Microsoft.Network NetworkSecurityGroups 2023-04-01
Definicja zasobu Bicep
Typ zasobu networkSecurityGroups można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Uwagi
Aby uzyskać wskazówki dotyczące tworzenia sieciowych grup zabezpieczeń, zobacz Create virtual network resources by using Bicep.
Format zasobu
Aby utworzyć zasób Microsoft.Network/networkSecurityGroups, dodaj następujący element Bicep do szablonu.
resource symbolicname 'Microsoft.Network/networkSecurityGroups@2023-04-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
flushConnection: bool
securityRules: [
{
id: 'string'
name: 'string'
properties: {
access: 'string'
description: 'string'
destinationAddressPrefix: 'string'
destinationAddressPrefixes: [
'string'
]
destinationApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
destinationPortRange: 'string'
destinationPortRanges: [
'string'
]
direction: 'string'
priority: int
protocol: 'string'
sourceAddressPrefix: 'string'
sourceAddressPrefixes: [
'string'
]
sourceApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
sourcePortRange: 'string'
sourcePortRanges: [
'string'
]
}
type: 'string'
}
]
}
}
Wartości właściwości
networkSecurityGroups
| Nazwa | Opis | Wartość |
|---|---|---|
| nazwa | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Koniec alfanumeryczny lub podkreślenia. |
| lokalizacja | Lokalizacja zasobu. | struna |
| Tagi | Tagi zasobów. | Słownik nazw tagów i wartości. Zobacz tagi w szablonach |
| Właściwości | Właściwości sieciowej grupy zabezpieczeń. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| flushConnection | Po włączeniu przepływy utworzone na podstawie połączeń sieciowej grupy zabezpieczeń zostaną ponownie ocenione, gdy reguły są aktualizowane. Wstępne włączenie spowoduje wyzwolenie ponownej oceny. | Bool |
| securityRules | Kolekcja reguł zabezpieczeń sieciowej grupy zabezpieczeń. | SecurityRule[] |
SecurityRule
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | struna |
| nazwa | Nazwa zasobu, który jest unikatowy w grupie zasobów. Ta nazwa może służyć do uzyskiwania dostępu do zasobu. | struna |
| Właściwości | Właściwości reguły zabezpieczeń. | SecurityRulePropertiesFormat |
| typ | Typ zasobu. | struna |
SecurityRulePropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| dostęp | Ruch sieciowy jest dozwolony lub blokowany. | "Zezwalaj" "Odmów" (wymagane) |
| opis | Opis tej reguły. Ograniczony do 140 znaków. | struna |
| destinationAddressPrefix | Prefiks adresu docelowego. CIDR lub docelowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". | struna |
| destinationAddressPrefixes | Prefiksy adresów docelowych. CiDR lub docelowe zakresy adresów IP. | string[] |
| destinationApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako miejsce docelowe. | ApplicationSecurityGroup[] |
| destinationPortRange | Port docelowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | struna |
| destinationPortRanges | Zakresy portów docelowych. | string[] |
| kierunek | Kierunek reguły. Kierunek określa, czy reguła będzie oceniana w ruchu przychodzącym lub wychodzącym. | "Ruch przychodzący" "Wychodzący" (wymagany) |
| priorytet | Priorytet reguły. Wartość może należeć do zakresu od 100 do 4096. Numer priorytetu musi być unikatowy dla każdej reguły w kolekcji. Im niższy numer priorytetu, tym wyższy priorytet reguły. | int (wymagane) |
| protokół | Protokół sieciowy, do których ma zastosowanie ta reguła. | '*' "Ah" "Esp" "Icmp" "Tcp" "Udp" (wymagane) |
| sourceAddressPrefix | CiDR lub źródłowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". Jeśli jest to reguła ruchu przychodzącego, określa, skąd pochodzi ruch sieciowy. | struna |
| sourceAddressPrefixes | Zakresy CIDR lub źródłowych adresów IP. | string[] |
| sourceApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako źródło. | ApplicationSecurityGroup[] |
| sourcePortRange | Port źródłowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | struna |
| sourcePortRanges | Zakresy portów źródłowych. | string[] |
ApplicationSecurityGroup
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | struna |
| lokalizacja | Lokalizacja zasobu. | struna |
| Właściwości | Właściwości grupy zabezpieczeń aplikacji. | ApplicationSecurityGroupPropertiesFormat |
