Быстрый старт: Развертывание брандмауэра Azure с зонами доступности — Terraform

В этом кратком руководстве вы используете Terraform для развертывания брандмауэра Azure в трех зонах доступности.

Terraform включает определение, предварительную версию и развертывание облачной инфраструктуры. С помощью Terraform вы создаете файлы конфигурации с помощью синтаксиса HCL. Синтаксис HCL позволяет указать поставщика облачных служб, таких как Azure, и элементы, составляющие облачную инфраструктуру. После создания файлов конфигурации вы создадите план выполнения , который позволяет предварительно просмотреть изменения инфраструктуры перед развертыванием. После того как вы проверите изменения, примените план выполнения для развертывания инфраструктуры.

Конфигурация Terraform создает тестовую сетевую среду с брандмауэром. Сеть имеет одну виртуальную сеть (VNet) с тремя подсетями: AzureFirewallSubnet, subnet-server и subnet-jump. У каждой из подсетей subnet-server и subnet-jump есть одна виртуальная машина с Windows Server на двух ядрах.

Брандмауэр находится в подсети AzureFirewallSubnet и содержит коллекцию правил приложений с одним правилом, разрешающим доступ к www.microsoft.com.

Определяемый пользователем маршрут указывает сетевой трафик из подсети сервера подсети через брандмауэр, в котором применяются правила брандмауэра.

Дополнительные сведения о брандмауэре Azure см. в статье "Развертывание и настройка брандмауэра Azure" с помощью портала Azure.

В этой статье вы узнаете, как:

• Создайте случайное значение (для использования в имени группы ресурсов) с помощью random_pet
• Создание группы ресурсов Azure с помощью azurerm_resource_group
• Создание виртуальной сети Azure с помощью azurerm_virtual_network
• Создание трех подсетей Azure с помощью azurerm_subnet
• Создание общедоступного IP-адреса Azure с помощью azurerm_public_ip
• Создание политики брандмауэра Azure с помощью azurerm_firewall_policy
• Создание группы сбора правил политики брандмауэра Azure с помощью azurerm_firewall_policy_rule_collection_group
• Создание брандмауэра Azure с помощью azurerm_firewall
• Создание сетевого интерфейса с помощью azurerm_network_interface
• Создание группы безопасности сети (для хранения списка правил безопасности сети) с помощью azurerm_network_security_group
• Создание связи между сетевым интерфейсом и группой безопасности сети с помощью azurerm_network_interface_security_group_association
• Создание таблицы маршрутов с помощью azurerm_route_table
• Создание связи между таблицей маршрутов и подсетью с помощью azurerm_subnet_route_table_association
• Создание случайного значения (для использования в качестве имени хранилища) с помощью random_string
• Создание учетной записи хранения с помощью azurerm_storage_account
• Создание случайного пароля для виртуальной машины Windows с помощью random_password
• Создание виртуальной машины Windows Azure с помощью azurerm_windows_virtual_machine

Предпосылки

• Установка и настройка Terraform

Реализуйте код Terraform

Замечание

Пример кода для этой статьи находится в репозитории Azure Terraform GitHub. Вы можете просмотреть файл журнала, содержащий результаты теста из текущих и предыдущих версий Terraform.

Дополнительные статьи и пример кода, демонстрирующие использование Terraform для управления ресурсами Azure

1. Создайте каталог для тестирования примера кода Terraform и сделайте его текущим каталогом.

