Microsoft.NetworkSecurityGroups 2023-06-01
Definicja zasobu Bicep
Typ zasobu networkSecurityGroups można wdrożyć przy użyciu operacji docelowych:
- Grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Uwagi
Aby uzyskać wskazówki dotyczące tworzenia sieciowych grup zabezpieczeń, zobacz Twórca zasoby sieci wirtualnej przy użyciu Bicep.
Format zasobu
Aby utworzyć zasób Microsoft.Network/networkSecurityGroups, dodaj następujący kod Bicep do szablonu.
resource symbolicname 'Microsoft.Network/networkSecurityGroups@2023-06-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
flushConnection: bool
securityRules: [
{
id: 'string'
name: 'string'
properties: {
access: 'string'
description: 'string'
destinationAddressPrefix: 'string'
destinationAddressPrefixes: [
'string'
]
destinationApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
destinationPortRange: 'string'
destinationPortRanges: [
'string'
]
direction: 'string'
priority: int
protocol: 'string'
sourceAddressPrefix: 'string'
sourceAddressPrefixes: [
'string'
]
sourceApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
sourcePortRange: 'string'
sourcePortRanges: [
'string'
]
}
type: 'string'
}
]
}
}
Wartości właściwości
networkSecurityGroups
Nazwa | Opis | Wartość |
---|---|---|
name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Zakończ alfanumeryczne lub podkreślenie. |
location | Lokalizacja zasobu. | ciąg |
tags | Tagi zasobów. | Słownik nazw tagów i wartości. Zobacz Tagi w szablonach |
properties | Właściwości sieciowej grupy zabezpieczeń. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
Nazwa | Opis | Wartość |
---|---|---|
flushConnection | Po włączeniu przepływy utworzone na podstawie połączeń sieciowej grupy zabezpieczeń zostaną ponownie ocenione, gdy reguły są aktualizowane. Wstępne włączenie spowoduje wyzwolenie ponownej oceny. | bool |
securityRules | Kolekcja reguł zabezpieczeń sieciowej grupy zabezpieczeń. | SecurityRule[] |
SecurityRule
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator zasobu. | ciąg |
name | Nazwa zasobu, który jest unikatowy w grupie zasobów. Ta nazwa może służyć do uzyskiwania dostępu do zasobu. | ciąg |
properties | Właściwości reguły zabezpieczeń. | SecurityRulePropertiesFormat |
typ | Typ zasobu. | ciąg |
SecurityRulePropertiesFormat
Nazwa | Opis | Wartość |
---|---|---|
access | Ruch sieciowy jest dozwolony lub blokowany. | "Zezwalaj" "Odmów" (wymagane) |
description (opis) | Opis tej reguły. Ograniczone do 140 znaków. | ciąg |
destinationAddressPrefix | Prefiks adresu docelowego. CiDR lub docelowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". | ciąg |
destinationAddressPrefixes | Prefiksy adresów docelowych. CiDR lub docelowe zakresy adresów IP. | ciąg[] |
destinationApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako miejsce docelowe. | ApplicationSecurityGroup[] |
destinationPortRange | Port docelowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | ciąg |
destinationPortRanges | Zakresy portów docelowych. | ciąg[] |
kierunek | Kierunek reguły. Kierunek określa, czy reguła będzie oceniana w ruchu przychodzącym lub wychodzącym. | "Ruch przychodzący" "Wychodzący" (wymagany) |
priority | Priorytet reguły. Wartość może należeć do zakresu od 100 do 4096. Numer priorytetu musi być unikatowy dla każdej reguły w kolekcji. Im niższy numer priorytetu, tym wyższy priorytet reguły. | int (wymagane) |
Protokół | Protokół sieciowy, do których ta reguła ma zastosowanie. | '*' "Ah" "Esp" "Icmp" "Tcp" "Udp" (wymagane) |
sourceAddressPrefix | CiDR lub źródłowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowywania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". Jeśli jest to reguła ruchu przychodzącego, określa, skąd pochodzi ruch sieciowy. | ciąg |
sourceAddressPrefixes | Zakresy ciDR lub źródłowych adresów IP. | ciąg[] |
sourceApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako źródło. | ApplicationSecurityGroup[] |