| Tagi | Tagi zasobów. | sprzeciwiać się |
ApplicationSecurityGroupPropertiesFormat
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
| Szablon | Opis |
|---|---|
|
zarządzane usługi Azure Active Directory Domain Services wdrażanie  |
Ten szablon umożliwia wdrożenie zarządzanej usługi Azure Active Directory Domain Service z wymaganą konfiguracją sieci wirtualnej i sieciowej grupy zabezpieczeń. |
|
klastrze usługi AKS z kontrolerem ruchu przychodzącego usługi Application Gateway wdrażanie |
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS za pomocą usługi Application Gateway, kontrolera ruchu przychodzącego usługi Application Gateway, usługi Azure Container Registry, usługi Log Analytics i usługi Key Vault |
|
App Gateway z zaporą aplikacji internetowej, protokołem SSL, usługami IIS i przekierowywaniem HTTPS wdrażanie |
Ten szablon wdraża usługę Application Gateway z zaporą aplikacji internetowej, kompleksową usługę SSL i przekierowanie HTTP do protokołu HTTPS na serwerach usług IIS. |
|
tworzenie usługi Application Gateway IPv6 wdrażanie |
Ten szablon tworzy bramę aplikacji z frontonem IPv6 w sieci wirtualnej z podwójnym stosem. |
| grup zabezpieczeń aplikacji wdrażanie |
W tym szablonie pokazano, jak połączyć elementy w celu zabezpieczenia obciążeń przy użyciu sieciowych grup zabezpieczeń z grupami zabezpieczeń aplikacji. Zostanie wdrożona maszyna wirtualna z systemem Linux z systemem NGINX, a użycie grup zabezpieczeń aplikacji w sieciowych grupach zabezpieczeń umożliwi dostęp do portów 22 i 80 do maszyny wirtualnej przypisanej do grupy zabezpieczeń aplikacji o nazwie webServersAsg. |
|
usługi Azure Bastion jako usługa z sieciową grupą zabezpieczeń wdrażanie |
Ten szablon aprowizuje usługę Azure Bastion w sieci wirtualnej |
|
użyj usługi Azure Firewall jako serwera proxy DNS w topologii gwiazdy & piasty wdrażanie |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu usługi Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną koncentratora za pośrednictwem komunikacji równorzędnej sieci wirtualnych. |
|
Tworzenie piaskownicy usługi Azure Firewall, maszyny wirtualnej klienta i maszyny wirtualnej serwera wdrażanie |
Ten szablon tworzy sieć wirtualną z 2 podsieciami (podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera, maszyną wirtualną klienta, publicznym adresem IP dla każdej maszyny wirtualnej i tabelą tras do wysyłania ruchu między maszynami wirtualnymi przez zaporę. |
|
tworzenie zapory, zaporaPolicy z jawnym serwerem proxy wdrażanie |
Ten szablon tworzy usługę Azure Firewall, FirewalllPolicy z jawnym serwerem proxy i regułami sieci z grupami IP. Ponadto obejmuje konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
|
tworzenie zapory przy użyciu zasad zapory i IpGroups wdrażanie |
Ten szablon tworzy usługę Azure Firewall z zasadami zapory odwołującymi się do reguł sieci za pomocą grup IpGroups. Ponadto obejmuje konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
|
tworzenie usługi Azure Firewall przy użyciu IpGroups wdrażanie |
Ten szablon tworzy usługę Azure Firewall z regułami aplikacji i sieci odwołującą się do grup adresów IP. Ponadto obejmuje konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
|
Tworzenie piaskownicy usługi Azure Firewall z wymuszonym tunelowaniem wdrażanie |
Ten szablon tworzy piaskownicę usługi Azure Firewall (Linux) z jedną zaporą wymuszoną tunelowaną przez inną zaporę w równorzędnej sieci wirtualnej |
|
Tworzenie konfiguracji piaskownicy usługi Azure Firewall przy użyciu maszyn wirtualnych z systemem Linux wdrażanie |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią przesiadki i podsiecią AzureFirewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać usługę Azure Firewall dla podsieci serwera i usługę Azure Firewall z co najmniej 1 publicznymi adresami IP, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
|
Tworzenie konfiguracji piaskownicy przy użyciu zasad zapory wdrażanie |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią przesiadki i podsiecią AzureFirewall), maszyną wirtualną przesiadkową z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać usługę Azure Firewall dla podsieci serwera i usługę Azure Firewall z co najmniej 1 publicznymi adresami IP. Tworzy również zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
