Microsoft.Network networkSecurityGroups 2023-04-01
Bicep リソース定義
networkSecurityGroups リソースの種類は、次を対象とする操作でデプロイできます。
- リソース グループ - リソース グループのデプロイ コマンドを参照してください
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
注釈
ネットワーク セキュリティ グループの作成に関するガイダンスについては、「Bicep を使用して仮想ネットワーク リソースをCreateする」を参照してください。
リソース形式
Microsoft.Network/networkSecurityGroups リソースを作成するには、次の Bicep をテンプレートに追加します。
resource symbolicname 'Microsoft.Network/networkSecurityGroups@2023-04-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
flushConnection: bool
securityRules: [
{
id: 'string'
name: 'string'
properties: {
access: 'string'
description: 'string'
destinationAddressPrefix: 'string'
destinationAddressPrefixes: [
'string'
]
destinationApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
destinationPortRange: 'string'
destinationPortRanges: [
'string'
]
direction: 'string'
priority: int
protocol: 'string'
sourceAddressPrefix: 'string'
sourceAddressPrefixes: [
'string'
]
sourceApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
sourcePortRange: 'string'
sourcePortRanges: [
'string'
]
}
type: 'string'
}
]
}
}
プロパティ値
networkSecurityGroups
名前 | 説明 | 値 |
---|---|---|
name | リソース名 | string (必須) 文字制限: 1 から 80 有効な文字: 英数字、アンダースコア、ピリオド、およびハイフン。 英数字で開始します。 英数字またはアンダースコアで終了します。 |
location | リソースの場所。 | string |
tags | リソース タグ。 | タグの名前と値のディクショナリ。 「テンプレート内のタグ」を参照してください |
properties | ネットワーク セキュリティ グループのプロパティ。 | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
名前 | 説明 | 値 |
---|---|---|
flushConnection | 有効にすると、ルールが更新されると、ネットワーク セキュリティ グループ接続から作成されたフローが再評価されます。 初期有効化では、再評価がトリガーされます。 | [bool] |
securityRules | ネットワーク セキュリティ グループのセキュリティ規則のコレクション。 | SecurityRule[] |
SecurityRule
名前 | 説明 | 値 |
---|---|---|
id | リソースの ID | string |
name | リソース グループ内で一意のリソースの名前。 この名前は、リソースへのアクセスに使用できます。 | string |
properties | セキュリティ規則のプロパティ。 | SecurityRulePropertiesFormat |
型 | リソースの型。 | string |
SecurityRulePropertiesFormat
名前 | 説明 | 値 |
---|---|---|
access | ネットワーク トラフィックは許可または拒否されます。 | 'Allow' 'Deny' (必須) |
description | この規則の説明。 140 文字に制限されています。 | string |
destinationAddressPrefix | 宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。 また、すべてのソース IP に一致させるためにアスタリスク '*' を使用することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。 | string |
destinationAddressPrefixes | 宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。 | string[] |
destinationApplicationSecurityGroups | 宛先として指定されたアプリケーション セキュリティ グループ。 | ApplicationSecurityGroup[] |
destinationPortRange | 宛先ポートまたは範囲。 整数または 0 ~ 65535 の範囲。 アスタリスク '*' を使用して、すべてのポートを照合することもできます。 | string |
destinationPortRanges | 宛先ポート範囲。 | string[] |
方向 | ルールの方向。 この方向は、ルールの評価が受信または送信トラフィックのどちらで行われるかを指定します。 | 'Inbound' 'Outbound' (必須) |
priority | ルールの優先度。 値は 100 から 4096 の間で指定できます。 優先度番号は、コレクション内のルールごとに一意である必要があります。 優先度番号が低いほど、規則の優先度が高くなります。 | int (必須) |
protocol | この規則が適用されるネットワーク プロトコル。 | '*' 'Ah' 'Esp' 'Icmp' 'Tcp' 'Udp' (必須) |
