Microsoft.Network networkSecurityGroups
Bicep-resourcedefinitie
Het resourcetype networkSecurityGroups kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen - Zie opdrachten voor resourcegroepimplementatie
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Opmerkingen
Zie Virtuele netwerkresources maken met bicep voor hulp bij het maken van netwerkbeveiligingsgroepen.
Resource-indeling
Als u een Resource Microsoft.Network/networkSecurityGroups wilt maken, voegt u de volgende Bicep toe aan uw sjabloon.
resource symbolicname 'Microsoft.Network/networkSecurityGroups@2023-04-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
flushConnection: bool
securityRules: [
{
id: 'string'
name: 'string'
properties: {
access: 'string'
description: 'string'
destinationAddressPrefix: 'string'
destinationAddressPrefixes: [
'string'
]
destinationApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
destinationPortRange: 'string'
destinationPortRanges: [
'string'
]
direction: 'string'
priority: int
protocol: 'string'
sourceAddressPrefix: 'string'
sourceAddressPrefixes: [
'string'
]
sourceApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
sourcePortRange: 'string'
sourcePortRanges: [
'string'
]
}
type: 'string'
}
]
}
}
Eigenschapswaarden
networkSecurityGroups
| Naam | Description | Waarde |
|---|---|---|
| naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 1-80 Geldige tekens: Alfanumerieken, onderstrepingstekens, punten en afbreekstreepjes. Begin met alfanumeriek. Einde alfanumeriek of onderstrepingsteken. |
| location | Resourcelocatie. | tekenreeks |
| tags | Resourcetags. | Woordenlijst met tagnamen en -waarden. Tags in sjablonen bekijken |
| properties | Eigenschappen van de netwerkbeveiligingsgroep. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| Naam | Description | Waarde |
|---|---|---|
| flushConnection | Wanneer deze optie is ingeschakeld, worden stromen die zijn gemaakt op basis van netwerkbeveiligingsgroepverbindingen opnieuw geëvalueerd wanneer regels worden bijgewerkt. Initiële activering activeert een nieuwe evaluatie. | booleaans |
| securityRules | Een verzameling beveiligingsregels van de netwerkbeveiligingsgroep. | SecurityRule[] |
SecurityRule
| Naam | Description | Waarde |
|---|---|---|
| id | Resource-id. | tekenreeks |
| naam | De naam van de resource die uniek is binnen een resourcegroep. Deze naam kan worden gebruikt voor toegang tot de resource. | tekenreeks |
| properties | Eigenschappen van de beveiligingsregel. | SecurityRulePropertiesFormat |
| type | Het type resource. | tekenreeks |
SecurityRulePropertiesFormat
| Naam | Description | Waarde |
|---|---|---|
| toegang | Het netwerkverkeer wordt toegestaan of geweigerd. | 'Toestaan' Weigeren (vereist) |
| beschrijving | Een beschrijving voor deze regel. Beperkt tot 140 tekens. | tekenreeks |
| destinationAddressPrefix | Het voorvoegsel van het doeladres. CIDR of doel-IP-bereik. Het sterretje *kan ook worden gebruikt om alle bron-IP-adressen te vinden. Standaardtags zoals 'VirtualNetwork', 'AzureLoadBalancer' en 'Internet' kunnen ook worden gebruikt. | tekenreeks |
| destinationAddressPrefixes | De doeladresvoorvoegsels. CIDR- of doel-IP-bereiken. | tekenreeks[] |
| destinationApplicationSecurityGroups | De toepassingsbeveiligingsgroep die is opgegeven als bestemming. | ApplicationSecurityGroup[] |
| destinationPortRange | De doelpoort of het doelbereik. Geheel getal of bereik tussen 0 en 65535. Het sterretje *kan ook worden gebruikt om alle poorten te vinden. | tekenreeks |
| destinationPortRanges | De doelpoortbereiken. | tekenreeks[] |
| richting | De richting van de regel. De richting geeft aan of de regel wordt geëvalueerd voor binnenkomend of uitgaand verkeer. | 'Inkomend' 'Uitgaand' (vereist) |
| priority | De prioriteit van de regel. De waarde kan tussen 100 en 4096 zijn. Het prioriteitsnummer moet uniek zijn voor elke regel in de verzameling. Hoe lager het prioriteitsnummer, hoe hoger de prioriteit van de regel. | int (vereist) |
| protocol | Netwerkprotocol waarop deze regel van toepassing is. | '*' 'Ah' 'Esp' 'Icmp' Tcp 'Udp' (vereist) |
| sourceAddressPrefix | Het CIDR- of bron-IP-bereik. Het sterretje *kan ook worden gebruikt om alle bron-IP-adressen te vinden. Standaardtags zoals 'VirtualNetwork', 'AzureLoadBalancer' en 'Internet' kunnen ook worden gebruikt. Als dit een regel voor inkomend verkeer is, geeft u op waar netwerkverkeer vandaan komt. | tekenreeks |
| sourceAddressPrefixes | De CIDR- of bron-IP-bereiken. | tekenreeks[] |
| sourceApplicationSecurityGroups | De toepassingsbeveiligingsgroep die is opgegeven als bron. | ApplicationSecurityGroup[] |
| sourcePortRange | De bronpoort of het bronbereik. Geheel getal of bereik tussen 0 en 65535. Het sterretje *kan ook worden gebruikt om alle poorten te vinden. | tekenreeks |
| sourcePortRanges | De bronpoortbereiken. | tekenreeks[] |
ApplicationSecurityGroup
| Naam | Description | Waarde |
|---|---|---|
| id | Resource-id. | tekenreeks |
| location | Resourcelocatie. | tekenreeks |
| properties | Eigenschappen van de toepassingsbeveiligingsgroep. | ApplicationSecurityGroupEigenschappenFormat |
| tags | Resourcetags. | object |
ApplicationSecurityGroupEigenschappenFormat
Dit object bevat geen eigenschappen die tijdens de implementatie moeten worden ingesteld. Alle eigenschappen zijn Alleen-lezen.