sourcePortRange | Port źródłowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | ciąg |
sourcePortRanges | Zakresy portów źródłowych. | ciąg[] |
ApplicationSecurityGroup
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator zasobu. | ciąg |
location | Lokalizacja zasobu. | ciąg |
properties | Właściwości grupy zabezpieczeń aplikacji. | ApplicationSecurityGroupPropertiesFormat |
tags | Tagi zasobów. | object |
ApplicationSecurityGroupPropertiesFormat
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
Template | Opis |
---|---|
Zarządzana usługa Azure Active Directory Domain Services |
Ten szablon służy do wdrażania zarządzanej usługi Azure domena usługi Active Directory Service z wymaganą konfiguracją sieci wirtualnej i sieciowej grupy zabezpieczeń. |
Klaster usługi AKS z kontrolerem ruchu przychodzącego Application Gateway |
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS przy użyciu Application Gateway, kontrolera ruchu przychodzącego Application Gateway, Azure Container Registry, usługi Log Analytics i Key Vault |
Usługa App Gateway z zaporą aplikacji internetowej, protokołem SSL, usługami IIS i przekierowywaniem HTTPS |
Ten szablon służy do wdrażania Application Gateway za pomocą zapory aplikacji internetowej, kompleksowej usługi SSL i przekierowania HTTP do protokołu HTTPS na serwerach usług IIS. |
Twórca Application Gateway IPv6 |
Ten szablon tworzy bramę aplikacji z frontonem IPv6 w sieci wirtualnej z podwójnym stosem. |
Grupy zabezpieczeń aplikacji |
Ten szablon pokazuje, jak połączyć elementy w celu zabezpieczenia obciążeń przy użyciu sieciowych grup zabezpieczeń w usłudze Application Security Grupy. Spowoduje to wdrożenie maszyny wirtualnej z systemem Linux z systemem NGINX oraz użycie Grupy zabezpieczeń aplikacji w Grupy zabezpieczeń sieci umożliwimy dostęp do portów 22 i 80 do maszyny wirtualnej przypisanej do grupy zabezpieczeń aplikacji o nazwie webServersAsg. |
Usługa Azure Bastion jako usługa z sieciową grupą zabezpieczeń |
Ten szablon aprowizuje usługę Azure Bastion w Virtual Network |
Używanie Azure Firewall jako serwera proxy DNS w topologii gwiazdy & piasty |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną piasty za pośrednictwem komunikacji równorzędnej sieci wirtualnych. |
Twórca piaskownicy Azure Firewall, maszyny wirtualnej klienta i maszyny wirtualnej serwera |
Ten szablon tworzy sieć wirtualną z 2 podsieciami (podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera, maszyną wirtualną klienta, publicznym adresem IP dla każdej maszyny wirtualnej oraz tabelą tras do wysyłania ruchu między maszynami wirtualnymi przez zaporę. |
Twórca zapory FirewallPolicy z jawnym serwerem proxy |
Ten szablon tworzy Azure Firewall FirewalllPolicy z jawnym serwerem proxy i regułami sieciowymi z grupami IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
Twórca zapory z zasadami FirewallPolicy i IpGroups |
Ten szablon tworzy Azure Firewall z regułami sieci zapory i grupami IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
Twórca Azure Firewall z grupami Ip |
Ten szablon tworzy Azure Firewall z regułami aplikacji i sieci odwołującą się do Grupy IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
Twórca piaskownicy Azure Firewall z wymuszonym tunelowaniem |
Ten szablon tworzy piaskownicę Azure Firewall (Linux) z jedną zaporą wymuszoną tunelowaną przez inną zaporę w równorzędnej sieci wirtualnej |
Twórca konfigurację piaskownicy Azure Firewall przy użyciu maszyn wirtualnych z systemem Linux |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci serwera i Azure Firewall z co najmniej 1 publicznymi adresami IP, 1 regułą przykładowej aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
Twórca konfiguracji piaskownicy przy użyciu zasad zapory |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci serwera i Azure Firewall z co najmniej 1 publicznymi adresami IP. Ponadto tworzy zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