2. Создайте файл с именем providers.tf и вставьте следующий код:

   terraform {
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

3. Создайте файл с именем main.tf и вставьте следующий код:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "random_string" "storage_account_name" {
     length  = 8
     lower   = true
     numeric = false
     special = false
     upper   = false
   }
   
   resource "random_password" "password" {
     length      = 20
     min_lower   = 1
     min_upper   = 1
     min_numeric = 1
     min_special = 1
     special     = true
   }
   
   resource "azurerm_resource_group" "rg" {
     name     = random_pet.rg_name.id
     location = var.resource_group_location
   }
   
   resource "azurerm_public_ip" "pip_azfw" {
     name                = "pip-azfw"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     allocation_method   = "Static"
     sku                 = "Standard"
     zones               = ["1", "2", "3"]
   }
   
   resource "azurerm_storage_account" "sa" {
     name                     = random_string.storage_account_name.result
     resource_group_name      = azurerm_resource_group.rg.name
     location                 = azurerm_resource_group.rg.location
     account_tier             = "Standard"
     account_replication_type = "LRS"
     account_kind             = "StorageV2"
   }
   
   resource "azurerm_virtual_network" "azfw_vnet" {
     name                = "azfw-vnet"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     address_space       = ["10.10.0.0/16"]
   }
   
   resource "azurerm_subnet" "azfw_subnet" {
     name                 = "AzureFirewallSubnet"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.0.0/26"]
   }
   
   resource "azurerm_subnet" "server_subnet" {
     name                 = "subnet-server"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.1.0/24"]
   }
   
   resource "azurerm_subnet" "jump_subnet" {
     name                 = "subnet-jump"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.2.0/24"]
   }
   
   resource "azurerm_public_ip" "vm_jump_pip" {
     name                = "pip-jump"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     allocation_method   = "Static"
     sku                 = "Standard"
   }
   
   resource "azurerm_network_interface" "vm_server_nic" {
     name                = "nic-server"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   
     ip_configuration {
       name                          = "ipconfig-workload"
       subnet_id                     = azurerm_subnet.server_subnet.id
       private_ip_address_allocation = "Dynamic"
     }
   }
   
   resource "azurerm_network_interface" "vm_jump_nic" {
     name                = "nic-jump"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   
     ip_configuration {
       name                          = "ipconfig-jump"
       subnet_id                     = azurerm_subnet.jump_subnet.id
       private_ip_address_allocation = "Dynamic"
       public_ip_address_id          = azurerm_public_ip.vm_jump_pip.id
     }
   }
   
   resource "azurerm_network_security_group" "vm_server_nsg" {
     name                = "nsg-server"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   }
   
   resource "azurerm_network_security_group" "vm_jump_nsg" {
     name                = "nsg-jump"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     security_rule {
       name                       = "Allow-TCP"
       priority                   = 1000
       direction                  = "Inbound"
       access                     = "Allow"
       protocol                   = "Tcp"
       source_port_range          = "*"
       destination_port_range     = "3389"
       source_address_prefix      = "*"
       destination_address_prefix = "*"
     }
   }
   
   resource "azurerm_network_interface_security_group_association" "vm_server_nsg_association" {
     network_interface_id      = azurerm_network_interface.vm_server_nic.id
     network_security_group_id = azurerm_network_security_group.vm_server_nsg.id
   }
   
   resource "azurerm_network_interface_security_group_association" "vm_jump_nsg_association" {
     network_interface_id      = azurerm_network_interface.vm_jump_nic.id
     network_security_group_id = azurerm_network_security_group.vm_jump_nsg.id
   }
   
   resource "azurerm_windows_virtual_machine" "vm_server" {
     name                  = "server-vm"
     resource_group_name   = azurerm_resource_group.rg.name
     location              = azurerm_resource_group.rg.location
     computer_name         = "server"
     size                  = var.virtual_machine_size
     admin_username        = var.admin_username
     admin_password        = random_password.password.result
     network_interface_ids = [azurerm_network_interface.vm_server_nic.id]
     os_disk {
       caching              = "ReadWrite"
       storage_account_type = "Standard_LRS"
       disk_size_gb         = "128"
     }
     source_image_reference {
       publisher = "MicrosoftWindowsServer"
       offer     = "WindowsServer"
       sku       = "2019-Datacenter"
       version   = "latest"
     }
     boot_diagnostics {
       storage_account_uri = azurerm_storage_account.sa.primary_blob_endpoint
     }
   }
   