Snelstartsjablonen
Met de volgende snelstartsjablonen wordt dit resourcetype geïmplementeerd.
| Template | Beschrijving |
|---|---|
Beheerde Azure Active Directory Domain Services |
Met deze sjabloon wordt een beheerde Azure Active Directory-domein-service geïmplementeerd met vereiste VNet- en NSG-configuraties. |
| AKS-cluster met de Application Gateway toegangsbeheerobjectcontroller |
In dit voorbeeld ziet u hoe u een AKS-cluster implementeert met Application Gateway, Application Gateway controller voor inkomend verkeer, Azure Container Registry, Log Analytics en Key Vault |
| App Gateway met WAF-, SSL-, IIS- en HTTPS-omleiding |
Met deze sjabloon wordt een Application Gateway geïmplementeerd met WAF, end-to-end SSL en HTTP naar HTTPS-omleiding op de IIS-servers. |
| Een IPv6-Application Gateway maken |
Met deze sjabloon maakt u een toepassingsgateway met een IPv6-front-end in een virtueel netwerk met twee stacks. |
| Toepassingsbeveiligingsgroepen |
Deze sjabloon laat zien hoe u de onderdelen samenbrengt om workloads te beveiligen met behulp van NSG's met toepassingsbeveiligingsgroepen. Er wordt een Linux-VM met NGINX geïmplementeerd en door het gebruik van toepassingsbeveiligingsgroepen in netwerkbeveiligingsgroepen wordt toegang verleend tot poorten 22 en 80 tot een VM die is toegewezen aan toepassingsbeveiligingsgroep met de naam webServersAsg. |
| Azure Bastion as a Service met NSG |
Met deze sjabloon wordt Azure Bastion in een Virtual Network |
| Gebruik Azure Firewall als DNS-proxy in een Hub & Spoke-topologie |
In dit voorbeeld ziet u hoe u een hub-spoke-topologie in Azure implementeert met behulp van de Azure Firewall. Het virtuele hubnetwerk fungeert als een centraal verbindingspunt voor veel virtuele spoke-netwerken die zijn verbonden met het virtuele hubnetwerk via peering van virtuele netwerken. |
| Sandbox van Azure Firewall, client-VM en server-VM maken |
Met deze sjabloon maakt u een virtueel netwerk met twee subnetten (serversubnet en AzureFirewall-subnet), een server-VM, een client-VM, een openbaar IP-adres voor elke VM en een routetabel voor het verzenden van verkeer tussen VM's via de firewall. |
| Een firewall maken, firewallbeleid met expliciete proxy |
Met deze sjabloon maakt u een Azure Firewall FirewalllPolicy met expliciete proxy en netwerkregels met IpGroups. Bevat ook de installatie van een Linux Jumpbox-VM |
| Een firewall maken met FirewallPolicy en IpGroups |
Met deze sjabloon maakt u een Azure Firewall met FirewalllPolicy die verwijst naar netwerkregels met IpGroups. Bevat ook een Installatie van een Linux Jumpbox-VM |
| Een Azure Firewall maken met IpGroups |
Met deze sjabloon maakt u een Azure Firewall met toepassings- en netwerkregels die verwijzen naar IP-groepen. Bevat ook een Installatie van een Linux Jumpbox-VM |
| Een Azure Firewall sandbox maken met geforceerde tunneling |
Met deze sjabloon maakt u een Azure Firewall sandbox (Linux) met één firewall geforceerd getunneld via een andere firewall in een gekoppeld VNET |
| Een sandbox-installatie maken van Azure Firewall met Virtuele Linux-machines |
Met deze sjabloon maakt u een virtueel netwerk met drie subnetten (serversubnet, jumpbox-subet en AzureFirewall-subnet), een jumpbox-VM met een openbaar IP-adres, een server-VM, UDR-route om te verwijzen naar Azure Firewall voor het serversubnet en een Azure Firewall met 1 of meer openbare IP-adressen, 1 voorbeeldtoepassingsregel, 1 voorbeeldnetwerkregel en standaard privébereiken |
| Een sandbox-installatie maken met firewallbeleid |
Met deze sjabloon maakt u een virtueel netwerk met drie subnetten (serversubnet, jumpbox-subet en AzureFirewall-subnet), een jumpbox-VM met een openbaar IP-adres, een server-VM, een UDR-route om te verwijzen naar Azure Firewall voor het serversubnet en een Azure Firewall met 1 of meer openbare IP-adressen. Maakt ook een firewallbeleid met 1 voorbeeldtoepassingsregel, 1 voorbeeldnetwerkregel en standaard privébereiken |
| Een sandbox-installatie maken van Azure Firewall met zones |
