnet" "jump_subnet" {
     name                 = "subnet-jump"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.2.0/24"]
   }
   
   resource "azurerm_public_ip" "vm_jump_pip" {
     name                = "pip-jump"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     allocation_method   = "Static"
     sku                 = "Standard"
   }
   
   resource "azurerm_network_interface" "vm_server_nic" {
     name                = "nic-server"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   
     ip_configuration {
       name                          = "ipconfig-workload"
       subnet_id                     = azurerm_subnet.server_subnet.id
       private_ip_address_allocation = "Dynamic"
     }
   }
   
   resource "azurerm_network_interface" "vm_jump_nic" {
     name                = "nic-jump"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   
     ip_configuration {
       name                          = "ipconfig-jump"
       subnet_id                     = azurerm_subnet.jump_subnet.id
       private_ip_address_allocation = "Dynamic"
       public_ip_address_id          = azurerm_public_ip.vm_jump_pip.id
     }
   }
   
   resource "azurerm_network_security_group" "vm_server_nsg" {
     name                = "nsg-server"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   }
   
   resource "azurerm_network_security_group" "vm_jump_nsg" {
     name                = "nsg-jump"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     security_rule {
       name                       = "Allow-TCP"
       priority                   = 1000
       direction                  = "Inbound"
       access                     = "Allow"
       protocol                   = "Tcp"
       source_port_range          = "*"
       destination_port_range     = "3389"
       source_address_prefix      = "*"
       destination_address_prefix = "*"
     }
   }
   
   resource "azurerm_network_interface_security_group_association" "vm_server_nsg_association" {
     network_interface_id      = azurerm_network_interface.vm_server_nic.id
     network_security_group_id = azurerm_network_security_group.vm_server_nsg.id
   }
   
   resource "azurerm_network_interface_security_group_association" "vm_jump_nsg_association" {
     network_interface_id      = azurerm_network_interface.vm_jump_nic.id
     network_security_group_id = azurerm_network_security_group.vm_jump_nsg.id
   }
   
   resource "azurerm_windows_virtual_machine" "vm_server" {
     name                  = "server-vm"
     resource_group_name   = azurerm_resource_group.rg.name
     location              = azurerm_resource_group.rg.location
     computer_name         = "server"
     size                  = var.virtual_machine_size
     admin_username        = var.admin_username
     admin_password        = random_password.password.result
     network_interface_ids = [azurerm_network_interface.vm_server_nic.id]
     os_disk {
       caching              = "ReadWrite"
       storage_account_type = "Standard_LRS"
       disk_size_gb         = "128"
     }
     source_image_reference {
       publisher = "MicrosoftWindowsServer"
       offer     = "WindowsServer"
       sku       = "2019-Datacenter"
       version   = "latest"
     }
     boot_diagnostics {
       storage_account_uri = azurerm_storage_account.sa.primary_blob_endpoint
     }
   }
   
   resource "azurerm_windows_virtual_machine" "vm_jump" {
     name                  = "jump-vm"
     resource_group_name   = azurerm_resource_group.rg.name
     location              = azurerm_resource_group.rg.location
     computer_name         = "jumpbox"
     size                  = var.virtual_machine_size
     admin_username        = var.admin_username
     admin_password        = random_password.password.result
     network_interface_ids = [azurerm_network_interface.vm_jump_nic.id]
     os_disk {
       caching              = "ReadWrite"
       storage_account_type = "Standard_LRS"
       disk_size_gb         = "128"
     }
     source_image_reference {
       publisher = "MicrosoftWindowsServer"
       offer     = "WindowsServer"
       sku       = "2019-Datacenter"
       version   = "latest"
     }
     boot_diagnostics {
       storage_account_uri = azurerm_storage_account.sa.primary_blob_endpoint
     }
   }
   
   resource "azurerm_firewall_policy" "azfw_policy" {
     name                     = "azfw-policy"
     resource_group_name      = azurerm_resource_group.rg.name
     location                 = azurerm_resource_group.rg.location
     sku                      = var.firewall_sku_tier
     threat_intelligence_mode = "Alert"
   }
   
   resource "azurerm_firewall_policy_rule_collection_group" "prcg" {
     name               = "prcg"
     firewall_policy_id = azurerm_firewall_policy.azfw_policy.id
     priority           = 300
     application_rule_collection {
       name     = "appRc1"
       priority = 101
       action   = "Allow"
       rule {
         name = "appRule1"
         protocols {
           type = "Http"
           port = 80
         }
         protocols {
           type = "Https"
           port = 443
         }
         destination_fqdns = ["www.microsoft.com"]
         source_addresses  = ["10.10.1.0/24"]
       }
     }
     network_rule_collection {
       name     = "netRc1"
       priority = 200
       action   = "Allow"
       rule {
         name                  = "netRule1"
         protocols             = ["TCP"]
         source_addresses      = ["10.10.1.0/24"]
         destination_addresses = ["*"]
         destination_ports     = ["8000", "8999"]
       }
     }
   }
   
   resource "azurerm_firewall" "fw" {
     name                = "azfw"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     sku_name            = "AZFW_VNet"
     sku_tier            = var.firewall_sku_tier
     zones               = ["1", "2", "3"]
     ip_configuration {
       name                 = "azfw-ipconfig"
       subnet_id            = azurerm_subnet.azfw_subnet.id
       public_ip_address_id = azurerm_public_ip.pip_azfw.id
     }
     firewall_policy_id = azurerm_firewall_policy.azfw_policy.id
   }
   