sourceAddressPrefix | CIDR またはソース IP 範囲。 また、すべてのソース IP に一致させるためにアスタリスク '*' を使用することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。 これがイングレス ルールの場合は、ネットワーク トラフィックの発信元を指定します。 | string |
sourceAddressPrefixes | CIDR またはソース IP 範囲。 | string[] |
sourceApplicationSecurityGroups | ソースとして指定されたアプリケーション セキュリティ グループ。 | ApplicationSecurityGroup[] |
sourcePortRange | ソース ポートまたは範囲。 整数または 0 ~ 65535 の範囲。 アスタリスク '*' を使用して、すべてのポートを照合することもできます。 | string |
sourcePortRanges | ソース ポートの範囲。 | string[] |
ApplicationSecurityGroup
名前 | 説明 | 値 |
---|---|---|
id | リソースの ID | string |
location | リソースの場所。 | string |
properties | アプリケーション セキュリティ グループのプロパティ。 | ApplicationSecurityGroupPropertiesFormat |
tags | リソース タグ。 | object |
ApplicationSecurityGroupPropertiesFormat
このオブジェクトには、デプロイ中に設定するプロパティは含まれません。 すべてのプロパティは ReadOnly です。
クイック スタート テンプレート
次のクイックスタート テンプレートでは、このリソースの種類をデプロイします。
Template | 説明 |
---|---|
マネージド Azure Active Directory Domain Services |
このテンプレートでは、必要な VNet と NSG の構成を使用して、マネージド Azure Active Directory ドメイン サービスをデプロイします。 |
Application Gateway イングレス コントローラーを使用した AKS クラスター |
このサンプルでは、Application Gateway、Application Gatewayイングレス コントローラー、Azure Container Registry、Log Analytics、Key Vaultを使用して AKS クラスターをデプロイする方法を示します。 |
WAF、SSL、IIS、HTTPS リダイレクトを使用した App Gateway |
このテンプレートは、WAF を使用したApplication Gatewayを展開し、エンド ツー エンド SSL と HTTP を IIS サーバー上の HTTPS リダイレクトにデプロイします。 |
IPv6 Application GatewayをCreateする |
このテンプレートは、デュアルスタック仮想ネットワークに IPv6 フロントエンドを持つアプリケーション ゲートウェイを作成します。 |
アプリケーション セキュリティ グループ |
このテンプレートでは、Application Security グループを使用して NSG を使用してワークロードをセキュリティで保護する方法を示します。 NGINX を実行する Linux VM をデプロイし、ネットワーク セキュリティ グループの Applicaton Security グループを使用して、webServersAsg というアプリケーション セキュリティ グループに割り当てられた VM へのポート 22 と 80 へのアクセスを許可します。 |
NSG を使用したサービスとしての Azure Bastion |
このテンプレートは、Virtual Networkで Azure Bastion をプロビジョニングします |
ハブ & スポーク トポロジで DNS プロキシとしてAzure Firewallを使用する |
このサンプルでは、Azure Firewallを使用して Azure にハブスポーク トポロジをデプロイする方法を示します。 ハブ仮想ネットワークは、仮想ネットワーク ピアリングを介してハブ仮想ネットワークに接続されている多くのスポーク仮想ネットワークへの中央接続ポイントとして機能します。 |
Azure Firewall、クライアント VM、サーバー VM のCreateサンドボックス |
このテンプレートでは、2 つのサブネット (サーバー サブネットと AzureFirewall サブネット)、サーバー VM、クライアント VM、各 VM のパブリック IP アドレス、およびファイアウォールを介して VM 間でトラフィックを送信するためのルート テーブルを持つ仮想ネットワークを作成します。 |
ファイアウォール、FirewallPolicy と明示的プロキシのCreate |
このテンプレートでは、明示的プロキシを使用した FirewalllPolicy Azure Firewallと IpGroups を使用したネットワーク 規則を作成します。 また、Linux Jumpbox vm のセットアップも含まれています |
FirewallPolicy と IpGroups を使用してファイアウォールをCreateする |
このテンプレートでは、IpGroups を使用してネットワーク規則を参照する FirewalllPolicy を使用してAzure Firewallを作成します。 また、Linux Jumpbox vm のセットアップも含まれています |
IpGroups を使用して Azure Firewall を作成する |
このテンプレートは、IP グループを参照するアプリケーションルールとネットワークルールを含むAzure Firewallを作成します。 また、Linux Jumpbox vm のセットアップも含まれています |
強制トンネリングを使用してAzure FirewallサンドボックスをCreateする |
このテンプレートは、ピアリングされた VNET 内の別のファイアウォールをトンネリングする 1 つのファイアウォール強制を使用して、Azure Firewall サンドボックス (Linux) を作成します |