Met deze sjabloon maakt u een virtueel netwerk met drie subnetten (serversubnet, jumpbox-subnet en Azure Firewall subnet), een jumpbox-VM met een openbaar IP-adres, een server-VM, een UDR-route die verwijst naar Azure Firewall voor het ServerSubnet, een Azure Firewall met een of meer openbare IP-adressen, één voorbeeldtoepassingsregel en één voorbeeldnetwerkregel en Azure Firewall in Beschikbaarheidszones 1, 2 en 3. |
| ExpressRoute-circuit met privépeering en Azure VNet |
Met deze sjabloon configureert u ExpressRoute Microsoft-peering, implementeert u een Azure VNet met Expressroute-gateway en koppelt u het VNet aan het ExpressRoute-circuit |
| Azure Front Door maken vóór Azure API Management |
In dit voorbeeld ziet u hoe u Azure Front Door gebruikt als een globale load balancer vóór Azure API Management. |
| Een Azure Firewall met meerdere openbare IP-adressen maken |
Met deze sjabloon maakt u een Azure Firewall met twee openbare IP-adressen en twee Windows Server 2019-servers om te testen. |
| Beveiligde virtuele hubs |
Met deze sjabloon maakt u een beveiligde virtuele hub met behulp van Azure Firewall om uw netwerkverkeer in de cloud te beveiligen dat is bestemd voor internet. |
| Een load balancer voor meerdere regio's maken |
Met deze sjabloon maakt u een load balancer voor meerdere regio's met een back-endpool die twee regionale load balancers bevat. Load balancer voor meerdere regio's is momenteel beschikbaar in beperkte regio's. De regionale load balancers achter de load balancer voor meerdere regio's kunnen zich in elke regio bevinden. |
| Standard Load Balancer met back-endpool op IP-adressen |
Deze sjabloon wordt gebruikt om te laten zien hoe ARM-sjablonen kunnen worden gebruikt voor het configureren van de back-endpool van een Load Balancer op IP-adres, zoals beschreven in het beheerdocument voor back-endpools. |
| Een load balancer met een openbaar IPv6-adres maken |
Met deze sjabloon maakt u een internetgerichte load balancer met een openbaar IPv6-adres, taakverdelingsregels en twee VM's voor de back-endpool. |
| Een standaard load balancer maken |
Met deze sjabloon maakt u een internetgerichte load balancer, taakverdelingsregels en drie VM's voor de back-endpool met elke VM in een redundante zone. |
| Virtual Network NAT met VM |
Een NAT-gateway en virtuele machine implementeren |
| Een NSG toepassen op een bestaand subnet |
Met deze sjabloon wordt een zojuist gemaakte NSG toegepast op een bestaand subnet |
| Netwerkbeveiligingsgroep met diagnostische logboeken |
Met deze sjabloon maakt u een netwerkbeveiligingsgroep met diagnostische logboeken en een resourcevergrendeling |
| VNet met meerdere lagen met NSG's en DMZ |
Met deze sjabloon wordt een Virtual Network geïmplementeerd met 3 subnetten, 3 netwerkbeveiligingsgroepen en de juiste beveiligingsregels om van het FrontEnd-subnet een DMZ te maken |
| Azure Route Server in BGP-peering met Quagga |
Met deze sjabloon implementeert u een routerserver en ubuntu-VM met Quagga. Er worden twee externe BGP-sessies tot stand gebracht tussen de routerserver en Quagga. De installatie en configuratie van Quagga wordt uitgevoerd door de aangepaste scriptextensie van Azure voor Linux |
| Een netwerkbeveiligingsgroep maken |
Met deze sjabloon maakt u een netwerkbeveiligingsgroep |
| Een site-naar-site-VPN-verbinding maken met een VM |
Met deze sjabloon kunt u een site-naar-site-VPN-verbinding maken met behulp van Virtual Network Gateways |
| Site-naar-site-VPN met actief-actief VPN-gateways met BGP |
Met deze sjabloon kunt u een site-naar-site-VPN implementeren tussen twee VNets met VPN-gateways in de configuratie actief-actief met BGP. Elke Azure-VPN Gateway zet de FQDN van de externe peers om om het openbare IP-adres van de externe VPN Gateway te bepalen. Sjabloon wordt uitgevoerd zoals verwacht in Azure-regio's met beschikbaarheidszones. |
| Azure Traffic Manager VM-voorbeeld |
Deze sjabloon laat zien hoe u een Azure Traffic Manager-profieltaakverdeling maakt over meerdere virtuele machines. |
| Azure Traffic Manager VM-voorbeeld met Beschikbaarheidszones |
Deze sjabloon laat zien hoe u een Azure Traffic Manager-profieltaakverdeling maakt over meerdere virtuele machines die in Beschikbaarheidszones zijn geplaatst. |