|
Tworzenie konfiguracji piaskownicy usługi Azure Firewall przy użyciu stref wdrażanie |
Ten szablon tworzy sieć wirtualną z trzema podsieciami (podsiecią serwera, podsiecią serwera i podsiecią usługi Azure Firewall), maszyną wirtualną przesiadkową z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, trasą zdefiniowaną przez użytkownika w usłudze Azure Firewall dla podsieci ServerSubnet, usługą Azure Firewall z co najmniej jednym publicznym adresem IP, jedną przykładową regułą aplikacji oraz jedną przykładową regułą sieci i usługą Azure Firewall w strefach dostępności 1, 2, i 3. |
|
obwodu usługi ExpressRoute z prywatną komunikacją równorzędną i siecią wirtualną platformy Azure wdrażanie |
Ten szablon umożliwia skonfigurowanie komunikacji równorzędnej firmy Microsoft usługi ExpressRoute, wdrożenie sieci wirtualnej platformy Azure z bramą usługi ExpressRoute i połączenie sieci wirtualnej z obwodem usługi ExpressRoute |
|
Tworzenie maszyny wirtualnej w strefie rozszerzonej wdrażanie |
Ten szablon tworzy maszynę wirtualną w strefie rozszerzonej |
|
tworzenie usługi Azure Front Door przed usługą Azure API Management wdrażanie |
W tym przykładzie pokazano, jak używać usługi Azure Front Door jako globalnego modułu równoważenia obciążenia przed usługą Azure API Management. |
|
Tworzenie usługi Azure Firewall z wieloma publicznymi adresami IP wdrażanie |
Ten szablon tworzy usługę Azure Firewall z dwoma publicznymi adresami IP i dwoma serwerami z systemem Windows Server 2019 do przetestowania. |
|
zabezpieczone koncentratory wirtualne wdrażanie |
Ten szablon tworzy zabezpieczone centrum wirtualne przy użyciu usługi Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
|
Tworzenie modułu równoważenia obciążenia między regionami wdrażanie |
Ten szablon tworzy moduł równoważenia obciążenia między regionami z pulą zaplecza zawierającą dwa regionalne moduły równoważenia obciążenia. Moduł równoważenia obciążenia między regionami jest obecnie dostępny w ograniczonych regionach. Regionalne moduły równoważenia obciążenia za modułem równoważenia obciążenia między regionami mogą znajdować się w dowolnym regionie. |
|
usługi Load Balancer w warstwie Standardowa z pulą zaplecza według adresów IP wdrażanie |
Ten szablon służy do zademonstrowania sposobu użycia szablonów usługi ARM do konfigurowania puli zaplecza modułu równoważenia obciążenia według adresu IP zgodnie z opisem w dokumencie zarządzanie pulą zaplecza. |
|
Tworzenie modułu równoważenia obciążenia z publicznym adresem IPv6 wdrażanie |
Ten szablon tworzy moduł równoważenia obciążenia dostępny z Internetu z publicznym adresem IPv6, regułami równoważenia obciążenia i dwiema maszynami wirtualnymi dla puli zaplecza. |
|
Tworzenie standardowego modułu równoważenia obciążenia wdrażanie |
Ten szablon tworzy dostępny z Internetu moduł równoważenia obciążenia, reguły równoważenia obciążenia i trzy maszyny wirtualne dla puli zaplecza z każdą maszyną wirtualną w strefie nadmiarowej. |
| Translator adresów sieci wirtualnych przy użyciu maszyny wirtualnej wdrażanie |
Wdrażanie bramy translatora adresów sieciowych i maszyny wirtualnej |
|
stosowanie sieciowej grupy zabezpieczeń do istniejącej podsieci wdrażanie |
Ten szablon stosuje nowo utworzoną sieciową grupę zabezpieczeń do istniejącej podsieci |
| sieciowa grupa zabezpieczeń z dziennikami diagnostycznymi wdrażanie |
Ten szablon tworzy sieciową grupę zabezpieczeń z dziennikami diagnostycznymi i blokadą zasobu |
|
wielowarstwową sieć wirtualną z sieciowymi grupami zabezpieczeń i strefą DMZ wdrażanie |
Ten szablon umożliwia wdrożenie sieci wirtualnej z 3 podsieciami, 3 sieciowymi grupami zabezpieczeń i odpowiednimi regułami zabezpieczeń w celu utworzenia podsieci FrontEnd strefy DMZ |
|
azure Route Server w komunikacji równorzędnej BGP z Quagga wdrażanie |
Ten szablon wdraża serwer routera i maszynę wirtualną z systemem Ubuntu za pomocą rozwiązania Quagga. Dwa zewnętrzne sesje protokołu BGP są ustanawiane między serwerem routera i quaggą. Instalacja i konfiguracja oprogramowania Quagga jest wykonywana przez rozszerzenie niestandardowego skryptu platformy Azure dla systemu Linux |
|
tworzenie sieciowej grupy zabezpieczeń wdrażanie |
Ten szablon tworzy sieciową grupę zabezpieczeń |