Linux VM を使用したAzure FirewallのサンドボックスセットアップをCreateする |
このテンプレートは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブセット、AzureFirewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、サーバー サブネットのAzure Firewallを指す UDR ルート、および 1 つ以上のパブリック IP アドレス、1 つのサンプル アプリケーション 規則、1 つのサンプル ネットワーク 規則、および既定のプライベート範囲を持つAzure Firewallを持つ仮想ネットワークを作成します。 |
ファイアウォール ポリシーを使用してサンドボックス設定をCreateする |
このテンプレートは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブセット、AzureFirewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、サーバー サブネットのAzure Firewallを指す UDR ルート、および 1 つ以上のパブリック IP アドレスを持つAzure Firewallを持つ仮想ネットワークを作成します。 また、1 つのサンプル アプリケーション規則、1 つのサンプル ネットワーク規則、および既定のプライベート範囲を使用してファイアウォール ポリシーを作成します |
ゾーンを使用して Azure Firewall にサンドボックス セットアップを作成する |
このテンプレートでは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブネット、Azure Firewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、ServerSubnet のAzure Firewallを指す UDR ルート、1 つ以上のパブリック IP アドレス、1 つのサンプル アプリケーション ルール、1 つのサンプル ネットワーク 規則を持つAzure Firewallを持つ仮想ネットワークを作成します。Availability Zones 1、2、3 にAzure Firewallします。 |
プライベート ピアリングと Azure VNet を使用した ExpressRoute 回線 |
このテンプレートでは、ExpressRoute Microsoft ピアリングを構成し、Expressroute ゲートウェイを使用して Azure VNet をデプロイし、VNet を ExpressRoute 回線にリンクします |
Azure API Management の前に Azure Front Door をCreateする |
このサンプルでは、Azure Front Door を Azure API Managementの前でグローバル ロード バランサーとして使用する方法を示します。 |
複数の IP パブリック アドレスを持つ Azure Firewall を作成する |
このテンプレートでは、2 つのパブリック IP アドレスと 2 つの Windows Server 2019 サーバーを使用してテストするAzure Firewallを作成します。 |
セキュリティ保護付き仮想ハブ |
このテンプレートでは、Azure Firewallを使用してセキュリティで保護された仮想ハブを作成し、インターネット宛てのクラウド ネットワーク トラフィックをセキュリティで保護します。 |
リージョン間ロード バランサーを作成する |
このテンプレートは、2 つのリージョン ロード バランサーを含むバックエンド プールを持つリージョン間ロード バランサーを作成します。 リージョン間ロード バランサーは現在、限られたリージョンで使用できます。 リージョン間ロード バランサーの背後にあるリージョン ロード バランサーは、任意のリージョンに存在できます。 |
IP アドレス別のバックエンド プールを使用したStandard Load Balancer |
このテンプレートは、ARM テンプレートを使用して、バックエンド プール管理ドキュメントで説明されているように、IP アドレスでLoad Balancerのバックエンド プールを構成する方法を示すために使用されます。 |
パブリック IPv6 アドレスを使用してロード バランサーをCreateする |
このテンプレートでは、パブリック IPv6 アドレス、負荷分散規則、バックエンド プール用の 2 つの VM を使用して、インターネットに接続するロード バランサーを作成します。 |
Standard Load Balancer を作成する |
このテンプレートでは、インターネットに接続するロード バランサー、負荷分散規則、バックエンド プール用の 3 つの VM と、冗長ゾーン内の各 VM が作成されます。 |
VM を使用して NAT をVirtual Networkする |
NAT ゲートウェイと仮想マシンをデプロイする |
既存のサブネットに NSG を適用する |
このテンプレートは、新しく作成された NSG を既存のサブネットに適用します |
診断ログを含むネットワーク セキュリティ グループ |
このテンプレートは、診断ログとリソース ロックを含むネットワーク セキュリティ グループを作成します |
NSG と DMZ を使用した多層 VNet |
このテンプレートでは、3 つのサブネット、3 つのネットワーク セキュリティ グループ、および FrontEnd サブネットを DMZ にするための適切なセキュリティ規則を含むVirtual Networkをデプロイします |
Quagga を使用した BGP ピアリングでの Azure Route Server |
このテンプレートでは、Quagga を使用してルーター サーバーと Ubuntu VM をデプロイします。 ルーター サーバーと Quagga の間に 2 つの外部 BGP セッションが確立されます。 Quagga のインストールと構成は、Linux 用の Azure カスタム スクリプト拡張機能によって実行されます |
ネットワーク セキュリティ グループをCreateする |
このテンプレートは、ネットワーク セキュリティ グループを作成します |
VM を使用してサイト間 VPN 接続をCreateする |