| Door de gebruiker gedefinieerde routes en apparaat |
Met deze sjabloon worden een Virtual Network, VM's in respectieve subnetten en routes geïmplementeerd om verkeer naar het apparaat te leiden |
| 201-vnet-2subnets-service-eindpunten-opslagintegratie |
Hiermee maakt u twee nieuwe VM's met elk een NIC, in twee verschillende subnetten binnen hetzelfde VNet. Hiermee stelt u een service-eindpunt in op een van de subnetten en beveiligt u het opslagaccount naar dat subnet. |
| Een NSG met Redis-beveiligingsregels toevoegen aan een bestaand subnet |
Met deze sjabloon kunt u een NSG met vooraf geconfigureerde Azure Redis Cache-beveiligingsregels toevoegen aan een bestaand subnet binnen een VNET. Implementeer in de resourcegroep van het bestaande VNET. |
Resourcedefinitie van ARM-sjabloon
Het resourcetype networkSecurityGroups kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen - Zie opdrachten voor resourcegroepimplementatie
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Opmerkingen
Zie Virtuele netwerkresources maken met bicep voor hulp bij het maken van netwerkbeveiligingsgroepen.
Resource-indeling
Als u een Microsoft.Network/networkSecurityGroups-resource wilt maken, voegt u de volgende JSON toe aan uw sjabloon.
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2023-04-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"flushConnection": "bool",
"securityRules": [
{
"id": "string",
"name": "string",
"properties": {
"access": "string",
"description": "string",
"destinationAddressPrefix": "string",
"destinationAddressPrefixes": [ "string" ],
"destinationApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"destinationPortRange": "string",
"destinationPortRanges": [ "string" ],
"direction": "string",
"priority": "int",
"protocol": "string",
"sourceAddressPrefix": "string",
"sourceAddressPrefixes": [ "string" ],
"sourceApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"sourcePortRange": "string",
"sourcePortRanges": [ "string" ]
},
"type": "string"
}
]
}
}
Eigenschapswaarden
networkSecurityGroups
| Naam | Description | Waarde |
|---|---|---|
| type | Het resourcetype | 'Microsoft.Network/networkSecurityGroups' |
| apiVersion | De resource-API-versie | '2023-04-01' |
| naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 1-80 Geldige tekens: Alfanumerieken, onderstrepingstekens, punten en afbreekstreepjes. Begin met alfanumeriek. Einde alfanumeriek of onderstrepingsteken. |
| location | Resourcelocatie. | tekenreeks |
| tags | Resourcetags. | Woordenlijst met tagnamen en -waarden. Tags in sjablonen bekijken |
| properties | Eigenschappen van de netwerkbeveiligingsgroep. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| Naam | Description | Waarde |
|---|---|---|
| flushConnection | Wanneer deze optie is ingeschakeld, worden stromen die zijn gemaakt op basis van netwerkbeveiligingsgroepverbindingen opnieuw geëvalueerd wanneer regels worden bijgewerkt. Initiële activering activeert een nieuwe evaluatie. | booleaans |
| securityRules | Een verzameling beveiligingsregels van de netwerkbeveiligingsgroep. | SecurityRule[] |
SecurityRule
| Naam | Description | Waarde |
|---|---|---|
| id | Resource-id. | tekenreeks |
| naam | De naam van de resource die uniek is binnen een resourcegroep. Deze naam kan worden gebruikt voor toegang tot de resource. | tekenreeks |
| properties | Eigenschappen van de beveiligingsregel. | SecurityRulePropertiesFormat |
| type | Het type resource. | tekenreeks |
SecurityRulePropertiesFormat
| Naam | Description | Waarde |
|---|---|---|
| toegang | Het netwerkverkeer wordt toegestaan of geweigerd. | 'Toestaan' Weigeren (vereist) |
| beschrijving | Een beschrijving voor deze regel. Beperkt tot 140 tekens. | tekenreeks |
| destinationAddressPrefix | Het voorvoegsel van het doeladres. CIDR of doel-IP-bereik. Het sterretje *kan ook worden gebruikt om alle bron-IP-adressen te vinden. Standaardtags zoals 'VirtualNetwork', 'AzureLoadBalancer' en 'Internet' kunnen ook worden gebruikt. | tekenreeks |
| destinationAddressPrefixes | De doeladresvoorvoegsels. CIDR- of doel-IP-bereiken. | tekenreeks[] |