|
tworzenie połączenia sieci VPN typu lokacja-lokacja z maszyną wirtualną wdrażanie |
Ten szablon umożliwia utworzenie połączenia sieci VPN typu lokacja-lokacja przy użyciu bram sieci wirtualnej |
|
sieci VPN typu lokacja-lokacja z bramami vpn active-active-active z protokołem BGP wdrażanie |
Ten szablon umożliwia wdrożenie sieci VPN typu lokacja-lokacja między dwiema sieciami wirtualnymi z bramami sieci VPN w konfiguracji aktywne-aktywne z protokołem BGP. Każda usługa Azure VPN Gateway rozpoznaje nazwę FQDN zdalnych elementów równorzędnych w celu określenia publicznego adresu IP zdalnej bramy sieci VPN. Szablon działa zgodnie z oczekiwaniami w regionach świadczenia usługi Azure ze strefami dostępności. |
|
przykład maszyny wirtualnej usługi Azure Traffic Manager wdrażanie |
W tym szablonie pokazano, jak utworzyć równoważenie obciążenia profilu usługi Azure Traffic Manager na wielu maszynach wirtualnych. |
|
przykład maszyny wirtualnej usługi Azure Traffic Manager z stref dostępności wdrażanie |
Ten szablon przedstawia sposób tworzenia równoważenia obciążenia profilu usługi Azure Traffic Manager na wielu maszynach wirtualnych umieszczonych w strefach dostępności. |
|
trasy zdefiniowane przez użytkownika i urządzenia wdrażanie |
Ten szablon wdraża sieć wirtualną, maszyny wirtualne w odpowiednich podsieciach i trasy, aby kierować ruch do urządzenia |
|
201-vnet-2subnets-service-endpoints-storage-integration wdrażanie |
Tworzy 2 nowe maszyny wirtualne z każdą kartą sieciową w dwóch różnych podsieciach w tej samej sieci wirtualnej. Ustawia punkt końcowy usługi w jednej z podsieci i zabezpiecza konto magazynu w tej podsieci. |
|
Dodawanie sieciowej grupy zabezpieczeń z regułami zabezpieczeń usługi Redis do istniejącej podsieci wdrażanie |
Ten szablon umożliwia dodanie sieciowej grupy zabezpieczeń ze wstępnie skonfigurowanymi regułami zabezpieczeń usługi Azure Redis Cache do istniejącej podsieci w sieci wirtualnej. Wdróż w grupie zasobów istniejącej sieci wirtualnej. |
Definicja zasobu szablonu usługi ARM
Typ zasobu networkSecurityGroups można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Uwagi
Aby uzyskać wskazówki dotyczące tworzenia sieciowych grup zabezpieczeń, zobacz Create virtual network resources by using Bicep.
Format zasobu
Aby utworzyć zasób Microsoft.Network/networkSecurityGroups, dodaj następujący kod JSON do szablonu.
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2023-04-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"flushConnection": "bool",
"securityRules": [
{
"id": "string",
"name": "string",
"properties": {
"access": "string",
"description": "string",
"destinationAddressPrefix": "string",
"destinationAddressPrefixes": [ "string" ],
"destinationApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"destinationPortRange": "string",
"destinationPortRanges": [ "string" ],
"direction": "string",
"priority": "int",
"protocol": "string",
"sourceAddressPrefix": "string",
"sourceAddressPrefixes": [ "string" ],
"sourceApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"sourcePortRange": "string",
"sourcePortRanges": [ "string" ]
},
"type": "string"
}
]
}
}
Wartości właściwości
networkSecurityGroups
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ zasobu | "Microsoft.Network/networkSecurityGroups" |
| apiVersion | Wersja interfejsu API zasobów | '2023-04-01' |
| nazwa | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Koniec alfanumeryczny lub podkreślenia. |
| lokalizacja | Lokalizacja zasobu. | struna |
| Tagi | Tagi zasobów. | Słownik nazw tagów i wartości. Zobacz tagi w szablonach |
| Właściwości | Właściwości sieciowej grupy zabezpieczeń. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| flushConnection | Po włączeniu przepływy utworzone na podstawie połączeń sieciowej grupy zabezpieczeń zostaną ponownie ocenione, gdy reguły są aktualizowane. Wstępne włączenie spowoduje wyzwolenie ponownej oceny. | Bool |
| securityRules | Kolekcja reguł zabezpieczeń sieciowej grupy zabezpieczeń. | SecurityRule[] |
SecurityRule
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | struna |
| nazwa | Nazwa zasobu, który jest unikatowy w grupie zasobów. Ta nazwa może służyć do uzyskiwania dostępu do zasobu. | struna |