このテンプレートを使用すると、Virtual Network ゲートウェイを使用してサイト間 VPN 接続を作成できます |
BGP を使用したアクティブ/アクティブ VPN ゲートウェイを使用したサイト間 VPN |
このテンプレートを使用すると、BGP を使用したアクティブ/アクティブ構成で、VPN ゲートウェイを持つ 2 つの VNet 間にサイト間 VPN を展開できます。 各 Azure VPN Gatewayは、リモート ピアの FQDN を解決して、リモート VPN Gatewayのパブリック IP を決定します。 テンプレートは、可用性ゾーンを持つ Azure リージョンで想定どおりに実行されます。 |
Azure Traffic Manager VM の例 |
このテンプレートでは、複数の仮想マシン間で Azure Traffic Manager プロファイルの負荷分散を作成する方法を示します。 |
Availability Zonesを使用した Azure Traffic Manager VM の例 |
このテンプレートでは、Availability Zonesに配置された複数の仮想マシン間で Azure Traffic Manager プロファイルの負荷分散を作成する方法を示します。 |
ユーザー定義ルートとアプライアンス |
このテンプレートは、トラフィックをアプライアンスに転送するために、各サブネットとルートにVirtual Network VM をデプロイします。 |
201-vnet-2subnets-service-endpoints-storage-integration |
同じ VNet 内の 2 つの異なるサブネットに、それぞれ NIC を持つ 2 つの新しい VM を作成します。 いずれかのサブネットにサービス エンドポイントを設定し、ストレージ アカウントをそのサブネットにセキュリティで保護します。 |
Redis セキュリティ規則を含む NSG を既存のサブネットに追加する |
このテンプレートを使用すると、構成済みの Azure Redis Cache セキュリティ規則を持つ NSG を VNET 内の既存のサブネットに追加できます。 既存の VNET のリソース グループにデプロイします。 |
ARM テンプレート リソース定義
networkSecurityGroups リソースの種類は、次を対象とする操作でデプロイできます。
- リソース グループ - リソース グループのデプロイ コマンドを参照してください
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
注釈
ネットワーク セキュリティ グループの作成に関するガイダンスについては、「Bicep を使用して仮想ネットワーク リソースをCreateする」を参照してください。
リソース形式
Microsoft.Network/networkSecurityGroups リソースを作成するには、次の JSON をテンプレートに追加します。
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2023-04-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"flushConnection": "bool",
"securityRules": [
{
"id": "string",
"name": "string",
"properties": {
"access": "string",
"description": "string",
"destinationAddressPrefix": "string",
"destinationAddressPrefixes": [ "string" ],
"destinationApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"destinationPortRange": "string",
"destinationPortRanges": [ "string" ],
"direction": "string",
"priority": "int",
"protocol": "string",
"sourceAddressPrefix": "string",
"sourceAddressPrefixes": [ "string" ],
"sourceApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"sourcePortRange": "string",
"sourcePortRanges": [ "string" ]
},
"type": "string"
}
]
}
}
プロパティ値
networkSecurityGroups
名前 | 説明 | 値 |
---|---|---|
type | リソースの種類 | 'Microsoft.Network/networkSecurityGroups' |
apiVersion | リソース API のバージョン | '2023-04-01' |
name | リソース名 | string (必須) 文字制限: 1 から 80 有効な文字: 英数字、アンダースコア、ピリオド、およびハイフン。 英数字で開始します。 英数字またはアンダースコアで終了します。 |
location | リソースの場所。 | string |
tags | リソース タグ。 | タグの名前と値のディクショナリ。 「テンプレート内のタグ」を参照してください |
properties | ネットワーク セキュリティ グループのプロパティ。 | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
名前 | 説明 | 値 |
---|---|---|
flushConnection | 有効にすると、ルールが更新されると、ネットワーク セキュリティ グループ接続から作成されたフローが再評価されます。 初期有効化では、再評価がトリガーされます。 | [bool] |
securityRules | ネットワーク セキュリティ グループのセキュリティ規則のコレクション。 | SecurityRule[] |
SecurityRule
名前 | 説明 | 値 |
---|---|---|
id | リソースの ID | string |
name | リソース グループ内で一意のリソースの名前。 この名前は、リソースへのアクセスに使用できます。 | string |