| destinationApplicationSecurityGroups | De toepassingsbeveiligingsgroep die is opgegeven als doel. | ApplicationSecurityGroup[] |
| destinationPortRange | De doelpoort of het doelbereik. Geheel getal of bereik tussen 0 en 65535. Het sterretje *kan ook worden gebruikt om alle poorten te vinden. | tekenreeks |
| destinationPortRanges | De doelpoortbereiken. | tekenreeks[] |
| richting | De richting van de regel. De richting geeft aan of de regel wordt geëvalueerd voor binnenkomend of uitgaand verkeer. | 'Inkomend' 'Uitgaand' (vereist) |
| priority | De prioriteit van de regel. De waarde kan tussen 100 en 4096 zijn. Het prioriteitsnummer moet uniek zijn voor elke regel in de verzameling. Hoe lager het prioriteitsnummer, hoe hoger de prioriteit van de regel. | int (vereist) |
| protocol | Netwerkprotocol waarop deze regel van toepassing is. | '*' 'Ah' 'Esp' 'Icmp' Tcp 'Udp' (vereist) |
| sourceAddressPrefix | Het CIDR- of bron-IP-bereik. Het sterretje *kan ook worden gebruikt om alle bron-IP-adressen te vinden. Standaardtags zoals 'VirtualNetwork', 'AzureLoadBalancer' en 'Internet' kunnen ook worden gebruikt. Als dit een regel voor inkomend verkeer is, geeft u op waar netwerkverkeer vandaan komt. | tekenreeks |
| sourceAddressPrefixes | De CIDR- of bron-IP-bereiken. | tekenreeks[] |
| sourceApplicationSecurityGroups | De toepassingsbeveiligingsgroep die is opgegeven als bron. | ApplicationSecurityGroup[] |
| sourcePortRange | De bronpoort of het bronbereik. Geheel getal of bereik tussen 0 en 65535. Sterretje *kan ook worden gebruikt om alle poorten te vinden. | tekenreeks |
| sourcePortRanges | De bronpoortbereiken. | tekenreeks[] |
ApplicationSecurityGroup
| Naam | Description | Waarde |
|---|---|---|
| id | Resource-id. | tekenreeks |
| location | Resourcelocatie. | tekenreeks |
| properties | Eigenschappen van de toepassingsbeveiligingsgroep. | ApplicationSecurityGroupPropertiesFormat |
| tags | Resourcetags. | object |
ApplicationSecurityGroupPropertiesFormat
Dit object bevat geen eigenschappen die tijdens de implementatie moeten worden ingesteld. Alle eigenschappen zijn ReadOnly.
Snelstartsjablonen
Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.
| Template | Beschrijving |
|---|---|
| Beheerde Azure Active Directory Domain Services |
Met deze sjabloon wordt een beheerde Azure Active Directory-domein-service geïmplementeerd met vereiste VNet- en NSG-configuraties. |
| AKS-cluster met de Application Gateway toegangscontroller |
In dit voorbeeld ziet u hoe u een AKS-cluster implementeert met Application Gateway, Application Gateway ingangscontroller, Azure Container Registry, Log Analytics en Key Vault |
| App Gateway met WAF-, SSL-, IIS- en HTTPS-omleiding |
Met deze sjabloon wordt een Application Gateway geïmplementeerd met WAF, end-to-end SSL en HTTP-naar-HTTPS-omleiding op de IIS-servers. |
| Een IPv6-Application Gateway maken |
Met deze sjabloon maakt u een toepassingsgateway met een IPv6-front-end in een virtueel netwerk met dubbele stack. |
| Toepassingsbeveiligingsgroepen |
Deze sjabloon laat zien hoe u de onderdelen samenbrengt om workloads te beveiligen met behulp van NSG's met toepassingsbeveiligingsgroepen. Er wordt een Linux-VM geïmplementeerd waarop NGINX wordt uitgevoerd en via het gebruik van toepassingsbeveiligingsgroepen op netwerkbeveiligingsgroepen verlenen we toegang tot poorten 22 en 80 tot een VM die is toegewezen aan toepassingsbeveiligingsgroep met de naam webServersAsg. |
| Azure Bastion as a Service met NSG |
Met deze sjabloon wordt Azure Bastion in een Virtual Network |
| Azure Firewall gebruiken als EEN DNS-proxy in een Hub & Spoke-topologie |
In dit voorbeeld ziet u hoe u een hub-spoke-topologie in Azure implementeert met behulp van de Azure Firewall. Het virtuele hubnetwerk fungeert als een centraal verbindingspunt voor veel virtuele spoke-netwerken die zijn verbonden met het virtuele netwerk van de hub via peering voor virtuele netwerken. |
| Sandbox van Azure Firewall, client-VM en server-VM maken |