Twórca konfigurację piaskownicy Azure Firewall ze strefami |
Ten szablon tworzy sieć wirtualną z trzema podsieciami (podsieć serwera, podsiecią serwera i podsiecią Azure Firewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci ServerSubnet, Azure Firewall z co najmniej jednym publicznym adresem IP, jedną przykładową regułą aplikacji i jedną przykładową regułą sieci Azure Firewall w Strefy dostępności 1, 2 i 3. |
Obwód usługi ExpressRoute z prywatną komunikacją równorzędną i siecią wirtualną platformy Azure |
Ten szablon umożliwia skonfigurowanie komunikacji równorzędnej firmy Microsoft usługi ExpressRoute, wdrożenie sieci wirtualnej platformy Azure z bramą usługi ExpressRoute i połączenie sieci wirtualnej z obwodem usługi ExpressRoute |
Twórca usługi Azure Front Door przed usługą Azure API Management |
W tym przykładzie pokazano, jak używać usługi Azure Front Door jako globalnego modułu równoważenia obciążenia przed usługą Azure API Management. |
Twórca Azure Firewall z wieloma adresami publicznymi IP |
Ten szablon tworzy Azure Firewall z dwoma publicznymi adresami IP i dwoma serwerami z systemem Windows Server 2019 do testowania. |
Zabezpieczone koncentratory wirtualne |
Ten szablon tworzy zabezpieczone koncentrator wirtualny przy użyciu Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
Twórca moduł równoważenia obciążenia między regionami |
Ten szablon tworzy moduł równoważenia obciążenia między regionami z pulą zaplecza zawierającą dwa regionalne moduły równoważenia obciążenia. Moduł równoważenia obciążenia między regionami jest obecnie dostępny w ograniczonych regionach. Regionalne moduły równoważenia obciążenia za modułem równoważenia obciążenia między regionami mogą znajdować się w dowolnym regionie. |
usługa Load Balancer w warstwie Standardowa z pulą zaplecza według adresów IP |
Ten szablon służy do zademonstrowania sposobu użycia szablonów usługi ARM do konfigurowania puli zaplecza Load Balancer według adresu IP zgodnie z opisem w dokumencie zarządzania pulą zaplecza. |
Twórca moduł równoważenia obciążenia z publicznym adresem IPv6 |
Ten szablon tworzy moduł równoważenia obciążenia dostępny z Internetu z publicznym adresem IPv6, regułami równoważenia obciążenia i dwiema maszynami wirtualnymi dla puli zaplecza. |
Twórca standardowego modułu równoważenia obciążenia |
Ten szablon tworzy dostępny z Internetu moduł równoważenia obciążenia, reguły równoważenia obciążenia i trzy maszyny wirtualne dla puli zaplecza z każdą maszyną wirtualną w strefie nadmiarowej. |
translator adresów sieciowych Virtual Network przy użyciu maszyny wirtualnej |
Wdrażanie bramy translatora adresów sieciowych i maszyny wirtualnej |
Stosowanie sieciowej grupy zabezpieczeń do istniejącej podsieci |
Ten szablon stosuje nowo utworzoną sieciową grupę zabezpieczeń do istniejącej podsieci |
Sieciowa grupa zabezpieczeń z dziennikami diagnostycznymi |
Ten szablon tworzy sieciową grupę zabezpieczeń z dziennikami diagnostycznymi i blokadą zasobu |
Wielowarstwowa sieć wirtualna z sieciowymi grupami zabezpieczeń i strefą DMZ |
Ten szablon wdraża Virtual Network z 3 podsieciami, 3 Grupy zabezpieczeń sieci i odpowiednimi regułami zabezpieczeń, aby podsieć frontonu jako strefę DMZ |
Usługa Azure Route Server w komunikacji równorzędnej BGP z rozwiązaniem Quagga |
Ten szablon służy do wdrażania serwera routera i maszyny wirtualnej z systemem Ubuntu przy użyciu platformy Quagga. Dwa zewnętrzne sesje protokołu BGP są ustanawiane między serwerem routera i quaggą. Instalacja i konfiguracja oprogramowania Quagga jest wykonywana przez rozszerzenie niestandardowego skryptu platformy Azure dla systemu Linux |
Twórca sieciowej grupy zabezpieczeń |
Ten szablon tworzy sieciową grupę zabezpieczeń |
Twórca połączenie sieci VPN typu lokacja-lokacja z maszyną wirtualną |
Ten szablon umożliwia utworzenie połączenia sieci VPN typu lokacja-lokacja przy użyciu bram Virtual Network |