| Właściwości | Właściwości reguły zabezpieczeń. | SecurityRulePropertiesFormat |
| typ | Typ zasobu. | struna |
SecurityRulePropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| dostęp | Ruch sieciowy jest dozwolony lub blokowany. | "Zezwalaj" "Odmów" (wymagane) |
| opis | Opis tej reguły. Ograniczony do 140 znaków. | struna |
| destinationAddressPrefix | Prefiks adresu docelowego. CIDR lub docelowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". | struna |
| destinationAddressPrefixes | Prefiksy adresów docelowych. CiDR lub docelowe zakresy adresów IP. | string[] |
| destinationApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako miejsce docelowe. | ApplicationSecurityGroup[] |
| destinationPortRange | Port docelowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | struna |
| destinationPortRanges | Zakresy portów docelowych. | string[] |
| kierunek | Kierunek reguły. Kierunek określa, czy reguła będzie oceniana w ruchu przychodzącym lub wychodzącym. | "Ruch przychodzący" "Wychodzący" (wymagany) |
| priorytet | Priorytet reguły. Wartość może należeć do zakresu od 100 do 4096. Numer priorytetu musi być unikatowy dla każdej reguły w kolekcji. Im niższy numer priorytetu, tym wyższy priorytet reguły. | int (wymagane) |
| protokół | Protokół sieciowy, do których ma zastosowanie ta reguła. | '*' "Ah" "Esp" "Icmp" "Tcp" "Udp" (wymagane) |
| sourceAddressPrefix | CiDR lub źródłowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". Jeśli jest to reguła ruchu przychodzącego, określa, skąd pochodzi ruch sieciowy. | struna |
| sourceAddressPrefixes | Zakresy CIDR lub źródłowych adresów IP. | string[] |
| sourceApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako źródło. | ApplicationSecurityGroup[] |
| sourcePortRange | Port źródłowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | struna |
| sourcePortRanges | Zakresy portów źródłowych. | string[] |
ApplicationSecurityGroup
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | struna |
| lokalizacja | Lokalizacja zasobu. | struna |
| Właściwości | Właściwości grupy zabezpieczeń aplikacji. | ApplicationSecurityGroupPropertiesFormat |
| Tagi | Tagi zasobów. | sprzeciwiać się |
ApplicationSecurityGroupPropertiesFormat
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
| Szablon | Opis |
|---|---|
|
zarządzane usługi Azure Active Directory Domain Services wdrażanie |
Ten szablon umożliwia wdrożenie zarządzanej usługi Azure Active Directory Domain Service z wymaganą konfiguracją sieci wirtualnej i sieciowej grupy zabezpieczeń. |
|
klastrze usługi AKS z kontrolerem ruchu przychodzącego usługi Application Gateway wdrażanie |
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS za pomocą usługi Application Gateway, kontrolera ruchu przychodzącego usługi Application Gateway, usługi Azure Container Registry, usługi Log Analytics i usługi Key Vault |
|
App Gateway z zaporą aplikacji internetowej, protokołem SSL, usługami IIS i przekierowywaniem HTTPS wdrażanie |
Ten szablon wdraża usługę Application Gateway z zaporą aplikacji internetowej, kompleksową usługę SSL i przekierowanie HTTP do protokołu HTTPS na serwerach usług IIS. |
|
tworzenie usługi Application Gateway IPv6 wdrażanie |
Ten szablon tworzy bramę aplikacji z frontonem IPv6 w sieci wirtualnej z podwójnym stosem. |
| grup zabezpieczeń aplikacji wdrażanie |
W tym szablonie pokazano, jak połączyć elementy w celu zabezpieczenia obciążeń przy użyciu sieciowych grup zabezpieczeń z grupami zabezpieczeń aplikacji. Zostanie wdrożona maszyna wirtualna z systemem Linux z systemem NGINX, a użycie grup zabezpieczeń aplikacji w sieciowych grupach zabezpieczeń umożliwi dostęp do portów 22 i 80 do maszyny wirtualnej przypisanej do grupy zabezpieczeń aplikacji o nazwie webServersAsg. |
|
usługi Azure Bastion jako usługa z sieciową grupą zabezpieczeń wdrażanie |
Ten szablon aprowizuje usługę Azure Bastion w sieci wirtualnej |
|
użyj usługi Azure Firewall jako serwera proxy DNS w topologii gwiazdy & piasty wdrażanie |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu usługi Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną koncentratora za pośrednictwem komunikacji równorzędnej sieci wirtualnych. |
|
Tworzenie piaskownicy usługi Azure Firewall, maszyny wirtualnej klienta i maszyny wirtualnej serwera wdrażanie |
Ten szablon tworzy sieć wirtualną z 2 podsieciami (podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera, maszyną wirtualną klienta, publicznym adresem IP dla każdej maszyny wirtualnej i tabelą tras do wysyłania ruchu między maszynami wirtualnymi przez zaporę. |
|
tworzenie zapory, zaporaPolicy z jawnym serwerem proxy wdrażanie |
Ten szablon tworzy usługę Azure Firewall, FirewalllPolicy z jawnym serwerem proxy i regułami sieci z grupami IP. Ponadto obejmuje konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
|
tworzenie zapory przy użyciu zasad zapory i IpGroups wdrażanie |
Ten szablon tworzy usługę Azure Firewall z zasadami zapory odwołującymi się do reguł sieci za pomocą grup IpGroups. Ponadto obejmuje konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
|
tworzenie usługi Azure Firewall przy użyciu IpGroups wdrażanie |
Ten szablon tworzy usługę Azure Firewall z regułami aplikacji i sieci odwołującą się do grup adresów IP. Ponadto obejmuje konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
|
Tworzenie piaskownicy usługi Azure Firewall z wymuszonym tunelowaniem wdrażanie |
Ten szablon tworzy piaskownicę usługi Azure Firewall (Linux) z jedną zaporą wymuszoną tunelowaną przez inną zaporę w równorzędnej sieci wirtualnej |
|
Tworzenie konfiguracji piaskownicy usługi Azure Firewall przy użyciu maszyn wirtualnych z systemem Linux wdrażanie |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią przesiadki i podsiecią AzureFirewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać usługę Azure Firewall dla podsieci serwera i usługę Azure Firewall z co najmniej 1 publicznymi adresami IP, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
|
Tworzenie konfiguracji piaskownicy przy użyciu zasad zapory wdrażanie |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią przesiadki i podsiecią AzureFirewall), maszyną wirtualną przesiadkową z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać usługę Azure Firewall dla podsieci serwera i usługę Azure Firewall z co najmniej 1 publicznymi adresami IP. Tworzy również zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
|
Tworzenie konfiguracji piaskownicy usługi Azure Firewall przy użyciu stref wdrażanie |
Ten szablon tworzy sieć wirtualną z trzema podsieciami (podsiecią serwera, podsiecią serwera i podsiecią usługi Azure Firewall), maszyną wirtualną przesiadkową z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, trasą zdefiniowaną przez użytkownika w usłudze Azure Firewall dla podsieci ServerSubnet, usługą Azure Firewall z co najmniej jednym publicznym adresem IP, jedną przykładową regułą aplikacji oraz jedną przykładową regułą sieci i usługą Azure Firewall w strefach dostępności 1, 2, i 3. |
|
obwodu usługi ExpressRoute z prywatną komunikacją równorzędną i siecią wirtualną platformy Azure wdrażanie |
Ten szablon umożliwia skonfigurowanie komunikacji równorzędnej firmy Microsoft usługi ExpressRoute, wdrożenie sieci wirtualnej platformy Azure z bramą usługi ExpressRoute i połączenie sieci wirtualnej z obwodem usługi ExpressRoute |
|
Tworzenie maszyny wirtualnej w strefie rozszerzonej wdrażanie |
Ten szablon tworzy maszynę wirtualną w strefie rozszerzonej |
|
tworzenie usługi Azure Front Door przed usługą Azure API Management wdrażanie |
W tym przykładzie pokazano, jak używać usługi Azure Front Door jako globalnego modułu równoważenia obciążenia przed usługą Azure API Management. |
|
Tworzenie usługi Azure Firewall z wieloma publicznymi adresami IP wdrażanie |
Ten szablon tworzy usługę Azure Firewall z dwoma publicznymi adresami IP i dwoma serwerami z systemem Windows Server 2019 do przetestowania. |
|
zabezpieczone koncentratory wirtualne wdrażanie |
Ten szablon tworzy zabezpieczone centrum wirtualne przy użyciu usługi Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
|
Tworzenie modułu równoważenia obciążenia między regionami wdrażanie |
Ten szablon tworzy moduł równoważenia obciążenia między regionami z pulą zaplecza zawierającą dwa regionalne moduły równoważenia obciążenia. Moduł równoważenia obciążenia między regionami jest obecnie dostępny w ograniczonych regionach. Regionalne moduły równoważenia obciążenia za modułem równoważenia obciążenia między regionami mogą znajdować się w dowolnym regionie. |