Met deze sjabloon maakt u een virtueel netwerk met 2 subnetten (serversubnet en AzureFirewall-subnet), een server-VM, een client-VM, een openbaar IP-adres voor elke VM en een routetabel om verkeer tussen VM's via de firewall te verzenden. |
| Een firewall maken, firewallbeleid met expliciete proxy |
Met deze sjabloon maakt u een Azure Firewall FirewalllPolicy met expliciete proxy en netwerkregels met IpGroups. Bevat ook een Installatie van een Linux Jumpbox-VM |
| Een firewall maken met FirewallPolicy en IpGroups |
Met deze sjabloon maakt u een Azure Firewall met FirewalllPolicy die verwijst naar netwerkregels met IpGroups. Bevat ook een Installatie van een Linux Jumpbox-VM |
| Een Azure Firewall maken met IpGroups |
Met deze sjabloon maakt u een Azure Firewall met toepassings- en netwerkregels die verwijzen naar IP-groepen. Bevat ook een Installatie van een Linux Jumpbox-VM |
| Een Azure Firewall sandbox maken met geforceerde tunneling |
Met deze sjabloon maakt u een Azure Firewall sandbox (Linux) met één firewall geforceerd getunneld via een andere firewall in een gekoppeld VNET |
| Een sandbox-installatie maken van Azure Firewall met Virtuele Linux-machines |
Met deze sjabloon maakt u een virtueel netwerk met drie subnetten (serversubnet, jumpbox-subet en AzureFirewall-subnet), een jumpbox-VM met een openbaar IP-adres, een server-VM, UDR-route om te verwijzen naar Azure Firewall voor het serversubnet en een Azure Firewall met 1 of meer openbare IP-adressen, 1 voorbeeldtoepassingsregel, 1 voorbeeldnetwerkregel en standaard privébereiken |
| Een sandbox-installatie maken met firewallbeleid |
Met deze sjabloon maakt u een virtueel netwerk met drie subnetten (serversubnet, jumpbox-subet en AzureFirewall-subnet), een jumpbox-VM met een openbaar IP-adres, een server-VM, een UDR-route om te verwijzen naar Azure Firewall voor het serversubnet en een Azure Firewall met 1 of meer openbare IP-adressen. Maakt ook een firewallbeleid met 1 voorbeeldtoepassingsregel, 1 voorbeeldnetwerkregel en standaard privébereiken |
| Een sandbox-installatie maken van Azure Firewall met zones |
Met deze sjabloon maakt u een virtueel netwerk met drie subnetten (serversubnet, jumpbox-subnet en Azure Firewall subnet), een jumpbox-VM met een openbaar IP-adres, een server-VM, een UDR-route die verwijst naar Azure Firewall voor het ServerSubnet, een Azure Firewall met een of meer openbare IP-adressen, één voorbeeldtoepassingsregel en één voorbeeldnetwerkregel en Azure Firewall in Beschikbaarheidszones 1, 2 en 3. |
| ExpressRoute-circuit met persoonlijke peering en Azure VNet |
Met deze sjabloon configureert u ExpressRoute Microsoft-peering, implementeert u een Azure VNet met Expressroute-gateway en koppelt u het VNet aan het ExpressRoute-circuit |
| Azure Front Door maken vóór Azure API Management |
In dit voorbeeld ziet u hoe u Azure Front Door gebruikt als een globale load balancer vóór Azure API Management. |
| Een Azure Firewall met meerdere openbare IP-adressen maken |
Met deze sjabloon maakt u een Azure Firewall met twee openbare IP-adressen en twee Windows Server 2019-servers om te testen. |
| Beveiligde virtuele hubs |
Met deze sjabloon maakt u een beveiligde virtuele hub met behulp van Azure Firewall om uw netwerkverkeer in de cloud te beveiligen dat is bestemd voor internet. |
| Een load balancer voor meerdere regio's maken |
Met deze sjabloon maakt u een load balancer voor meerdere regio's met een back-endpool die twee regionale load balancers bevat. Load balancer voor meerdere regio's is momenteel beschikbaar in beperkte regio's. De regionale load balancers achter de load balancer voor meerdere regio's kunnen zich in elke regio bevinden. |
| Standard Load Balancer met back-endpool op IP-adressen |
Deze sjabloon wordt gebruikt om te laten zien hoe ARM-sjablonen kunnen worden gebruikt voor het configureren van de back-endpool van een Load Balancer op IP-adres, zoals beschreven in het document Beheer van back-endpool. |
| Een load balancer met een openbaar IPv6-adres maken |
Met deze sjabloon maakt u een internetgerichte load balancer met een openbaar IPv6-adres, taakverdelingsregels en twee VM's voor de back-endpool. |
| Een standaard load balancer maken |