Sieć VPN typu lokacja-lokacja z bramami vpn active-active z protokołem BGP |
Ten szablon umożliwia wdrożenie sieci VPN typu lokacja-lokacja między dwiema sieciami wirtualnymi z bramami sieci VPN w konfiguracji aktywne-aktywne za pomocą protokołu BGP. Każda usługa Azure VPN Gateway rozpoznaje nazwę FQDN zdalnych elementów równorzędnych w celu określenia publicznego adresu IP zdalnego VPN Gateway. Szablon działa zgodnie z oczekiwaniami w regionach platformy Azure ze strefami dostępności. |
Przykład maszyny wirtualnej usługi Azure Traffic Manager |
Ten szablon przedstawia sposób tworzenia równoważenia obciążenia profilu usługi Azure Traffic Manager na wielu maszynach wirtualnych. |
Przykład maszyny wirtualnej usługi Azure Traffic Manager z Strefy dostępności |
Ten szablon przedstawia sposób tworzenia równoważenia obciążenia profilu usługi Azure Traffic Manager na wielu maszynach wirtualnych umieszczonych w Strefy dostępności. |
Trasy zdefiniowane przez użytkownika i urządzenie |
Ten szablon wdraża Virtual Network, maszyny wirtualne w odpowiednich podsieciach i kieruje ruch do urządzenia |
201-vnet-2subnets-service-endpoints-storage-integration |
Tworzy 2 nowe maszyny wirtualne z każdą kartą sieciową w dwóch różnych podsieciach w tej samej sieci wirtualnej. Ustawia punkt końcowy usługi w jednej z podsieci i zabezpiecza konto magazynu w tej podsieci. |
Dodawanie sieciowej grupy zabezpieczeń z regułami zabezpieczeń usługi Redis do istniejącej podsieci |
Ten szablon umożliwia dodanie sieciowej grupy zabezpieczeń ze wstępnie skonfigurowanymi regułami zabezpieczeń usługi Azure Redis Cache do istniejącej podsieci w sieci wirtualnej. Wdróż w grupie zasobów istniejącej sieci wirtualnej. |
Definicja zasobu szablonu usługi ARM
Typ zasobu networkSecurityGroups można wdrożyć z operacjami docelowymi:
- Grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Uwagi
Aby uzyskać wskazówki dotyczące tworzenia sieciowych grup zabezpieczeń, zobacz Twórca zasoby sieci wirtualnej przy użyciu Bicep.
Format zasobu
Aby utworzyć zasób Microsoft.Network/networkSecurityGroups, dodaj następujący kod JSON do szablonu.
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2023-06-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"flushConnection": "bool",
"securityRules": [
{
"id": "string",
"name": "string",
"properties": {
"access": "string",
"description": "string",
"destinationAddressPrefix": "string",
"destinationAddressPrefixes": [ "string" ],
"destinationApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"destinationPortRange": "string",
"destinationPortRanges": [ "string" ],
"direction": "string",
"priority": "int",
"protocol": "string",
"sourceAddressPrefix": "string",
"sourceAddressPrefixes": [ "string" ],
"sourceApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"sourcePortRange": "string",
"sourcePortRanges": [ "string" ]
},
"type": "string"
}
]
}
}
Wartości właściwości
networkSecurityGroups
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ zasobu | "Microsoft.Network/networkSecurityGroups" |
apiVersion | Wersja interfejsu API zasobów | '2023-06-01' |
name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Zakończ alfanumeryczne lub podkreślenie. |
location | Lokalizacja zasobu. | ciąg |
tags | Tagi zasobów. | Słownik nazw tagów i wartości. Zobacz Tagi w szablonach |
properties | Właściwości sieciowej grupy zabezpieczeń. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
Nazwa | Opis | Wartość |
---|---|---|
flushConnection | Po włączeniu przepływy utworzone na podstawie połączeń sieciowej grupy zabezpieczeń zostaną ponownie ocenione, gdy reguły są aktualizowane. Wstępne włączenie spowoduje wyzwolenie ponownej oceny. | bool |
securityRules | Kolekcja reguł zabezpieczeń sieciowej grupy zabezpieczeń. | SecurityRule[] |
SecurityRule
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator zasobu. | ciąg |
name | Nazwa zasobu, który jest unikatowy w grupie zasobów. Ta nazwa może służyć do uzyskiwania dostępu do zasobu. | ciąg |