properties | セキュリティ規則のプロパティ。 | SecurityRulePropertiesFormat |
型 | リソースの型。 | string |
SecurityRulePropertiesFormat
名前 | 説明 | 値 |
---|---|---|
access | ネットワーク トラフィックは許可または拒否されます。 | 'Allow' 'Deny' (必須) |
description | この規則の説明。 140 文字に制限されています。 | string |
destinationAddressPrefix | 宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。 また、すべてのソース IP に一致させるためにアスタリスク '*' を使用することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。 | string |
destinationAddressPrefixes | 宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。 | string[] |
destinationApplicationSecurityGroups | 宛先として指定されたアプリケーション セキュリティ グループ。 | ApplicationSecurityGroup[] |
destinationPortRange | 宛先ポートまたは範囲。 整数または 0 ~ 65535 の範囲。 アスタリスク '*' を使用して、すべてのポートを照合することもできます。 | string |
destinationPortRanges | 宛先ポート範囲。 | string[] |
方向 | ルールの方向。 この方向は、ルールの評価が受信または送信トラフィックのどちらで行われるかを指定します。 | 'Inbound' 'Outbound' (必須) |
priority | ルールの優先度。 値は 100 から 4096 の間で指定できます。 優先度番号は、コレクション内のルールごとに一意である必要があります。 優先度番号が低いほど、規則の優先度が高くなります。 | int (必須) |
protocol | この規則が適用されるネットワーク プロトコル。 | '*' 'Ah' 'Esp' 'Icmp' 'Tcp' 'Udp' (必須) |
sourceAddressPrefix | CIDR またはソース IP 範囲。 また、すべてのソース IP に一致させるためにアスタリスク '*' を使用することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。 これがイングレス ルールの場合は、ネットワーク トラフィックの発信元を指定します。 | string |
sourceAddressPrefixes | CIDR またはソース IP 範囲。 | string[] |
sourceApplicationSecurityGroups | ソースとして指定されたアプリケーション セキュリティ グループ。 | ApplicationSecurityGroup[] |
sourcePortRange | ソース ポートまたは範囲。 0 から 65535 までの整数または範囲。 アスタリスク '*' を使用して、すべてのポートを照合することもできます。 | string |
sourcePortRanges | ソース ポートの範囲。 | string[] |
ApplicationSecurityGroup
名前 | 説明 | 値 |
---|---|---|
id | リソースの ID | string |
location | リソースの場所。 | string |
properties | アプリケーション セキュリティ グループのプロパティ。 | ApplicationSecurityGroupPropertiesFormat |
tags | リソース タグ。 | object |
ApplicationSecurityGroupPropertiesFormat
このオブジェクトには、デプロイ中に設定するプロパティは含まれません。 すべてのプロパティは ReadOnly です。
クイック スタート テンプレート
次のクイックスタート テンプレートでは、このリソースの種類をデプロイします。
Template | 説明 |
---|---|
マネージド Azure Active Directory Domain Services |
このテンプレートは、必要な VNet と NSG の構成を使用してマネージド Azure Active Directory ドメイン サービスをデプロイします。 |
Application Gateway イングレス コントローラーを使用する AKS クラスター |
このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vaultを使用して AKS クラスターをデプロイする方法を示します |
WAF、SSL、IIS、HTTPS リダイレクトを使用した App Gateway |
このテンプレートは、WAF を使用したApplication Gatewayを展開し、エンド ツー エンドの SSL と HTTP を IIS サーバー上の HTTPS リダイレクトにデプロイします。 |
IPv6 Application GatewayをCreateする |
このテンプレートは、デュアルスタック仮想ネットワーク内に IPv6 フロントエンドを持つアプリケーション ゲートウェイを作成します。 |
アプリケーション セキュリティ グループ |
このテンプレートでは、Application Security グループを使用して NSG を使用してワークロードをセキュリティで保護する方法を示します。 NGINX を実行している Linux VM をデプロイし、ネットワーク セキュリティ グループの Applicaton Security グループ を使用して、webServersAsg というアプリケーション セキュリティ グループに割り当てられた VM へのポート 22 と 80 へのアクセスを許可します。 |
NSG を使用したサービスとしての Azure Bastion |
このテンプレートは、Virtual Networkで Azure Bastion をプロビジョニングします |