   resource "azurerm_windows_virtual_machine" "vm_jump" {
     name                  = "jump-vm"
     resource_group_name   = azurerm_resource_group.rg.name
     location              = azurerm_resource_group.rg.location
     computer_name         = "jumpbox"
     size                  = var.virtual_machine_size
     admin_username        = var.admin_username
     admin_password        = random_password.password.result
     network_interface_ids = [azurerm_network_interface.vm_jump_nic.id]
     os_disk {
       caching              = "ReadWrite"
       storage_account_type = "Standard_LRS"
       disk_size_gb         = "128"
     }
     source_image_reference {
       publisher = "MicrosoftWindowsServer"
       offer     = "WindowsServer"
       sku       = "2019-Datacenter"
       version   = "latest"
     }
     boot_diagnostics {
       storage_account_uri = azurerm_storage_account.sa.primary_blob_endpoint
     }
   }
   
   resource "azurerm_firewall_policy" "azfw_policy" {
     name                     = "azfw-policy"
     resource_group_name      = azurerm_resource_group.rg.name
     location                 = azurerm_resource_group.rg.location
     sku                      = var.firewall_sku_tier
     threat_intelligence_mode = "Alert"
   }
   
   resource "azurerm_firewall_policy_rule_collection_group" "prcg" {
     name               = "prcg"
     firewall_policy_id = azurerm_firewall_policy.azfw_policy.id
     priority           = 300
     application_rule_collection {
       name     = "appRc1"
       priority = 101
       action   = "Allow"
       rule {
         name = "appRule1"
         protocols {
           type = "Http"
           port = 80
         }
         protocols {
           type = "Https"
           port = 443
         }
         destination_fqdns = ["www.microsoft.com"]
         source_addresses  = ["10.10.1.0/24"]
       }
     }
     network_rule_collection {
       name     = "netRc1"
       priority = 200
       action   = "Allow"
       rule {
         name                  = "netRule1"
         protocols             = ["TCP"]
         source_addresses      = ["10.10.1.0/24"]
         destination_addresses = ["*"]
         destination_ports     = ["8000", "8999"]
       }
     }
   }
   
   resource "azurerm_firewall" "fw" {
     name                = "azfw"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     sku_name            = "AZFW_VNet"
     sku_tier            = var.firewall_sku_tier
     zones               = ["1", "2", "3"]
     ip_configuration {
       name                 = "azfw-ipconfig"
       subnet_id            = azurerm_subnet.azfw_subnet.id
       public_ip_address_id = azurerm_public_ip.pip_azfw.id
     }
     firewall_policy_id = azurerm_firewall_policy.azfw_policy.id
   }
   
   resource "azurerm_route_table" "rt" {
     name                          = "rt-azfw-eus"
     location                      = azurerm_resource_group.rg.location
     resource_group_name           = azurerm_resource_group.rg.name
     disable_bgp_route_propagation = false
     route {
       name                   = "azfwDefaultRoute"
       address_prefix         = "0.0.0.0/0"
       next_hop_type          = "VirtualAppliance"
       next_hop_in_ip_address = azurerm_firewall.fw.ip_configuration[0].private_ip_address
     }
   }
   
   resource "azurerm_subnet_route_table_association" "jump_subnet_rt_association" {
     subnet_id      = azurerm_subnet.server_subnet.id
     route_table_id = azurerm_route_table.rt.id
   }
   