properties | Właściwości reguły zabezpieczeń. | SecurityRulePropertiesFormat |
typ | Typ zasobu. | ciąg |
SecurityRulePropertiesFormat
Nazwa | Opis | Wartość |
---|---|---|
access | Ruch sieciowy jest dozwolony lub blokowany. | "Zezwalaj" "Odmów" (wymagane) |
description (opis) | Opis tej reguły. Ograniczone do 140 znaków. | ciąg |
destinationAddressPrefix | Prefiks adresu docelowego. CiDR lub docelowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". | ciąg |
destinationAddressPrefixes | Prefiksy adresów docelowych. CiDR lub docelowe zakresy adresów IP. | ciąg[] |
destinationApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako miejsce docelowe. | ApplicationSecurityGroup[] |
destinationPortRange | Port docelowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | ciąg |
destinationPortRanges | Zakresy portów docelowych. | ciąg[] |
kierunek | Kierunek reguły. Kierunek określa, czy reguła zostanie obliczona dla ruchu przychodzącego lub wychodzącego. | "Ruch przychodzący" "Wychodzący" (wymagany) |
priority | Priorytet reguły. Wartość może należeć do zakresu od 100 do 4096. Numer priorytetu musi być unikatowy dla każdej reguły w kolekcji. Im niższy numer priorytetu, tym wyższy priorytet reguły. | int (wymagane) |
Protokół | Protokół sieciowy, do których ta reguła ma zastosowanie. | '*' "Ah" "Esp" "Icmp" "Tcp" "Udp" (wymagane) |
sourceAddressPrefix | CiDR lub źródłowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowywania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". Jeśli jest to reguła ruchu przychodzącego, określa, skąd pochodzi ruch sieciowy. | ciąg |
sourceAddressPrefixes | Zakresy ciDR lub źródłowych adresów IP. | ciąg[] |
sourceApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako źródło. | ApplicationSecurityGroup[] |
sourcePortRange | Port źródłowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | ciąg |
sourcePortRanges | Zakresy portów źródłowych. | ciąg[] |
ApplicationSecurityGroup
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator zasobu. | ciąg |
location | Lokalizacja zasobu. | ciąg |
properties | Właściwości grupy zabezpieczeń aplikacji. | ApplicationSecurityGroupPropertiesFormat |
tags | Tagi zasobów. | object |
ApplicationSecurityGroupPropertiesFormat
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
Template | Opis |
---|---|
Zarządzana usługa Azure Active Directory Domain Services |
Ten szablon służy do wdrażania zarządzanej usługi Azure domena usługi Active Directory Service z wymaganą konfiguracją sieci wirtualnej i sieciowej grupy zabezpieczeń. |
Klaster usługi AKS z kontrolerem ruchu przychodzącego Application Gateway |
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS przy użyciu Application Gateway, kontrolera ruchu przychodzącego Application Gateway, Azure Container Registry, usługi Log Analytics i Key Vault |
Usługa App Gateway z zaporą aplikacji internetowej, protokołem SSL, usługami IIS i przekierowywaniem HTTPS |
Ten szablon służy do wdrażania Application Gateway za pomocą zapory aplikacji internetowej, kompleksowej usługi SSL i przekierowania HTTP do protokołu HTTPS na serwerach usług IIS. |
Twórca Application Gateway IPv6 |
Ten szablon tworzy bramę aplikacji z frontonem IPv6 w sieci wirtualnej z podwójnym stosem. |
Grupy zabezpieczeń aplikacji |
Ten szablon pokazuje, jak połączyć elementy w celu zabezpieczenia obciążeń przy użyciu sieciowych grup zabezpieczeń w usłudze Application Security Grupy. Spowoduje to wdrożenie maszyny wirtualnej z systemem Linux z systemem NGINX oraz użycie Grupy zabezpieczeń aplikacji w Grupy zabezpieczeń sieci umożliwimy dostęp do portów 22 i 80 do maszyny wirtualnej przypisanej do grupy zabezpieczeń aplikacji o nazwie webServersAsg. |
Usługa Azure Bastion jako usługa z sieciową grupą zabezpieczeń |
Ten szablon aprowizuje usługę Azure Bastion w Virtual Network |
Używanie Azure Firewall jako serwera proxy DNS w topologii gwiazdy & piasty |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną piasty za pośrednictwem komunikacji równorzędnej sieci wirtualnych. |
Twórca piaskownicy Azure Firewall, maszyny wirtualnej klienta i maszyny wirtualnej serwera |
Ten szablon tworzy sieć wirtualną z 2 podsieciami (podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera, maszyną wirtualną klienta, publicznym adresem IP dla każdej maszyny wirtualnej oraz tabelą tras do wysyłania ruchu między maszynami wirtualnymi przez zaporę. |
Twórca zapory FirewallPolicy z jawnym serwerem proxy |
Ten szablon tworzy Azure Firewall FirewalllPolicy z jawnym serwerem proxy i regułami sieciowymi z grupami IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
Twórca zapory z zasadami FirewallPolicy i IpGroups |
Ten szablon tworzy Azure Firewall z regułami sieci zapory i grupami IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
Twórca Azure Firewall z grupami Ip |
Ten szablon tworzy Azure Firewall z regułami aplikacji i sieci odwołującą się do Grupy IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
Twórca piaskownicy Azure Firewall z wymuszonym tunelowaniem |
Ten szablon tworzy piaskownicę Azure Firewall (Linux) z jedną zaporą wymuszoną tunelowaną przez inną zaporę w równorzędnej sieci wirtualnej |
Twórca konfigurację piaskownicy Azure Firewall przy użyciu maszyn wirtualnych z systemem Linux |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci serwera i Azure Firewall z co najmniej 1 publicznymi adresami IP, 1 regułą przykładowej aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
Twórca konfiguracji piaskownicy przy użyciu zasad zapory |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci serwera i Azure Firewall z co najmniej 1 publicznymi adresami IP. Ponadto tworzy zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
Twórca konfigurację piaskownicy Azure Firewall ze strefami |
Ten szablon tworzy sieć wirtualną z trzema podsieciami (podsieć serwera, podsiecią serwera i podsiecią Azure Firewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci ServerSubnet, Azure Firewall z co najmniej jednym publicznym adresem IP, jedną przykładową regułą aplikacji i jedną przykładową regułą sieci Azure Firewall w Strefy dostępności 1, 2 i 3. |
Obwód usługi ExpressRoute z prywatną komunikacją równorzędną i siecią wirtualną platformy Azure |
Ten szablon umożliwia skonfigurowanie komunikacji równorzędnej firmy Microsoft usługi ExpressRoute, wdrożenie sieci wirtualnej platformy Azure z bramą usługi ExpressRoute i połączenie sieci wirtualnej z obwodem usługi ExpressRoute |
Twórca usługi Azure Front Door przed usługą Azure API Management |
W tym przykładzie pokazano, jak używać usługi Azure Front Door jako globalnego modułu równoważenia obciążenia przed usługą Azure API Management. |
Twórca Azure Firewall z wieloma adresami publicznymi IP |
Ten szablon tworzy Azure Firewall z dwoma publicznymi adresami IP i dwoma serwerami z systemem Windows Server 2019 do testowania. |
Zabezpieczone koncentratory wirtualne |
Ten szablon tworzy zabezpieczone koncentrator wirtualny przy użyciu Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
Twórca moduł równoważenia obciążenia między regionami |
Ten szablon tworzy moduł równoważenia obciążenia między regionami z pulą zaplecza zawierającą dwa regionalne moduły równoważenia obciążenia. Moduł równoważenia obciążenia między regionami jest obecnie dostępny w ograniczonych regionach. Regionalne moduły równoważenia obciążenia za modułem równoważenia obciążenia między regionami mogą znajdować się w dowolnym regionie. |
usługa Load Balancer w warstwie Standardowa z pulą zaplecza według adresów IP |
Ten szablon służy do zademonstrowania sposobu użycia szablonów usługi ARM do konfigurowania puli zaplecza Load Balancer według adresu IP zgodnie z opisem w dokumencie zarządzania pulą zaplecza. |
Twórca moduł równoważenia obciążenia z publicznym adresem IPv6 |