Met deze sjabloon maakt u een internetgerichte load balancer, taakverdelingsregels en drie VM's voor de back-endpool met elke VM in een redundante zone. |
| Virtual Network NAT met VM |
Een NAT-gateway en virtuele machine implementeren |
| Een NSG toepassen op een bestaand subnet |
Met deze sjabloon wordt een zojuist gemaakte NSG toegepast op een bestaand subnet |
| Netwerkbeveiligingsgroep met diagnostische logboeken |
Met deze sjabloon maakt u een netwerkbeveiligingsgroep met diagnostische logboeken en een resourcevergrendeling |
| VNet met meerdere lagen met NSG's en DMZ |
Met deze sjabloon wordt een Virtual Network geïmplementeerd met 3 subnetten, 3 netwerkbeveiligingsgroepen en de juiste beveiligingsregels om van het FrontEnd-subnet een DMZ te maken |
| Azure Route Server in BGP-peering met Quagga |
Met deze sjabloon wordt een routerserver en Ubuntu-VM met Quagga geïmplementeerd. Er worden twee externe BGP-sessies tot stand gebracht tussen de routerserver en Quagga. De installatie en configuratie van Quagga wordt uitgevoerd door de aangepaste Azure-scriptextensie voor Linux |
| Een netwerkbeveiligingsgroep maken |
Met deze sjabloon maakt u een netwerkbeveiligingsgroep |
| Een site-naar-site-VPN-verbinding maken met een VM |
Met deze sjabloon kunt u een site-naar-site-VPN-verbinding maken met behulp van Virtual Network-gateways |
| Site-naar-site-VPN met actief-actieve VPN-gateways met BGP |
Met deze sjabloon kunt u een site-naar-site-VPN implementeren tussen twee VNets met VPN-gateways in de configuratie actief-actief met BGP. Elke Azure VPN Gateway zet de FQDN van de externe peers om het openbare IP-adres van de externe VPN Gateway te bepalen. Sjabloon wordt uitgevoerd zoals verwacht in Azure-regio's met beschikbaarheidszones. |
| Voorbeeld van Azure Traffic Manager-VM |
Deze sjabloon laat zien hoe u een Azure Traffic Manager-profieltaakverdeling maakt over meerdere virtuele machines. |
| Azure Traffic Manager-VM-voorbeeld met Beschikbaarheidszones |
Deze sjabloon laat zien hoe u een Azure Traffic Manager-profieltaakverdeling maakt over meerdere virtuele machines die in Beschikbaarheidszones zijn geplaatst. |
| Door de gebruiker gedefinieerde routes en apparaat |
Met deze sjabloon worden een Virtual Network, VM's in respectieve subnetten en routes geïmplementeerd om verkeer naar het apparaat te leiden |
| 201-vnet-2subnets-service-eindpunten-storage-integration |
Hiermee maakt u twee nieuwe virtuele machines met elk een NIC, in twee verschillende subnetten binnen hetzelfde VNet. Hiermee stelt u een service-eindpunt in op een van de subnetten en beveiligt u het opslagaccount voor dat subnet. |
| Een NSG met Redis-beveiligingsregels toevoegen aan een bestaand subnet |
Met deze sjabloon kunt u een NSG met vooraf geconfigureerde Azure Redis Cache-beveiligingsregels toevoegen aan een bestaand subnet binnen een VNET. Implementeer in de resourcegroep van het bestaande VNET. |
Terraform-resourcedefinitie (AzAPI-provider)
Het resourcetype networkSecurityGroups kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Microsoft.Network/networkSecurityGroups-resource wilt maken, voegt u de volgende Terraform toe aan uw sjabloon.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/networkSecurityGroups@2023-04-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
flushConnection = bool
securityRules = [
{
id = "string"
name = "string"
properties = {
access = "string"
description = "string"
destinationAddressPrefix = "string"
destinationAddressPrefixes = [
"string"
]
destinationApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
destinationPortRange = "string"
destinationPortRanges = [
"string"
]
direction = "string"
priority = int
protocol = "string"
sourceAddressPrefix = "string"
sourceAddressPrefixes = [
"string"
]
sourceApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
sourcePortRange = "string"
sourcePortRanges = [
"string"
]
}
type = "string"
}
]
}
})
}
Eigenschapswaarden
networkSecurityGroups
| Naam | Description | Waarde |
|---|---|---|
| type | Het resourcetype | "Microsoft.Network/networkSecurityGroups@2023-04-01" |
| naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 1-80 Geldige tekens: Alfanumerieken, onderstrepingstekens, punten en afbreekstreepjes. Begin met alfanumeriek. Einde alfanumeriek of onderstrepingsteken. |
| location | Resourcelocatie. | tekenreeks |
| parent_id | Als u wilt implementeren in een resourcegroep, gebruikt u de id van die resourcegroep. | tekenreeks (vereist) |
| tags | Resourcetags. | Woordenlijst met tagnamen en -waarden. |
| properties | Eigenschappen van de netwerkbeveiligingsgroep. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| Naam | Description | Waarde |
|---|---|---|
| flushConnection | Wanneer deze optie is ingeschakeld, worden stromen die zijn gemaakt op basis van netwerkbeveiligingsgroepverbindingen opnieuw geëvalueerd wanneer regels worden bijgewerkt. Initiële activering activeert een nieuwe evaluatie. | booleaans |
| securityRules | Een verzameling beveiligingsregels van de netwerkbeveiligingsgroep. | SecurityRule[] |
SecurityRule
| Naam | Description | Waarde |
|---|---|---|
| id | Resource-id. | tekenreeks |
| naam | De naam van de resource die uniek is binnen een resourcegroep. Deze naam kan worden gebruikt voor toegang tot de resource. | tekenreeks |
| properties | Eigenschappen van de beveiligingsregel. | SecurityRulePropertiesFormat |
| type | Het type resource. | tekenreeks |
SecurityRulePropertiesFormat
| Naam | Description | Waarde |
|---|---|---|
| toegang | Het netwerkverkeer wordt toegestaan of geweigerd. | "Toestaan" Weigeren (vereist) |
| beschrijving | Een beschrijving voor deze regel. Beperkt tot 140 tekens. | tekenreeks |
| destinationAddressPrefix | Het voorvoegsel van het doeladres. CIDR of doel-IP-bereik. Het sterretje *kan ook worden gebruikt om alle bron-IP-adressen te vinden. Standaardtags zoals 'VirtualNetwork', 'AzureLoadBalancer' en 'Internet' kunnen ook worden gebruikt. | tekenreeks |
| destinationAddressPrefixes | De doeladresvoorvoegsels. CIDR- of doel-IP-bereiken. | tekenreeks[] |
| destinationApplicationSecurityGroups | De toepassingsbeveiligingsgroep die is opgegeven als bestemming. | ApplicationSecurityGroup[] |
| destinationPortRange | De doelpoort of het doelbereik. Geheel getal of bereik tussen 0 en 65535. Sterretje *kan ook worden gebruikt om alle poorten te vinden. | tekenreeks |
| destinationPortRanges | De doelpoortbereiken. | tekenreeks[] |
| richting | De richting van de regel. De richting geeft aan of de regel wordt geëvalueerd voor binnenkomend of uitgaand verkeer. | "Inkomend" "Uitgaand" (vereist) |
| priority | De prioriteit van de regel. De waarde kan tussen 100 en 4096 zijn. Het prioriteitsnummer moet uniek zijn voor elke regel in de verzameling. Hoe lager het prioriteitsnummer, hoe hoger de prioriteit van de regel. | int (vereist) |
| protocol | Netwerkprotocol waarop deze regel van toepassing is. | "*" "Ah" "Esp" "Icmp" "Tcp" 'Udp' (vereist) |
| sourceAddressPrefix | Het CIDR- of bron-IP-bereik. Het sterretje *kan ook worden gebruikt om alle bron-IP-adressen te vinden. Standaardtags zoals 'VirtualNetwork', 'AzureLoadBalancer' en 'Internet' kunnen ook worden gebruikt. Als dit een regel voor inkomend verkeer is, geeft u op waar netwerkverkeer vandaan komt. | tekenreeks |
| sourceAddressPrefixes | De CIDR- of bron-IP-bereiken. | tekenreeks[] |
| sourceApplicationSecurityGroups | De toepassingsbeveiligingsgroep die is opgegeven als bron. | ApplicationSecurityGroup[] |
| sourcePortRange | De bronpoort of het bronbereik. Geheel getal of bereik tussen 0 en 65535. Sterretje *kan ook worden gebruikt om alle poorten te vinden. | tekenreeks |
| sourcePortRanges | De bronpoortbereiken. | tekenreeks[] |
ApplicationSecurityGroup
| Naam | Description | Waarde |
|---|---|---|
| id | Resource-id. | tekenreeks |
| location | Resourcelocatie. | tekenreeks |
| properties | Eigenschappen van de toepassingsbeveiligingsgroep. | ApplicationSecurityGroupPropertiesFormat |
| tags | Resourcetags. | object |
ApplicationSecurityGroupPropertiesFormat
Dit object bevat geen eigenschappen die tijdens de implementatie moeten worden ingesteld. Alle eigenschappen zijn ReadOnly.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor