Microsoft.NetworkSecurityGroups
Definicja zasobu Bicep
Typ zasobu networkSecurityGroups można wdrożyć przy użyciu operacji docelowych:
- Grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Uwagi
Aby uzyskać wskazówki dotyczące tworzenia sieciowych grup zabezpieczeń, zobacz Tworzenie zasobów sieci wirtualnej przy użyciu Bicep.
Format zasobu
Aby utworzyć zasób Microsoft.Network/networkSecurityGroups, dodaj następujący kod Bicep do szablonu.
resource symbolicname 'Microsoft.Network/networkSecurityGroups@2023-04-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
flushConnection: bool
securityRules: [
{
id: 'string'
name: 'string'
properties: {
access: 'string'
description: 'string'
destinationAddressPrefix: 'string'
destinationAddressPrefixes: [
'string'
]
destinationApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
destinationPortRange: 'string'
destinationPortRanges: [
'string'
]
direction: 'string'
priority: int
protocol: 'string'
sourceAddressPrefix: 'string'
sourceAddressPrefixes: [
'string'
]
sourceApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
sourcePortRange: 'string'
sourcePortRanges: [
'string'
]
}
type: 'string'
}
]
}
}
Wartości właściwości
networkSecurityGroups
| Nazwa | Opis | Wartość |
|---|---|---|
| name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Zakończ alfanumeryczne lub podkreślenie. |
| location | Lokalizacja zasobu. | ciąg |
| tags | Tagi zasobów. | Słownik nazw tagów i wartości. Zobacz Tagi w szablonach |
| properties | Właściwości sieciowej grupy zabezpieczeń. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| flushConnection | Po włączeniu przepływy utworzone na podstawie połączeń sieciowej grupy zabezpieczeń zostaną ponownie ocenione, gdy reguły są aktualizowane. Wstępne włączenie spowoduje wyzwolenie ponownej oceny. | bool |
| securityRules | Kolekcja reguł zabezpieczeń sieciowej grupy zabezpieczeń. | SecurityRule[] |
SecurityRule
| Nazwa | Opis | Wartość |
|---|---|---|
| identyfikator | Identyfikator zasobu. | ciąg |
| name | Nazwa zasobu, który jest unikatowy w grupie zasobów. Ta nazwa może służyć do uzyskiwania dostępu do zasobu. | ciąg |
| properties | Właściwości reguły zabezpieczeń. | SecurityRulePropertiesFormat |
| typ | Typ zasobu. | ciąg |
SecurityRulePropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| access | Ruch sieciowy jest dozwolony lub blokowany. | "Zezwalaj" "Odmów" (wymagane) |
| description (opis) | Opis tej reguły. Ograniczone do 140 znaków. | ciąg |
| destinationAddressPrefix | Prefiks adresu docelowego. CiDR lub docelowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". | ciąg |
| destinationAddressPrefixes | Prefiksy adresów docelowych. CiDR lub docelowe zakresy adresów IP. | ciąg[] |
| destinationApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako miejsce docelowe. | ApplicationSecurityGroup[] |
| destinationPortRange | Port docelowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | ciąg |
| destinationPortRanges | Zakresy portów docelowych. | ciąg[] |
| kierunek | Kierunek reguły. Kierunek określa, czy reguła będzie oceniana w ruchu przychodzącym lub wychodzącym. | "Ruch przychodzący" "Wychodzący" (wymagany) |
| priority | Priorytet reguły. Wartość może należeć do zakresu od 100 do 4096. Numer priorytetu musi być unikatowy dla każdej reguły w kolekcji. Im niższy numer priorytetu, tym wyższy priorytet reguły. | int (wymagane) |
| Protokół | Protokół sieciowy, do których ta reguła ma zastosowanie. | '*' "Ah" "Esp" "Icmp" "Tcp" "Udp" (wymagane) |
| sourceAddressPrefix | CiDR lub źródłowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowywania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". Jeśli jest to reguła ruchu przychodzącego, określa, skąd pochodzi ruch sieciowy. | ciąg |
| sourceAddressPrefixes | Zakresy ciDR lub źródłowych adresów IP. | ciąg[] |
| sourceApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako źródło. | ApplicationSecurityGroup[] |
| sourcePortRange | Port źródłowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | ciąg |
| sourcePortRanges | Zakresy portów źródłowych. | ciąg[] |
ApplicationSecurityGroup
| Nazwa | Opis | Wartość |
|---|---|---|
| identyfikator | Identyfikator zasobu. | ciąg |
| location | Lokalizacja zasobu. | ciąg |
| properties | Właściwości grupy zabezpieczeń aplikacji. | ApplicationSecurityGroupPropertiesFormat |
| tags | Tagi zasobów. | object |
ApplicationSecurityGroupPropertiesFormat
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
| Template | Opis |
|---|---|
Zarządzana usługa Azure Active Directory Domain Services |
Ten szablon służy do wdrażania zarządzanej usługi Azure domena usługi Active Directory Service z wymaganą konfiguracją sieci wirtualnej i sieciowej grupy zabezpieczeń. |
| Klaster usługi AKS z kontrolerem ruchu przychodzącego Application Gateway |
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS przy użyciu Application Gateway, kontrolera ruchu przychodzącego Application Gateway, Azure Container Registry, usługi Log Analytics i Key Vault |
| Usługa App Gateway z zaporą aplikacji internetowej, protokołem SSL, usługami IIS i przekierowywaniem HTTPS |
Ten szablon służy do wdrażania Application Gateway za pomocą zapory aplikacji internetowej, kompleksowej usługi SSL i przekierowania HTTP do protokołu HTTPS na serwerach usług IIS. |
| Tworzenie Application Gateway IPv6 |
Ten szablon tworzy bramę aplikacji z frontonem IPv6 w sieci wirtualnej z podwójnym stosem. |
| Grupy zabezpieczeń aplikacji |
Ten szablon przedstawia sposób łączenia elementów w celu zabezpieczenia obciążeń przy użyciu sieciowych grup zabezpieczeń z grupami zabezpieczeń aplikacji. Spowoduje to wdrożenie maszyny wirtualnej z systemem Linux z systemem NGINX oraz użycie grup zabezpieczeń aplikacji w sieciowych grupach zabezpieczeń umożliwi dostęp do portów 22 i 80 do maszyny wirtualnej przypisanej do grupy zabezpieczeń aplikacji o nazwie webServersAsg. |
| Usługa Azure Bastion jako usługa z sieciową grupą zabezpieczeń |
Ten szablon aprowizuje usługę Azure Bastion w Virtual Network |
| Używanie Azure Firewall jako serwera proxy DNS w topologii gwiazdy & piasty |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną piasty za pośrednictwem komunikacji równorzędnej sieci wirtualnych. |
| Tworzenie piaskownicy Azure Firewall, maszyny wirtualnej klienta i maszyny wirtualnej serwera |
Ten szablon tworzy sieć wirtualną z 2 podsieciami (podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera, maszyną wirtualną klienta, publicznym adresem IP dla każdej maszyny wirtualnej oraz tabelą tras do wysyłania ruchu między maszynami wirtualnymi przez zaporę. |
| Tworzenie zapory, firewallPolicy z jawnym serwerem proxy |
Ten szablon tworzy Azure Firewall FirewalllPolicy z jawnym serwerem proxy i regułami sieciowymi z grupami IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
| Tworzenie zapory z zasadami FirewallPolicy i IpGroups |
Ten szablon tworzy Azure Firewall z regułami sieci zapory i grupami IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
| Tworzenie Azure Firewall za pomocą grup IpGroups |
Ten szablon tworzy Azure Firewall z regułami aplikacji i sieci odwołującą się do grup adresów IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
| Tworzenie piaskownicy Azure Firewall z wymuszonym tunelowaniem |
Ten szablon tworzy piaskownicę Azure Firewall (Linux) z jedną zaporą wymuszoną tunelowaną przez inną zaporę w równorzędnej sieci wirtualnej |
| Tworzenie konfiguracji piaskownicy Azure Firewall przy użyciu maszyn wirtualnych z systemem Linux |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci serwera i Azure Firewall z co najmniej 1 publicznymi adresami IP, 1 regułą przykładowej aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
| Tworzenie konfiguracji piaskownicy przy użyciu zasad zapory |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci serwera i Azure Firewall z co najmniej 1 publicznymi adresami IP. Ponadto tworzy zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
| Tworzenie konfiguracji piaskownicy Azure Firewall przy użyciu stref |
Ten szablon tworzy sieć wirtualną z trzema podsieciami (podsieć serwera, podsiecią serwera i podsiecią Azure Firewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci ServerSubnet, Azure Firewall z co najmniej jednym publicznym adresem IP, jedną przykładową regułą aplikacji i jedną przykładową regułą sieci Azure Firewall w Strefy dostępności 1, 2 i 3. |
| Obwód usługi ExpressRoute z prywatną komunikacją równorzędną i siecią wirtualną platformy Azure |
Ten szablon umożliwia skonfigurowanie komunikacji równorzędnej firmy Microsoft usługi ExpressRoute, wdrożenie sieci wirtualnej platformy Azure z bramą usługi ExpressRoute i połączenie sieci wirtualnej z obwodem usługi ExpressRoute |
| Tworzenie usługi Azure Front Door przed usługą Azure API Management |
W tym przykładzie pokazano, jak używać usługi Azure Front Door jako globalnego modułu równoważenia obciążenia przed usługą Azure API Management. |
| Tworzenie Azure Firewall z wieloma publicznymi adresami IP |
Ten szablon tworzy Azure Firewall z dwoma publicznymi adresami IP i dwoma serwerami z systemem Windows Server 2019 do testowania. |
| Zabezpieczone koncentratory wirtualne |
Ten szablon tworzy zabezpieczone koncentrator wirtualny przy użyciu Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
| Tworzenie modułu równoważenia obciążenia między regionami |
Ten szablon tworzy moduł równoważenia obciążenia między regionami z pulą zaplecza zawierającą dwa regionalne moduły równoważenia obciążenia. Moduł równoważenia obciążenia między regionami jest obecnie dostępny w ograniczonych regionach. Regionalne moduły równoważenia obciążenia za modułem równoważenia obciążenia między regionami mogą znajdować się w dowolnym regionie. |
| usługa Load Balancer w warstwie Standardowa z pulą zaplecza według adresów IP |
Ten szablon służy do zademonstrowania sposobu użycia szablonów usługi ARM do konfigurowania puli zaplecza Load Balancer według adresu IP zgodnie z opisem w dokumencie zarządzania pulą zaplecza. |
| Tworzenie modułu równoważenia obciążenia przy użyciu publicznego adresu IPv6 |
Ten szablon tworzy moduł równoważenia obciążenia dostępny z Internetu z publicznym adresem IPv6, regułami równoważenia obciążenia i dwiema maszynami wirtualnymi dla puli zaplecza. |
| Tworzenie standardowego modułu równoważenia obciążenia |
Ten szablon tworzy dostępny z Internetu moduł równoważenia obciążenia, reguły równoważenia obciążenia i trzy maszyny wirtualne dla puli zaplecza z każdą maszyną wirtualną w strefie nadmiarowej. |
| translator adresów sieciowych Virtual Network przy użyciu maszyny wirtualnej |
Wdrażanie bramy translatora adresów sieciowych i maszyny wirtualnej |
| Stosowanie sieciowej grupy zabezpieczeń do istniejącej podsieci |
Ten szablon stosuje nowo utworzoną sieciową grupę zabezpieczeń do istniejącej podsieci |
| Sieciowa grupa zabezpieczeń z dziennikami diagnostycznymi |
Ten szablon tworzy sieciową grupę zabezpieczeń z dziennikami diagnostycznymi i blokadą zasobu |
| Wielowarstwowa sieć wirtualna z sieciowymi grupami zabezpieczeń i strefą DMZ |
Ten szablon wdraża Virtual Network z 3 podsieciami, 3 sieciowymi grupami zabezpieczeń i odpowiednimi regułami zabezpieczeń, aby podsieć frontonu jako strefę DMZ |
| Usługa Azure Route Server w komunikacji równorzędnej BGP z rozwiązaniem Quagga |
Ten szablon służy do wdrażania serwera routera i maszyny wirtualnej z systemem Ubuntu przy użyciu platformy Quagga. Dwa zewnętrzne sesje protokołu BGP są ustanawiane między serwerem routera i quaggą. Instalacja i konfiguracja oprogramowania Quagga jest wykonywana przez rozszerzenie niestandardowego skryptu platformy Azure dla systemu Linux |
| Tworzenie sieciowej grupy zabezpieczeń |
Ten szablon tworzy sieciową grupę zabezpieczeń |
| Tworzenie połączenia sieci VPN typu lokacja-lokacja z maszyną wirtualną |
Ten szablon umożliwia utworzenie połączenia sieci VPN typu lokacja-lokacja przy użyciu bram Virtual Network |
| Sieć VPN typu lokacja-lokacja z bramami vpn active-active z protokołem BGP |
Ten szablon umożliwia wdrożenie sieci VPN typu lokacja-lokacja między dwiema sieciami wirtualnymi z bramami sieci VPN w konfiguracji aktywne-aktywne za pomocą protokołu BGP. Każda usługa Azure VPN Gateway rozpoznaje nazwę FQDN zdalnych elementów równorzędnych w celu określenia publicznego adresu IP zdalnego VPN Gateway. Szablon działa zgodnie z oczekiwaniami w regionach platformy Azure ze strefami dostępności. |
| Przykład maszyny wirtualnej usługi Azure Traffic Manager |
Ten szablon przedstawia sposób tworzenia równoważenia obciążenia profilu usługi Azure Traffic Manager na wielu maszynach wirtualnych. |
| Przykład maszyny wirtualnej usługi Azure Traffic Manager z Strefy dostępności |
Ten szablon przedstawia sposób tworzenia równoważenia obciążenia profilu usługi Azure Traffic Manager na wielu maszynach wirtualnych umieszczonych w Strefy dostępności. |
| Trasy zdefiniowane przez użytkownika i urządzenie |
Ten szablon wdraża Virtual Network, maszyny wirtualne w odpowiednich podsieciach i kieruje ruch do urządzenia |
| 201-vnet-2subnets-service-endpoints-storage-integration |
Tworzy 2 nowe maszyny wirtualne z każdą kartą sieciową w dwóch różnych podsieciach w tej samej sieci wirtualnej. Ustawia punkt końcowy usługi w jednej z podsieci i zabezpiecza konto magazynu w tej podsieci. |
| Dodawanie sieciowej grupy zabezpieczeń z regułami zabezpieczeń usługi Redis do istniejącej podsieci |
Ten szablon umożliwia dodanie sieciowej grupy zabezpieczeń ze wstępnie skonfigurowanymi regułami zabezpieczeń usługi Azure Redis Cache do istniejącej podsieci w sieci wirtualnej. Wdróż w grupie zasobów istniejącej sieci wirtualnej. |
Definicja zasobu szablonu usługi ARM
Typ zasobu networkSecurityGroups można wdrożyć z operacjami docelowymi:
- Grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Uwagi
Aby uzyskać wskazówki dotyczące tworzenia sieciowych grup zabezpieczeń, zobacz Create virtual network resources by using Bicep (Tworzenie zasobów sieci wirtualnej przy użyciu Bicep).
Format zasobu
Aby utworzyć zasób Microsoft.Network/networkSecurityGroups, dodaj następujący kod JSON do szablonu.
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2023-04-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"flushConnection": "bool",
"securityRules": [
{
"id": "string",
"name": "string",
"properties": {
"access": "string",
"description": "string",
"destinationAddressPrefix": "string",
"destinationAddressPrefixes": [ "string" ],
"destinationApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"destinationPortRange": "string",
"destinationPortRanges": [ "string" ],
"direction": "string",
"priority": "int",
"protocol": "string",
"sourceAddressPrefix": "string",
"sourceAddressPrefixes": [ "string" ],
"sourceApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"sourcePortRange": "string",
"sourcePortRanges": [ "string" ]
},
"type": "string"
}
]
}
}
Wartości właściwości
networkSecurityGroups
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ zasobu | "Microsoft.Network/networkSecurityGroups" |
| apiVersion | Wersja interfejsu API zasobów | '2023-04-01' |
| name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Koniec alfanumeryczne lub podkreślenie. |
| location | Lokalizacja zasobu. | ciąg |
| tags | Tagi zasobów. | Słownik nazw tagów i wartości. Zobacz Tagi w szablonach |
| properties | Właściwości sieciowej grupy zabezpieczeń. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| flushConnection | Po włączeniu przepływy utworzone na podstawie połączeń sieciowej grupy zabezpieczeń zostaną ponownie ocenione, gdy reguły są aktualizacjami. Wstępne włączenie spowoduje wyzwolenie ponownej oceny. | bool |
| securityRules | Kolekcja reguł zabezpieczeń sieciowej grupy zabezpieczeń. | SecurityRule[] |
SecurityRule
| Nazwa | Opis | Wartość |
|---|---|---|
| identyfikator | Identyfikator zasobu. | ciąg |
| name | Nazwa zasobu, który jest unikatowy w grupie zasobów. Ta nazwa może służyć do uzyskiwania dostępu do zasobu. | ciąg |
| properties | Właściwości reguły zabezpieczeń. | SecurityRulePropertiesFormat |
| typ | Typ zasobu. | ciąg |
SecurityRulePropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| access | Ruch sieciowy jest dozwolony lub blokowany. | "Zezwalaj" "Odmów" (wymagane) |
| description (opis) | Opis tej reguły. Ograniczone do 140 znaków. | ciąg |
| destinationAddressPrefix | Prefiks adresu docelowego. CIDR lub docelowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowywania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". | ciąg |
| destinationAddressPrefixes | Prefiksy adresów docelowych. CiDR lub docelowe zakresy adresów IP. | ciąg[] |
| destinationApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako miejsce docelowe. | ApplicationSecurityGroup[] |
| destinationPortRange | Port docelowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | ciąg |
| destinationPortRanges | Zakresy portów docelowych. | ciąg[] |
| kierunek | Kierunek reguły. Kierunek określa, czy reguła będzie oceniana w ruchu przychodzącym lub wychodzącym. | "Ruch przychodzący" "Wychodzący" (wymagany) |
| priority | Priorytet reguły. Wartość może należeć do zakresu od 100 do 4096. Numer priorytetu musi być unikatowy dla każdej reguły w kolekcji. Im niższy numer priorytetu, tym wyższy priorytet reguły. | int (wymagane) |
| Protokół | Protokół sieciowy, do których ta reguła ma zastosowanie. | '*' "Ah" "Esp" "Icmp" "Tcp" "Udp" (wymagane) |
| sourceAddressPrefix | CiDR lub źródłowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowywania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". Jeśli jest to reguła ruchu przychodzącego, określa, skąd pochodzi ruch sieciowy. | ciąg |
| sourceAddressPrefixes | Zakresy ciDR lub źródłowych adresów IP. | ciąg[] |
| sourceApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako źródło. | ApplicationSecurityGroup[] |
| sourcePortRange | Port źródłowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | ciąg |
| sourcePortRanges | Zakresy portów źródłowych. | ciąg[] |
ApplicationSecurityGroup
| Nazwa | Opis | Wartość |
|---|---|---|
| identyfikator | Identyfikator zasobu. | ciąg |
| location | Lokalizacja zasobu. | ciąg |