Ten szablon tworzy moduł równoważenia obciążenia dostępny z Internetu z publicznym adresem IPv6, regułami równoważenia obciążenia i dwiema maszynami wirtualnymi dla puli zaplecza. |
Twórca standardowego modułu równoważenia obciążenia |
Ten szablon tworzy dostępny z Internetu moduł równoważenia obciążenia, reguły równoważenia obciążenia i trzy maszyny wirtualne dla puli zaplecza z każdą maszyną wirtualną w strefie nadmiarowej. |
translator adresów sieciowych Virtual Network przy użyciu maszyny wirtualnej |
Wdrażanie bramy translatora adresów sieciowych i maszyny wirtualnej |
Stosowanie sieciowej grupy zabezpieczeń do istniejącej podsieci |
Ten szablon stosuje nowo utworzoną sieciową grupę zabezpieczeń do istniejącej podsieci |
Sieciowa grupa zabezpieczeń z dziennikami diagnostycznymi |
Ten szablon tworzy sieciową grupę zabezpieczeń z dziennikami diagnostycznymi i blokadą zasobu |
Wielowarstwowa sieć wirtualna z sieciowymi grupami zabezpieczeń i strefą DMZ |
Ten szablon wdraża Virtual Network z 3 podsieciami, 3 Grupy zabezpieczeń sieci i odpowiednimi regułami zabezpieczeń, aby podsieć frontonu jako strefę DMZ |
Usługa Azure Route Server w komunikacji równorzędnej BGP z rozwiązaniem Quagga |
Ten szablon służy do wdrażania serwera routera i maszyny wirtualnej z systemem Ubuntu przy użyciu platformy Quagga. Dwa zewnętrzne sesje protokołu BGP są ustanawiane między serwerem routera i quaggą. Instalacja i konfiguracja oprogramowania Quagga jest wykonywana przez rozszerzenie niestandardowego skryptu platformy Azure dla systemu Linux |
Twórca sieciowej grupy zabezpieczeń |
Ten szablon tworzy sieciową grupę zabezpieczeń |
Twórca połączenie sieci VPN typu lokacja-lokacja z maszyną wirtualną |
Ten szablon umożliwia utworzenie połączenia sieci VPN typu lokacja-lokacja przy użyciu bram Virtual Network |
Sieć VPN typu lokacja-lokacja z bramami vpn active-active z protokołem BGP |
Ten szablon umożliwia wdrożenie sieci VPN typu lokacja-lokacja między dwiema sieciami wirtualnymi z bramami sieci VPN w konfiguracji aktywne-aktywne za pomocą protokołu BGP. Każda usługa Azure VPN Gateway rozpoznaje nazwę FQDN zdalnych elementów równorzędnych w celu określenia publicznego adresu IP zdalnego VPN Gateway. Szablon działa zgodnie z oczekiwaniami w regionach platformy Azure ze strefami dostępności. |
Przykład maszyny wirtualnej usługi Azure Traffic Manager |
Ten szablon przedstawia sposób tworzenia równoważenia obciążenia profilu usługi Azure Traffic Manager na wielu maszynach wirtualnych. |
Przykład maszyny wirtualnej usługi Azure Traffic Manager z Strefy dostępności |
Ten szablon przedstawia sposób tworzenia równoważenia obciążenia profilu usługi Azure Traffic Manager na wielu maszynach wirtualnych umieszczonych w Strefy dostępności. |
Trasy zdefiniowane przez użytkownika i urządzenie |
Ten szablon wdraża Virtual Network, maszyny wirtualne w odpowiednich podsieciach i kieruje ruch do urządzenia |
201-vnet-2subnets-service-endpoints-storage-integration |
Tworzy 2 nowe maszyny wirtualne z każdą kartą sieciową w dwóch różnych podsieciach w tej samej sieci wirtualnej. Ustawia punkt końcowy usługi w jednej z podsieci i zabezpiecza konto magazynu w tej podsieci. |
Dodawanie sieciowej grupy zabezpieczeń z regułami zabezpieczeń usługi Redis do istniejącej podsieci |
Ten szablon umożliwia dodanie sieciowej grupy zabezpieczeń ze wstępnie skonfigurowanymi regułami zabezpieczeń usługi Azure Redis Cache do istniejącej podsieci w sieci wirtualnej. Wdróż w grupie zasobów istniejącej sieci wirtualnej. |
Definicja zasobu narzędzia Terraform (dostawcy AzAPI)
Typ zasobu networkSecurityGroups można wdrożyć z operacjami docelowymi:
- Grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/networkSecurityGroups, dodaj następujący program Terraform do szablonu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/networkSecurityGroups@2023-06-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
flushConnection = bool
securityRules = [
{