ハブ & スポーク トポロジで dns プロキシとしてAzure Firewallを使用する |
このサンプルでは、Azure Firewallを使用して Azure にハブスポーク トポロジをデプロイする方法を示します。 ハブ仮想ネットワークは、仮想ネットワーク ピアリングを介してハブ仮想ネットワークに接続されている多くのスポーク仮想ネットワークへの接続の中心点として機能します。 |
Azure Firewall、クライアント VM、サーバー VM のサンドボックスをCreateする |
このテンプレートは、2 つのサブネット (サーバー サブネットと AzureFirewall サブネット)、サーバー VM、クライアント VM、各 VM のパブリック IP アドレス、およびファイアウォールを介して VM 間のトラフィックを送信するルート テーブルを持つ仮想ネットワークを作成します。 |
ファイアウォールのCreate、明示的なプロキシを使用した FirewallPolicy |
このテンプレートでは、Azure Firewall FirewalllPolicy と明示的なプロキシと IpGroups を使用したネットワーク規則を作成します。 また、Linux Jumpbox VM のセットアップも含まれています |
FirewallPolicy と IpGroups を使用してファイアウォールをCreateする |
このテンプレートでは、IpGroups を使用してネットワーク規則を参照する FirewalllPolicy を使用してAzure Firewallを作成します。 また、Linux Jumpbox VM のセットアップも含まれています |
IpGroups を使用して Azure Firewall を作成する |
このテンプレートでは、IP グループを参照するアプリケーションルールとネットワークルールを使用してAzure Firewallを作成します。 また、Linux Jumpbox VM のセットアップも含まれています |
強制トンネリングを使用してAzure FirewallサンドボックスをCreateする |
このテンプレートを使用すると、ピアリングされた VNET 内の別のファイアウォールを通じて 1 つのファイアウォール強制がトンネリングされたAzure Firewall サンドボックス (Linux) が作成されます |
Linux VM を使用したAzure Firewallのサンドボックス セットアップをCreateする |
このテンプレートでは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブセット、AzureFirewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、サーバー サブネットのAzure Firewallを指す UDR ルート、1 つ以上のパブリック IP アドレス、1 つのサンプル アプリケーション 規則、1 つのサンプル ネットワーク 規則、および既定のプライベート範囲を持つAzure Firewallを持つ仮想ネットワークを作成します |
ファイアウォール ポリシーを使用してサンドボックスのセットアップをCreateする |
このテンプレートは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブセット、AzureFirewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、サーバー サブネットのAzure Firewallを指す UDR ルート、および 1 つ以上のパブリック IP アドレスを持つAzure Firewallを持つ仮想ネットワークを作成します。 また、1 つのサンプル アプリケーション規則、1 つのサンプル ネットワーク規則、および既定のプライベート範囲を使用してファイアウォール ポリシーを作成します |
ゾーンを使用して Azure Firewall にサンドボックス セットアップを作成する |
このテンプレートでは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブネット、Azure Firewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、ServerSubnet のAzure Firewallを指す UDR ルート、1 つ以上のパブリック IP アドレス、1 つのサンプル アプリケーション ルール、1 つのサンプル ネットワーク 規則を持つAzure Firewallを持つ仮想ネットワークを作成します。Availability Zones 1、2、3 にAzure Firewallします。 |
プライベート ピアリングと Azure VNet を使用した ExpressRoute 回線 |
このテンプレートでは、ExpressRoute Microsoft ピアリングを構成し、Expressroute ゲートウェイを使用して Azure VNet をデプロイし、VNet を ExpressRoute 回線にリンクします |
Azure API Management の前に Azure Front Door をCreateする |
このサンプルでは、Azure Front Door を Azure API Managementの前でグローバル ロード バランサーとして使用する方法を示します。 |
複数の IP パブリック アドレスを持つ Azure Firewall を作成する |
このテンプレートでは、2 つのパブリック IP アドレスと 2 つの Windows Server 2019 サーバーを使用してテストするAzure Firewallを作成します。 |
セキュリティ保護付き仮想ハブ |
このテンプレートでは、Azure Firewallを使用してセキュリティで保護された仮想ハブを作成し、インターネット宛てのクラウド ネットワーク トラフィックをセキュリティで保護します。 |
リージョン間ロード バランサーを作成する |
このテンプレートは、2 つのリージョン ロード バランサーを含むバックエンド プールを持つリージョン間ロード バランサーを作成します。 リージョン間ロード バランサーは現在、限られたリージョンで使用できます。 リージョン間ロード バランサーの背後にあるリージョン ロード バランサーは、任意のリージョンに存在できます。 |