| properties | Właściwości grupy zabezpieczeń aplikacji. | ApplicationSecurityGroupPropertiesFormat |
| tags | Tagi zasobów. | object |
ApplicationSecurityGroupPropertiesFormat
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
| Template | Opis |
|---|---|
| Zarządzana usługa Azure Active Directory Domain Services |
Ten szablon służy do wdrażania zarządzanej usługi Azure domena usługi Active Directory Service z wymaganą konfiguracją sieci wirtualnej i sieciowej grupy zabezpieczeń. |
| Klaster usługi AKS z kontrolerem ruchu przychodzącego Application Gateway |
W tym przykładzie pokazano, jak wdrożyć klaster usługi AKS przy użyciu Application Gateway, kontrolera ruchu przychodzącego Application Gateway, Azure Container Registry, usługi Log Analytics i Key Vault |
| Usługa App Gateway z zaporą aplikacji internetowej, protokołem SSL, usługami IIS i przekierowywaniem HTTPS |
Ten szablon służy do wdrażania Application Gateway za pomocą zapory aplikacji internetowej, kompleksowej usługi SSL i przekierowania HTTP do protokołu HTTPS na serwerach usług IIS. |
| Tworzenie Application Gateway IPv6 |
Ten szablon tworzy bramę aplikacji z frontonem IPv6 w sieci wirtualnej z podwójnym stosem. |
| Grupy zabezpieczeń aplikacji |
Ten szablon przedstawia sposób łączenia elementów w celu zabezpieczenia obciążeń przy użyciu sieciowych grup zabezpieczeń z grupami zabezpieczeń aplikacji. Spowoduje to wdrożenie maszyny wirtualnej z systemem Linux z systemem NGINX oraz użycie grup zabezpieczeń aplikacji w sieciowych grupach zabezpieczeń umożliwi dostęp do portów 22 i 80 do maszyny wirtualnej przypisanej do grupy zabezpieczeń aplikacji o nazwie webServersAsg. |
| Usługa Azure Bastion jako usługa z sieciową grupą zabezpieczeń |
Ten szablon aprowizuje usługę Azure Bastion w Virtual Network |
| Używanie Azure Firewall jako serwera proxy DNS w topologii gwiazdy & piasty |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną piasty za pośrednictwem komunikacji równorzędnej sieci wirtualnych. |
| Tworzenie piaskownicy Azure Firewall, maszyny wirtualnej klienta i maszyny wirtualnej serwera |
Ten szablon tworzy sieć wirtualną z 2 podsieciami (podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera, maszyną wirtualną klienta, publicznym adresem IP dla każdej maszyny wirtualnej oraz tabelą tras do wysyłania ruchu między maszynami wirtualnymi przez zaporę. |
| Tworzenie zapory, firewallPolicy z jawnym serwerem proxy |
Ten szablon tworzy Azure Firewall FirewalllPolicy z jawnym serwerem proxy i regułami sieciowymi z grupami IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
| Tworzenie zapory z zasadami FirewallPolicy i IpGroups |
Ten szablon tworzy Azure Firewall z regułami sieci zapory i grupami IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
| Tworzenie Azure Firewall za pomocą grup IpGroups |
Ten szablon tworzy Azure Firewall z regułami aplikacji i sieci odwołującą się do grup adresów IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
| Tworzenie piaskownicy Azure Firewall z wymuszonym tunelowaniem |
Ten szablon tworzy piaskownicę Azure Firewall (Linux) z jedną zaporą wymuszoną tunelowaną przez inną zaporę w równorzędnej sieci wirtualnej |
| Tworzenie konfiguracji piaskownicy Azure Firewall przy użyciu maszyn wirtualnych z systemem Linux |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci serwera i Azure Firewall z co najmniej 1 publicznymi adresami IP, 1 regułą przykładowej aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
| Tworzenie konfiguracji piaskownicy przy użyciu zasad zapory |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci serwera i Azure Firewall z co najmniej 1 publicznymi adresami IP. Ponadto tworzy zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
| Tworzenie konfiguracji piaskownicy Azure Firewall przy użyciu stref |
Ten szablon tworzy sieć wirtualną z trzema podsieciami (podsieć serwera, podsiecią przesiadkową i podsiecią Azure Firewall), maszyną wirtualną przesiadkową z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci ServerSubnet, Azure Firewall z co najmniej jednym publicznym adresem IP, jedną przykładową regułą aplikacji i jedną przykładową regułą sieci Azure Firewall w Strefy dostępności 1, 2 i 3. |