id = "string"
name = "string"
properties = {
access = "string"
description = "string"
destinationAddressPrefix = "string"
destinationAddressPrefixes = [
"string"
]
destinationApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
destinationPortRange = "string"
destinationPortRanges = [
"string"
]
direction = "string"
priority = int
protocol = "string"
sourceAddressPrefix = "string"
sourceAddressPrefixes = [
"string"
]
sourceApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
sourcePortRange = "string"
sourcePortRanges = [
"string"
]
}
type = "string"
}
]
}
})
}
Wartości właściwości
networkSecurityGroups
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ zasobu | "Microsoft.Network/networkSecurityGroups@2023-06-01" |
name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Koniec alfanumeryczne lub podkreślenie. |
location | Lokalizacja zasobu. | ciąg |
parent_id | Aby wdrożyć w grupie zasobów, użyj identyfikatora tej grupy zasobów. | ciąg (wymagany) |
tags | Tagi zasobów. | Słownik nazw tagów i wartości. |
properties | Właściwości sieciowej grupy zabezpieczeń. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
Nazwa | Opis | Wartość |
---|---|---|
flushConnection | Po włączeniu przepływy utworzone na podstawie połączeń sieciowej grupy zabezpieczeń zostaną ponownie ocenione, gdy reguły są aktualizowane. Wstępne włączenie spowoduje wyzwolenie ponownej oceny. | bool |
securityRules | Kolekcja reguł zabezpieczeń sieciowej grupy zabezpieczeń. | SecurityRule[] |
SecurityRule
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator zasobu. | ciąg |
name | Nazwa zasobu, który jest unikatowy w grupie zasobów. Ta nazwa może służyć do uzyskiwania dostępu do zasobu. | ciąg |
properties | Właściwości reguły zabezpieczeń. | SecurityRulePropertiesFormat |
typ | Typ zasobu. | ciąg |
SecurityRulePropertiesFormat
Nazwa | Opis | Wartość |
---|---|---|
access | Ruch sieciowy jest dozwolony lub blokowany. | "Zezwalaj" "Odmów" (wymagane) |
description (opis) | Opis tej reguły. Ograniczone do 140 znaków. | ciąg |
destinationAddressPrefix | Prefiks adresu docelowego. CiDR lub docelowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". | ciąg |
destinationAddressPrefixes | Prefiksy adresów docelowych. CiDR lub docelowe zakresy adresów IP. | ciąg[] |
destinationApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako miejsce docelowe. | ApplicationSecurityGroup[] |
destinationPortRange | Port docelowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | ciąg |
destinationPortRanges | Zakresy portów docelowych. | ciąg[] |
kierunek | Kierunek reguły. Kierunek określa, czy reguła zostanie obliczona dla ruchu przychodzącego lub wychodzącego. | "Ruch przychodzący" "Wychodzący" (wymagany) |
priority | Priorytet reguły. Wartość może należeć do zakresu od 100 do 4096. Numer priorytetu musi być unikatowy dla każdej reguły w kolekcji. Im niższy numer priorytetu, tym wyższy priorytet reguły. | int (wymagane) |
Protokół | Protokół sieciowy, do których ma zastosowanie ta reguła. | "*" "Ah" "Esp" "Icmp" "Tcp" "Udp" (wymagane) |
sourceAddressPrefix | CiDR lub źródłowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". Jeśli jest to reguła ruchu przychodzącego, określa, skąd pochodzi ruch sieciowy. | ciąg |
sourceAddressPrefixes | Zakresy ciDR lub źródłowych adresów IP. | ciąg[] |
sourceApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako źródło. | ApplicationSecurityGroup[] |
sourcePortRange | Port źródłowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | ciąg |
sourcePortRanges | Zakresy portów źródłowych. | ciąg[] |
ApplicationSecurityGroup
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator zasobu. | ciąg |
location | Lokalizacja zasobu. | ciąg |
properties | Właściwości grupy zabezpieczeń aplikacji. | ApplicationSecurityGroupPropertiesFormat |
tags | Tagi zasobów. | object |
ApplicationSecurityGroupPropertiesFormat
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.