|
usługi Load Balancer w warstwie Standardowa z pulą zaplecza według adresów IP wdrażanie |
Ten szablon służy do zademonstrowania sposobu użycia szablonów usługi ARM do konfigurowania puli zaplecza modułu równoważenia obciążenia według adresu IP zgodnie z opisem w dokumencie zarządzanie pulą zaplecza. |
|
Tworzenie modułu równoważenia obciążenia z publicznym adresem IPv6 wdrażanie |
Ten szablon tworzy moduł równoważenia obciążenia dostępny z Internetu z publicznym adresem IPv6, regułami równoważenia obciążenia i dwiema maszynami wirtualnymi dla puli zaplecza. |
|
Tworzenie standardowego modułu równoważenia obciążenia wdrażanie |
Ten szablon tworzy dostępny z Internetu moduł równoważenia obciążenia, reguły równoważenia obciążenia i trzy maszyny wirtualne dla puli zaplecza z każdą maszyną wirtualną w strefie nadmiarowej. |
| Translator adresów sieci wirtualnych przy użyciu maszyny wirtualnej wdrażanie |
Wdrażanie bramy translatora adresów sieciowych i maszyny wirtualnej |
|
stosowanie sieciowej grupy zabezpieczeń do istniejącej podsieci wdrażanie |
Ten szablon stosuje nowo utworzoną sieciową grupę zabezpieczeń do istniejącej podsieci |
| sieciowa grupa zabezpieczeń z dziennikami diagnostycznymi wdrażanie |
Ten szablon tworzy sieciową grupę zabezpieczeń z dziennikami diagnostycznymi i blokadą zasobu |
|
wielowarstwową sieć wirtualną z sieciowymi grupami zabezpieczeń i strefą DMZ wdrażanie |
Ten szablon umożliwia wdrożenie sieci wirtualnej z 3 podsieciami, 3 sieciowymi grupami zabezpieczeń i odpowiednimi regułami zabezpieczeń w celu utworzenia podsieci FrontEnd strefy DMZ |
|
azure Route Server w komunikacji równorzędnej BGP z Quagga wdrażanie |
Ten szablon wdraża serwer routera i maszynę wirtualną z systemem Ubuntu za pomocą rozwiązania Quagga. Dwa zewnętrzne sesje protokołu BGP są ustanawiane między serwerem routera i quaggą. Instalacja i konfiguracja oprogramowania Quagga jest wykonywana przez rozszerzenie niestandardowego skryptu platformy Azure dla systemu Linux |
|
tworzenie sieciowej grupy zabezpieczeń wdrażanie |
Ten szablon tworzy sieciową grupę zabezpieczeń |
|
tworzenie połączenia sieci VPN typu lokacja-lokacja z maszyną wirtualną wdrażanie |
Ten szablon umożliwia utworzenie połączenia sieci VPN typu lokacja-lokacja przy użyciu bram sieci wirtualnej |
|
sieci VPN typu lokacja-lokacja z bramami vpn active-active-active z protokołem BGP wdrażanie |
Ten szablon umożliwia wdrożenie sieci VPN typu lokacja-lokacja między dwiema sieciami wirtualnymi z bramami sieci VPN w konfiguracji aktywne-aktywne z protokołem BGP. Każda usługa Azure VPN Gateway rozpoznaje nazwę FQDN zdalnych elementów równorzędnych w celu określenia publicznego adresu IP zdalnej bramy sieci VPN. Szablon działa zgodnie z oczekiwaniami w regionach świadczenia usługi Azure ze strefami dostępności. |
|
przykład maszyny wirtualnej usługi Azure Traffic Manager wdrażanie |
W tym szablonie pokazano, jak utworzyć równoważenie obciążenia profilu usługi Azure Traffic Manager na wielu maszynach wirtualnych. |
|
przykład maszyny wirtualnej usługi Azure Traffic Manager z stref dostępności wdrażanie |
Ten szablon przedstawia sposób tworzenia równoważenia obciążenia profilu usługi Azure Traffic Manager na wielu maszynach wirtualnych umieszczonych w strefach dostępności. |
|
trasy zdefiniowane przez użytkownika i urządzenia wdrażanie |
Ten szablon wdraża sieć wirtualną, maszyny wirtualne w odpowiednich podsieciach i trasy, aby kierować ruch do urządzenia |
|
201-vnet-2subnets-service-endpoints-storage-integration wdrażanie |
Tworzy 2 nowe maszyny wirtualne z każdą kartą sieciową w dwóch różnych podsieciach w tej samej sieci wirtualnej. Ustawia punkt końcowy usługi w jednej z podsieci i zabezpiecza konto magazynu w tej podsieci. |
|
Dodawanie sieciowej grupy zabezpieczeń z regułami zabezpieczeń usługi Redis do istniejącej podsieci wdrażanie |
Ten szablon umożliwia dodanie sieciowej grupy zabezpieczeń ze wstępnie skonfigurowanymi regułami zabezpieczeń usługi Azure Redis Cache do istniejącej podsieci w sieci wirtualnej. Wdróż w grupie zasobów istniejącej sieci wirtualnej. |
Definicja zasobu narzędzia Terraform (dostawcy AzAPI)
