Questo browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare i vantaggi di funzionalità più recenti, aggiornamenti della sicurezza e supporto tecnico.
In questa guida introduttiva si usa Terraform per distribuire un Firewall di Azure con più indirizzi IP pubblici da un prefisso di indirizzo IP pubblico. Il firewall distribuito include regole della raccolta regole NAT che consentono connessioni RDP a due macchine virtuali Windows Server 2019.
Terraform consente di definire, visualizzare in anteprima e distribuire l'infrastruttura cloud. Con Terraform è possibile creare file di configurazione usando la sintassi HCL. La sintassi HCL consente di specificare il provider di servizi cloud, ad esempio Azure, e gli elementi che costituiscono l'infrastruttura cloud. Dopo aver creato i file di configurazione, è necessario creare un piano di esecuzione che consenta di visualizzare in anteprima le modifiche apportate all'infrastruttura prima che vengano distribuite. Dopo aver verificato le modifiche, è possibile applicare il piano di esecuzione per distribuire l'infrastruttura.
Per altre informazioni su Firewall di Azure con più indirizzi IP pubblici, vedere Distribuire un Firewall di Azure con più indirizzi IP pubblici usando Azure PowerShell.
In questo articolo vengono illustrate le operazioni seguenti:
- Creare un valore casuale (da usare nel nome del gruppo di risorse) usando random_pet
- Creare una password casuale per la macchina virtuale Windows usando random_password
- Creare un gruppo di risorse di Azure usando azurerm_resource_group
- Creare un prefisso IP pubblico di Azure usando azurerm_public_ip_prefix
- Creare un indirizzo IP pubblico di Azure usando azurerm_public_ip
- Creare una rete virtuale di Azure usando azurerm_virtual_network
- Creare una subnet di Azure usando azurerm_subnet
- Creare un'interfaccia di rete usando azurerm_network_interface
- Creare un gruppo di sicurezza di rete (per contenere un elenco di regole di sicurezza di rete) usando azurerm_network_security_group
- Creare un'associazione tra un'interfaccia di rete e un gruppo di sicurezza di rete usando azurerm_network_interface_security_group_association
- Creare una macchina virtuale Windows usando azurerm_windows_virtual_machine
- Creare un criterio di Firewall di Azure usando azurerm_firewall_policy
- Creare un gruppo di raccolta regole dei criteri di Firewall di Azure usando azurerm_firewall_policy_rule_collection_group
- Creare un Firewall di Azure usando azurerm_firewall
- Creare una tabella di route usando azurerm_route_table
- Creare un'associazione tra la tabella di route e la subnet usando - azurerm_subnet_route_table_association
Nota
Il codice di esempio per questo articolo si trova nel repository GitHub di Azure Terraform. È possibile visualizzare il file di log contenente i risultati del test delle versioni correnti e precedenti di Terraform.
Vedere altri articoli e codice di esempio che illustrano come usare Terraform per gestire le risorse di Azure
Creare una directory in cui testare il codice Terraform di esempio e impostarla come directory corrente.
Creare un file denominato providers.tf e inserire il codice seguente:
terraform {
required_providers {
azurerm = {
source = "hashicorp/azurerm"
version = "~>3.0"
}
random = {
source = "hashicorp/random"
version = "~>3.0"
}
}
}
provider "azurerm" {
features {
virtual_machine {
delete_os_disk_on_deletion = true
skip_shutdown_and_force_delete = true
}
}
}
Creare un file denominato main.tf e inserire il codice seguente:
resource "random_pet" "rg_name" {
prefix = var.resource_group_name_prefix
}
resource "random_password" "password" {
count = 2
length = 20
min_lower = 1
min_upper = 1
min_numeric = 1
min_special = 1
special = true
}
resource "azurerm_resource_group" "rg" {
name = random_pet.rg_name.id
location = var.resource_group_location
}
resource "azurerm_public_ip_prefix" "pip_prefix" {
name = "pip-prefix"
location = azurerm_resource_group.rg.location
resource_group_name = azurerm_resource_group.rg.name
sku = "Standard"
prefix_length = 31
}
resource "azurerm_public_ip" "pip_azfw" {
name = "pip-azfw"
location = azurerm_resource_group.rg.location
resource_group_name = azurerm_resource_group.rg.name
sku = "Standard"
allocation_method = "Static"
public_ip_prefix_id = azurerm_public_ip_prefix.pip_prefix.id
}
resource "azurerm_public_ip" "pip_azfw_2" {
name = "pip-azfw-1"
location = azurerm_resource_group.rg.location
resource_group_name = azurerm_resource_group.rg.name
sku = "Standard"
allocation_method = "Static"
public_ip_prefix_id = azurerm_public_ip_prefix.pip_prefix.id
}
resource "azurerm_virtual_network" "azfw_vnet" {
name = "azfw-vnet"
location = azurerm_resource_group.rg.location
resource_group_name = azurerm_resource_group.rg.name
address_space = ["10.10.0.0/16"]