IP アドレス別のバックエンド プールを使用したStandard Load Balancer |
このテンプレートは、ARM テンプレートを使用して、バックエンド プール管理ドキュメントで説明されているように、IP アドレスでLoad Balancerのバックエンド プールを構成する方法を示すために使用されます。 |
パブリック IPv6 アドレスを使用してロード バランサーをCreateする |
このテンプレートでは、パブリック IPv6 アドレス、負荷分散規則、バックエンド プール用の 2 つの VM を使用して、インターネットに接続するロード バランサーを作成します。 |
Standard Load Balancer を作成する |
このテンプレートでは、インターネットに接続するロード バランサー、負荷分散規則、バックエンド プール用の 3 つの VM と、冗長ゾーン内の各 VM が作成されます。 |
VM を使用して NAT をVirtual Networkする |
NAT ゲートウェイと仮想マシンをデプロイする |
既存のサブネットに NSG を適用する |
このテンプレートは、新しく作成された NSG を既存のサブネットに適用します |
診断ログを含むネットワーク セキュリティ グループ |
このテンプレートは、診断ログとリソース ロックを含むネットワーク セキュリティ グループを作成します |
NSG と DMZ を使用した多層 VNet |
このテンプレートでは、3 つのサブネット、3 つのネットワーク セキュリティ グループ、および FrontEnd サブネットを DMZ にするための適切なセキュリティ規則を含むVirtual Networkをデプロイします |
Quagga を使用した BGP ピアリングでの Azure Route Server |
このテンプレートでは、Quagga を使用してルーター サーバーと Ubuntu VM をデプロイします。 ルーター サーバーと Quagga の間に 2 つの外部 BGP セッションが確立されます。 Quagga のインストールと構成は、Linux 用の Azure カスタム スクリプト拡張機能によって実行されます |
ネットワーク セキュリティ グループをCreateする |
このテンプレートは、ネットワーク セキュリティ グループを作成します |
VM を使用してサイト間 VPN 接続をCreateする |
このテンプレートを使用すると、Virtual Network ゲートウェイを使用してサイト間 VPN 接続を作成できます |
BGP を使用したアクティブ/アクティブ VPN ゲートウェイを使用したサイト間 VPN |
このテンプレートを使用すると、BGP を使用したアクティブ/アクティブ構成で、VPN ゲートウェイを持つ 2 つの VNet 間にサイト間 VPN を展開できます。 各 Azure VPN Gatewayは、リモート ピアの FQDN を解決して、リモート VPN Gatewayのパブリック IP を決定します。 テンプレートは、可用性ゾーンを持つ Azure リージョンで想定どおりに実行されます。 |
Azure Traffic Manager VM の例 |
このテンプレートでは、複数の仮想マシン間で Azure Traffic Manager プロファイルの負荷分散を作成する方法を示します。 |
Availability Zonesを使用した Azure Traffic Manager VM の例 |
このテンプレートでは、Availability Zonesに配置された複数の仮想マシン間で Azure Traffic Manager プロファイルの負荷分散を作成する方法を示します。 |
ユーザー定義ルートとアプライアンス |
このテンプレートは、トラフィックをアプライアンスに転送するために、各サブネットとルートにVirtual Network VM をデプロイします。 |
201-vnet-2subnets-service-endpoints-storage-integration |
同じ VNet 内の 2 つの異なるサブネットに、それぞれ NIC を持つ 2 つの新しい VM を作成します。 いずれかのサブネットにサービス エンドポイントを設定し、ストレージ アカウントをそのサブネットにセキュリティで保護します。 |
Redis セキュリティ規則を含む NSG を既存のサブネットに追加する |
このテンプレートを使用すると、構成済みの Azure Redis Cache セキュリティ規則を持つ NSG を VNET 内の既存のサブネットに追加できます。 既存の VNET のリソース グループにデプロイします。 |
Terraform (AzAPI プロバイダー) リソース定義
networkSecurityGroups リソースの種類は、次を対象とする操作でデプロイできます。
- リソース グループ
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
リソース形式
Microsoft.Network/networkSecurityGroups リソースを作成するには、次の Terraform をテンプレートに追加します。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/networkSecurityGroups@2023-04-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
flushConnection = bool
securityRules = [
{
id = "string"
name = "string"
properties = {
access = "string"
description = "string"
destinationAddressPrefix = "string"
destinationAddressPrefixes = [
"string"
]
destinationApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
destinationPortRange = "string"
destinationPortRanges = [
"string"
]
direction = "string"
priority = int
protocol = "string"
sourceAddressPrefix = "string"
sourceAddressPrefixes = [