   resource "azurerm_route_table" "rt" {
     name                          = "rt-azfw-eus"
     location                      = azurerm_resource_group.rg.location
     resource_group_name           = azurerm_resource_group.rg.name
     disable_bgp_route_propagation = false
     route {
       name                   = "azfwDefaultRoute"
       address_prefix         = "0.0.0.0/0"
       next_hop_type          = "VirtualAppliance"
       next_hop_in_ip_address = azurerm_firewall.fw.ip_configuration[0].private_ip_address
     }
   }
   
   resource "azurerm_subnet_route_table_association" "jump_subnet_rt_association" {
     subnet_id      = azurerm_subnet.server_subnet.id
     route_table_id = azurerm_route_table.rt.id
   }
   

4. Créez un fichier nommé variables.tf et insérez le code suivant :

   variable "resource_group_location" {
     type        = string
     description = "Location for all resources."
     default     = "eastus"
   }
   
   variable "resource_group_name_prefix" {
     type        = string
     description = "Prefix for the Resource Group Name that's combined with a random id so name is unique in your Azure subcription."
     default     = "rg"
   }
   
   variable "firewall_sku_tier" {
     type        = string
     description = "Firewall SKU."
     default     = "Premium" # Valid values are Standard and Premium
     validation {
       condition     = contains(["Standard", "Premium"], var.firewall_sku_tier)
       error_message = "The SKU must be one of the following: Standard, Premium"
     }
   }
   
   variable "virtual_machine_size" {
     type        = string
     description = "Size of the virtual machine."
     default     = "Standard_D2_v3"
   }
   
   variable "admin_username" {
     type        = string
     description = "Value of the admin username."
     default     = "azureuser"
   }
   

5. Créez un fichier nommé outputs.tf et insérez le code suivant :

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   
   output "firewall_name" {
     value = azurerm_firewall.fw.name
   }
   

Initialisez Terraform

Exécutez terraform init pour initialiser le déploiement Terraform. Cette commande télécharge le fournisseur Azure requis pour gérer vos ressources Azure.

terraform init -upgrade

Points clés :

• Le paramètre -upgrade met à niveau les plug-ins de fournisseur nécessaires vers la version la plus récente conforme aux contraintes de version de la configuration.

Créer un plan d’exécution Terraform

Exécutez le plan terraform pour créer un plan d’exécution.

terraform plan -out main.tfplan

Points clés :

• La commande terraform plan crée un plan d’exécution, mais ne l’exécute pas. Au lieu de cela, il détermine les actions nécessaires pour créer la configuration spécifiée dans vos fichiers de configuration. Ce modèle vous permet de vérifier si le plan d’exécution correspond à vos attentes avant d’apporter des modifications aux ressources réelles.
• Le paramètre -out facultatif vous permet de spécifier un fichier de sortie pour le plan. L’utilisation du paramètre -out garantit que le plan que vous avez examiné est exactement ce qui est appliqué.

Appliquer un plan d’exécution Terraform

Exécutez terraform pour appliquer le plan d’exécution à votre infrastructure cloud.

terraform apply main.tfplan

Points clés :

• L’exemple terraform apply commande suppose que vous avez précédemment exécuté terraform plan -out main.tfplan.
• Si vous avez spécifié un nom de fichier différent pour le paramètre -out, utilisez ce même nom de fichier dans l’appel à terraform apply.
• Si vous n’avez pas utilisé le paramètre -out, appelez terraform apply sans aucun paramètre.

Vérifier les résultats

Azure CLI

1. Obtenez le nom du groupe de ressources Azure.

   resource_group_name=$(terraform output -raw resource_group_name)
   

2. Obtenez le nom du pare-feu.

   firewall_name=$(terraform output -raw firewall_name)
   

3. Exécutez az network firewall show avec une requête JMESPath pour afficher les zones de disponibilité du pare-feu.

   az network firewall show --name $firewall_name --resource-group $resource_group_name --query "{Zones:zones"}
   

Nettoyer les ressources

Lorsque vous n’avez plus besoin des ressources créées via Terraform, procédez comme suit :

1. Exécutez terraform plan et spécifiez le flag destroy.

   terraform plan -destroy -out main.destroy.tfplan
   

   Points clés :

   • La commande terraform plan crée un plan d’exécution, mais ne l’exécute pas. Au lieu de cela, il détermine les actions nécessaires pour créer la configuration spécifiée dans vos fichiers de configuration. Ce modèle vous permet de vérifier si le plan d’exécution correspond à vos attentes avant d’apporter des modifications aux ressources réelles.
   • Le paramètre -out facultatif vous permet de spécifier un fichier de sortie pour le plan. L’utilisation du paramètre -out garantit que le plan que vous avez examiné est exactement ce qui est appliqué.

2. Exécutez terraform apply pour appliquer le plan d’exécution.

   terraform apply main.destroy.tfplan
   

Résoudre les problèmes de Terraform sur Azure

Résoudre les problèmes courants lors de l’utilisation de Terraform sur Azure

Étapes suivantes

Ensuite, vous pouvez surveiller les journaux d’activité de Pare-feu Azure.

Tutoriel : Superviser les journaux d’activité de Pare-feu Azure