}
resource "azurerm_subnet" "azfw_subnet" {
name = "AzureFirewallSubnet"
resource_group_name = azurerm_resource_group.rg.name
virtual_network_name = azurerm_virtual_network.azfw_vnet.name
address_prefixes = ["10.10.0.0/26"]
}
resource "azurerm_subnet" "backend_subnet" {
name = "subnet-backend"
resource_group_name = azurerm_resource_group.rg.name
virtual_network_name = azurerm_virtual_network.azfw_vnet.name
address_prefixes = ["10.10.1.0/24"]
}
resource "azurerm_network_interface" "backend_nic" {
count = 2
name = "nic-backend-${count.index + 1}"
location = azurerm_resource_group.rg.location
resource_group_name = azurerm_resource_group.rg.name
ip_configuration {
name = "ipconfig-backend-${count.index + 1}"
subnet_id = azurerm_subnet.backend_subnet.id
private_ip_address_allocation = "Dynamic"
}
}
resource "azurerm_network_security_group" "backend_nsg" {
name = "nsg-backend"
location = azurerm_resource_group.rg.location
resource_group_name = azurerm_resource_group.rg.name
security_rule {
name = "RDP"
priority = 300
direction = "Inbound"
access = "Allow"
protocol = "Tcp"
source_port_range = "*"
destination_port_range = "3389"
source_address_prefix = "*"
destination_address_prefix = "*"
}
}
resource "azurerm_network_interface_security_group_association" "vm_backend_nsg_association" {
count = 2
network_interface_id = azurerm_network_interface.backend_nic[count.index].id
network_security_group_id = azurerm_network_security_group.backend_nsg.id
}
resource "azurerm_windows_virtual_machine" "vm_backend" {
count = 2
name = "vm-backend-${count.index + 1}"
resource_group_name = azurerm_resource_group.rg.name
location = azurerm_resource_group.rg.location
size = var.virtual_machine_size
admin_username = var.admin_username
admin_password = random_password.password[count.index].result
network_interface_ids = [azurerm_network_interface.backend_nic[count.index].id]
os_disk {
caching = "ReadWrite"
storage_account_type = "Standard_LRS"
}
source_image_reference {
publisher = "MicrosoftWindowsServer"
offer = "WindowsServer"
sku = "2019-Datacenter"
version = "latest"
}
}
resource "azurerm_firewall_policy" "azfw_policy" {
name = "azfw-policy"
resource_group_name = azurerm_resource_group.rg.name
location = azurerm_resource_group.rg.location
sku = var.firewall_sku_tier
threat_intelligence_mode = "Alert"
}
resource "azurerm_firewall_policy_rule_collection_group" "policy_rule_collection_group" {
name = "RuleCollectionGroup"
firewall_policy_id = azurerm_firewall_policy.azfw_policy.id
priority = 300
application_rule_collection {
name = "web"
priority = 100
action = "Allow"
rule {
name = "wan-address"
protocols {
type = "Http"
port = 80
}
protocols {
type = "Https"
port = 443
}
destination_fqdns = ["getmywanip.com"]
source_addresses = ["*"]
}
rule {
name = "google"
protocols {
type = "Http"
port = 80
}
protocols {
type = "Https"
port = 443
}
destination_fqdns = ["www.google.com"]
source_addresses = ["10.10.1.0/24"]
}
rule {
name = "wupdate"
protocols {
type = "Http"
port = 80
}
protocols {
type = "Https"
port = 443
}
destination_fqdn_tags = ["WindowsUpdate"]
source_addresses = ["*"]
}
}
nat_rule_collection {
name = "Coll-01"
action = "Dnat"
priority = 200
rule {
name = "rdp-01"
protocols = ["TCP"]
translated_address = "10.10.1.4"
translated_port = "3389"
source_addresses = ["*"]
destination_address = azurerm_public_ip.pip_azfw.ip_address
destination_ports = ["3389"]
}
rule {
name = "rdp-02"
protocols = ["TCP"]
translated_address = "10.10.1.5"
translated_port = "3389"
source_addresses = ["*"]
destination_address = azurerm_public_ip.pip_azfw.ip_address
destination_ports = ["3389"]
}
}
}
resource "azurerm_firewall" "fw" {
name = "azfw"
location = azurerm_resource_group.rg.location
resource_group_name = azurerm_resource_group.rg.name
sku_name = "AZFW_VNet"
sku_tier = var.firewall_sku_tier
ip_configuration {
name = "azfw-ipconfig"
subnet_id = azurerm_subnet.azfw_subnet.id
public_ip_address_id = azurerm_public_ip.pip_azfw.id
}
ip_configuration {
name = "azfw-ipconfig-2"
public_ip_address_id = azurerm_public_ip.pip_azfw_2.id
}
firewall_policy_id = azurerm_firewall_policy.azfw_policy.id
}
resource "azurerm_route_table" "rt" {
name = "rt-azfw-eus"
location = azurerm_resource_group.rg.location
resource_group_name = azurerm_resource_group.rg.name
disable_bgp_route_propagation = false
route {
name = "azfw"
address_prefix = "0.0.0.0/0"
next_hop_type = "VirtualAppliance"
next_hop_in_ip_address = "10.10.0.4"
}
}
resource "azurerm_subnet_route_table_association" "jump_subnet_rt_association" {
subnet_id = azurerm_subnet.backend_subnet.id
route_table_id = azurerm_route_table.rt.id
}
Creare un file denominato variables.tf e inserire il codice seguente:
variable "resource_group_location" {
type = string
description = "Location for all resources."
default = "eastus"
}
variable "resource_group_name_prefix" {
type = string
description = "Prefix for the Resource Group Name that's combined with a random id so name is unique in your Azure subcription."
default = "rg"
}
variable "firewall_sku_tier" {
type = string
description = "Firewall SKU."
default = "Premium" # Valid values are Standard and Premium
validation {
condition = contains(["Standard", "Premium"], var.firewall_sku_tier)
error_message = "The SKU must be one of the following: Standard, Premium"
}
}
variable "virtual_machine_size" {
type = string
description = "Size of the virtual machine."
default = "Standard_D2_v3"
}
variable "admin_username" {
type = string
description = "Value of the admin username."
default = "azureuser"
}
Creare un file denominato outputs.tf e inserire il codice seguente:
output "resource_group_name" {
value = azurerm_resource_group.rg.name
}
output "backend_admin_password" {
sensitive = true
value = azurerm_windows_virtual_machine.vm_backend[*].admin_password
}
Per inizializzare la distribuzione di Terraform, eseguire terraform init. Questo comando scarica il provider di Azure necessario per gestire le risorse di Azure.
terraform init -upgrade
Punti principali:
-upgrade aggiorna i plug-in del provider necessari alla versione più recente conforme ai vincoli di versione della configurazione.Eseguire terraform plan per creare un piano di esecuzione.
terraform plan -out main.tfplan
Punti principali:
terraform plan consente di creare un piano di esecuzione, ma non di eseguirlo. Determina invece le azioni necessarie per creare la configurazione specificata nei file di configurazione. Questo modello consente di verificare se il piano di esecuzione corrisponde alle aspettative prima di apportare modifiche alle risorse effettive.-out facoltativo consente di specificare un file di output per il piano. L'uso del parametro -out garantisce che il piano esaminato sia esattamente quello che viene applicato.Eseguire terraform apply per applicare il piano di esecuzione all'infrastruttura cloud.
terraform apply main.tfplan
Punti principali:
terraform apply di esempio presuppone che in precedenza sia stato eseguito terraform plan -out main.tfplan.-out, usare lo stesso nome di file nella chiamata a terraform apply.-out, chiamare terraform apply senza parametri.Ottenere il nome del gruppo di risorse di Azure.
resource_group_name=$(terraform output -raw resource_group_name)
Eseguire az network ip-group list per visualizzare i due nuovi gruppi IP.
az network ip-group list --resource-group $resource_group_name
Quando le risorse create tramite Terraform non sono più necessarie, eseguire i passaggi seguenti:
Eseguire il piano Terraform e specificare il flag destroy.
terraform plan -destroy -out main.destroy.tfplan
Punti principali:
terraform plan consente di creare un piano di esecuzione, ma non di eseguirlo. Determina invece le azioni necessarie per creare la configurazione specificata nei file di configurazione. Questo modello consente di verificare se il piano di esecuzione corrisponde alle aspettative prima di apportare modifiche alle risorse effettive.-out facoltativo consente di specificare un file di output per il piano. L'uso del parametro -out garantisce che il piano esaminato sia esattamente quello che viene applicato.Eseguire terraform apply per applicare il piano di esecuzione.
terraform apply main.destroy.tfplan
Risolvere i problemi comuni relativi all'uso di Terraform in Azure
Formazione
Percorso di apprendimento
Nozioni fondamentali su Terraform in Azure - Training
Informazioni sui concetti fondamentali su come Terraform gestisce distribuzioni di infrastrutture in Azure.
Certificazione
Microsoft Certified: Azure Administrator Associate - Certifications
Illustrare le competenze chiave per configurare, gestire, proteggere e amministrare funzioni professionali chiave in Microsoft Azure.