"string"
]
sourceApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
sourcePortRange = "string"
sourcePortRanges = [
"string"
]
}
type = "string"
}
]
}
})
}
プロパティ値
networkSecurityGroups
名前 | 説明 | 値 |
---|---|---|
type | リソースの種類 | "Microsoft.Network/networkSecurityGroups@2023-04-01" |
name | リソース名 | string (必須) 文字制限: 1 から 80 有効な文字: 英数字、アンダースコア、ピリオド、およびハイフン。 英数字で開始します。 英数字またはアンダースコアで終了します。 |
location | リソースの場所。 | string |
parent_id | リソース グループにデプロイするには、そのリソース グループの ID を使用します。 | string (必須) |
tags | リソース タグ。 | タグの名前と値のディクショナリ。 |
properties | ネットワーク セキュリティ グループのプロパティ。 | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
名前 | 説明 | 値 |
---|---|---|
flushConnection | 有効にすると、ルールが更新されると、ネットワーク セキュリティ グループ接続から作成されたフローが再評価されます。 初期有効化では、再評価がトリガーされます。 | [bool] |
securityRules | ネットワーク セキュリティ グループのセキュリティ規則のコレクション。 | SecurityRule[] |
SecurityRule
名前 | 説明 | 値 |
---|---|---|
id | リソースの ID | string |
name | リソース グループ内で一意のリソースの名前。 この名前は、リソースへのアクセスに使用できます。 | string |
properties | セキュリティ規則のプロパティ。 | SecurityRulePropertiesFormat |
型 | リソースの型。 | string |
SecurityRulePropertiesFormat
名前 | 説明 | 値 |
---|---|---|
access | ネットワーク トラフィックは許可または拒否されます。 | "許可" "Deny" (必須) |
description | この規則の説明。 140 文字に制限されています。 | string |
destinationAddressPrefix | 宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。 また、すべてのソース IP に一致させるためにアスタリスク '*' を使用することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。 | string |
destinationAddressPrefixes | 宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。 | string[] |
destinationApplicationSecurityGroups | 宛先として指定されたアプリケーション セキュリティ グループ。 | ApplicationSecurityGroup[] |
destinationPortRange | 宛先ポートまたは範囲。 整数または 0 ~ 65535 の範囲。 アスタリスク '*' を使用して、すべてのポートを照合することもできます。 | string |
destinationPortRanges | 宛先ポート範囲。 | string[] |
方向 | ルールの方向。 この方向は、ルールの評価が受信または送信トラフィックのどちらで行われるかを指定します。 | "Inbound" "送信" (必須) |
priority | ルールの優先度。 値は 100 から 4096 の間で指定できます。 優先度番号は、コレクション内のルールごとに一意である必要があります。 優先度番号が低いほど、規則の優先度が高くなります。 | int (必須) |
protocol | この規則が適用されるネットワーク プロトコル。 | "*" "Ah" "Esp" "Icmp" "Tcp" "Udp" (必須) |
sourceAddressPrefix | CIDR またはソース IP 範囲。 また、すべてのソース IP に一致させるためにアスタリスク '*' を使用することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。 これがイングレス ルールの場合は、ネットワーク トラフィックの発信元を指定します。 | string |
sourceAddressPrefixes | CIDR またはソース IP 範囲。 | string[] |
sourceApplicationSecurityGroups | ソースとして指定されたアプリケーション セキュリティ グループ。 | ApplicationSecurityGroup[] |
sourcePortRange | ソース ポートまたは範囲。 0 から 65535 までの整数または範囲。 アスタリスク '*' を使用して、すべてのポートを照合することもできます。 | string |
sourcePortRanges | ソース ポートの範囲。 | string[] |
ApplicationSecurityGroup
名前 | 説明 | 値 |
---|---|---|
id | リソースの ID | string |
location | リソースの場所。 | string |
properties | アプリケーション セキュリティ グループのプロパティ。 | ApplicationSecurityGroupPropertiesFormat |
tags | リソース タグ。 | object |
ApplicationSecurityGroupPropertiesFormat
このオブジェクトには、デプロイ中に設定するプロパティは含まれません。 すべてのプロパティは ReadOnly です。