4. Создайте файл с именем variables.tf и вставьте следующий код:

   variable "resource_group_location" {
     type        = string
     description = "Location for all resources."
     default     = "eastus"
   }
   
   variable "resource_group_name_prefix" {
     type        = string
     description = "Prefix for the Resource Group Name that's combined with a random id so name is unique in your Azure subcription."
     default     = "rg"
   }
   
   variable "firewall_sku_tier" {
     type        = string
     description = "Firewall SKU."
     default     = "Premium" # Valid values are Standard and Premium
     validation {
       condition     = contains(["Standard", "Premium"], var.firewall_sku_tier)
       error_message = "The SKU must be one of the following: Standard, Premium"
     }
   }
   
   variable "virtual_machine_size" {
     type        = string
     description = "Size of the virtual machine."
     default     = "Standard_D2_v3"
   }
   
   variable "admin_username" {
     type        = string
     description = "Value of the admin username."
     default     = "azureuser"
   }
   

5. Создайте файл с именем outputs.tf и вставьте следующий код:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   
   output "firewall_name" {
     value = azurerm_firewall.fw.name
   }
   

Инициализируйте Terraform

Запустите terraform init , чтобы инициализировать развертывание Terraform. Эта команда загружает поставщика Azure, необходимого для управления вашими ресурсами в Azure.

terraform init -upgrade

Ключевые моменты:

• Параметр -upgrade обновляет необходимые плагины провайдера до самой последней версии, которая соответствует ограничениям версии конфигурации.

Создайте план запуска Terraform

Выполните terraform plan, чтобы создать план выполнения.

terraform plan -out main.tfplan

Ключевые моменты:

• Команда terraform plan создает план выполнения, но не выполняет его. Вместо этого он определяет, какие действия необходимы для создания конфигурации, указанной в ваших конфигурационных файлах. Данный шаблон позволяет вам убедиться, что план выполнения соответствует вашим ожиданиям, прежде чем вносить какие-либо изменения в реальные ресурсы.
• Необязательный параметр -out позволяет указать выходной файл для плана. Использование параметра -out обеспечивает, что план, который вы просмотрели, будет применен точно в таком виде.

Применение плана выполнения Terraform

Запустите terraform apply, чтобы применить план выполнения к вашей облачной инфраструктуре.

terraform apply main.tfplan

Ключевые моменты:

• Пример команды terraform apply предполагает, что вы ранее выполнили команду terraform plan -out main.tfplan.
• Если вы указали другое имя файла для параметра -out, используйте то же имя файла при вызове terraform apply.
• Если вы не использовали параметр -out, вызовите terraform apply без параметров.

Проверка результатов

Azure CLI

1. Получите имя группы ресурсов Azure.

   resource_group_name=$(terraform output -raw resource_group_name)
   

2. Получите имя брандмауэра.

   firewall_name=$(terraform output -raw firewall_name)
   

3. Запустите az network firewall show с запросом JMESPath , чтобы отобразить зоны доступности для брандмауэра.

   az network firewall show --name $firewall_name --resource-group $resource_group_name --query "{Zones:zones"}
   

Очистите ресурсы

Если вам больше не нужны ресурсы, созданные через Terraform, выполните следующие действия:

1. Запустите terraform plan и укажите флаг destroy.

   terraform plan -destroy -out main.destroy.tfplan
   

   Ключевые моменты:

   • Команда terraform plan создает план выполнения, но не выполняет его. Вместо этого он определяет, какие действия необходимы для создания конфигурации, указанной в ваших конфигурационных файлах. Данный шаблон позволяет вам убедиться, что план выполнения соответствует вашим ожиданиям, прежде чем вносить какие-либо изменения в реальные ресурсы.
   • Необязательный параметр -out позволяет указать выходной файл для плана. Использование параметра -out обеспечивает, что план, который вы просмотрели, будет применен точно в таком виде.

2. Чтобы применить план выполнения, запустите terraform apply.

   terraform apply main.destroy.tfplan
   

Устранение неполадок с Terraform в Azure

Устранение распространенных проблем при использовании Terraform в Azure

Дальнейшие шаги

Теперь вы можете отследить журналы Брандмауэра Azure.

Руководство. Мониторинг журналов брандмауэра Azure