Typ zasobu networkSecurityGroups można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/networkSecurityGroups, dodaj następujący program Terraform do szablonu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/networkSecurityGroups@2023-04-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
flushConnection = bool
securityRules = [
{
id = "string"
name = "string"
properties = {
access = "string"
description = "string"
destinationAddressPrefix = "string"
destinationAddressPrefixes = [
"string"
]
destinationApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
destinationPortRange = "string"
destinationPortRanges = [
"string"
]
direction = "string"
priority = int
protocol = "string"
sourceAddressPrefix = "string"
sourceAddressPrefixes = [
"string"
]
sourceApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
sourcePortRange = "string"
sourcePortRanges = [
"string"
]
}
type = "string"
}
]
}
})
}
Wartości właściwości
networkSecurityGroups
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ zasobu | "Microsoft.Network/networkSecurityGroups@2023-04-01" |
| nazwa | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Koniec alfanumeryczny lub podkreślenia. |
| lokalizacja | Lokalizacja zasobu. | struna |
| parent_id | Aby wdrożyć w grupie zasobów, użyj identyfikatora tej grupy zasobów. | ciąg (wymagany) |
| Tagi | Tagi zasobów. | Słownik nazw tagów i wartości. |
| Właściwości | Właściwości sieciowej grupy zabezpieczeń. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| flushConnection | Po włączeniu przepływy utworzone na podstawie połączeń sieciowej grupy zabezpieczeń zostaną ponownie ocenione, gdy reguły są aktualizowane. Wstępne włączenie spowoduje wyzwolenie ponownej oceny. | Bool |
| securityRules | Kolekcja reguł zabezpieczeń sieciowej grupy zabezpieczeń. | SecurityRule[] |
SecurityRule
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | struna |
| nazwa | Nazwa zasobu, który jest unikatowy w grupie zasobów. Ta nazwa może służyć do uzyskiwania dostępu do zasobu. | struna |
| Właściwości | Właściwości reguły zabezpieczeń. | SecurityRulePropertiesFormat |
| typ | Typ zasobu. | struna |
SecurityRulePropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| dostęp | Ruch sieciowy jest dozwolony lub blokowany. | "Zezwalaj" "Odmów" (wymagane) |
| opis | Opis tej reguły. Ograniczony do 140 znaków. | struna |
| destinationAddressPrefix | Prefiks adresu docelowego. CIDR lub docelowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". | struna |
| destinationAddressPrefixes | Prefiksy adresów docelowych. CiDR lub docelowe zakresy adresów IP. | string[] |
| destinationApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako miejsce docelowe. | ApplicationSecurityGroup[] |
| destinationPortRange | Port docelowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | struna |
| destinationPortRanges | Zakresy portów docelowych. | string[] |
| kierunek | Kierunek reguły. Kierunek określa, czy reguła będzie oceniana w ruchu przychodzącym lub wychodzącym. | "Ruch przychodzący" "Wychodzący" (wymagany) |
| priorytet | Priorytet reguły. Wartość może należeć do zakresu od 100 do 4096. Numer priorytetu musi być unikatowy dla każdej reguły w kolekcji. Im niższy numer priorytetu, tym wyższy priorytet reguły. | int (wymagane) |
| protokół | Protokół sieciowy, do których ma zastosowanie ta reguła. | "*" "Ah" "Esp" "Icmp" "Tcp" "Udp" (wymagane) |
| sourceAddressPrefix | CiDR lub źródłowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". Jeśli jest to reguła ruchu przychodzącego, określa, skąd pochodzi ruch sieciowy. | struna |
| sourceAddressPrefixes | Zakresy CIDR lub źródłowych adresów IP. | string[] |
| sourceApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako źródło. | ApplicationSecurityGroup[] |
| sourcePortRange | Port źródłowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | struna |
| sourcePortRanges | Zakresy portów źródłowych. | string[] |
ApplicationSecurityGroup
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | struna |
| lokalizacja | Lokalizacja zasobu. | struna |
| Właściwości | Właściwości grupy zabezpieczeń aplikacji. | ApplicationSecurityGroupPropertiesFormat |
| Tagi | Tagi zasobów. | sprzeciwiać się |
ApplicationSecurityGroupPropertiesFormat
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.