| Obwód usługi ExpressRoute z prywatną komunikacją równorzędną i siecią wirtualną platformy Azure |
Ten szablon umożliwia skonfigurowanie komunikacji równorzędnej usługi ExpressRoute firmy Microsoft, wdrożenie sieci wirtualnej platformy Azure z bramą usługi ExpressRoute i połączenie sieci wirtualnej z obwodem usługi ExpressRoute |
| Tworzenie usługi Azure Front Door przed usługą Azure API Management |
W tym przykładzie pokazano, jak używać usługi Azure Front Door jako globalnego modułu równoważenia obciążenia przed usługą Azure API Management. |
| Tworzenie Azure Firewall z wieloma publicznymi adresami IP |
Ten szablon tworzy Azure Firewall z dwoma publicznymi adresami IP i dwoma serwerami z systemem Windows Server 2019 do przetestowania. |
| Zabezpieczone koncentratory wirtualne |
Ten szablon tworzy zabezpieczone koncentrator wirtualny przy użyciu Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
| Tworzenie modułu równoważenia obciążenia między regionami |
Ten szablon tworzy moduł równoważenia obciążenia między regionami z pulą zaplecza zawierającą dwa regionalne moduły równoważenia obciążenia. Moduł równoważenia obciążenia między regionami jest obecnie dostępny w ograniczonych regionach. Regionalne moduły równoważenia obciążenia za modułem równoważenia obciążenia między regionami mogą znajdować się w dowolnym regionie. |
| usługa Load Balancer w warstwie Standardowa z pulą zaplecza według adresów IP |
Ten szablon służy do zademonstrowania sposobu użycia szablonów usługi ARM do konfigurowania puli zaplecza Load Balancer według adresu IP zgodnie z opisem w dokumencie zarządzania pulą zaplecza. |
| Tworzenie modułu równoważenia obciążenia przy użyciu publicznego adresu IPv6 |
Ten szablon tworzy moduł równoważenia obciążenia dostępny z Internetu z publicznym adresem IPv6, regułami równoważenia obciążenia i dwiema maszynami wirtualnymi dla puli zaplecza. |
| Tworzenie standardowego modułu równoważenia obciążenia |
Ten szablon tworzy dostępny z Internetu moduł równoważenia obciążenia, reguły równoważenia obciążenia i trzy maszyny wirtualne dla puli zaplecza z każdą maszyną wirtualną w strefie nadmiarowej. |
| translator adresów sieciowych Virtual Network z maszyną wirtualną |
Wdrażanie bramy translatora adresów sieciowych i maszyny wirtualnej |
| Stosowanie sieciowej grupy zabezpieczeń do istniejącej podsieci |
Ten szablon stosuje nowo utworzoną sieciową grupę zabezpieczeń do istniejącej podsieci |
| Sieciowa grupa zabezpieczeń z dziennikami diagnostycznymi |
Ten szablon tworzy sieciową grupę zabezpieczeń z dziennikami diagnostycznymi i blokadą zasobu |
| Wielowarstwowa sieć wirtualna z sieciowymi grupami zabezpieczeń i strefą DMZ |
Ten szablon wdraża Virtual Network z 3 podsieciami, 3 sieciowymi grupami zabezpieczeń i odpowiednimi regułami zabezpieczeń w celu utworzenia podsieci FrontEnd strefy DMZ |
| Usługa Azure Route Server w komunikacji równorzędnej BGP z aplikacją Quagga |
Ten szablon wdraża serwer routera i maszynę wirtualną z systemem Ubuntu przy użyciu oprogramowania Quagga. Istnieją dwie zewnętrzne sesje protokołu BGP między serwerem routera i quaggą. Instalacja i konfiguracja oprogramowania Quagga jest wykonywana przez rozszerzenie niestandardowego skryptu platformy Azure dla systemu Linux |
| Tworzenie sieciowej grupy zabezpieczeń |
Ten szablon tworzy sieciową grupę zabezpieczeń |
| Tworzenie połączenia sieci VPN typu lokacja-lokacja z maszyną wirtualną |
Ten szablon umożliwia utworzenie połączenia sieci VPN typu lokacja-lokacja przy użyciu bram Virtual Network |
| Sieć VPN typu lokacja-lokacja z aktywnymi bramami sieci VPN z protokołem BGP |
Ten szablon umożliwia wdrożenie sieci VPN typu lokacja-lokacja między dwiema sieciami wirtualnymi z bramami sieci VPN w konfiguracji aktywne-aktywne z protokołem BGP. Każda usługa Azure VPN Gateway rozpoznaje nazwę FQDN zdalnych elementów równorzędnych w celu określenia publicznego adresu IP zdalnego VPN Gateway. Szablon działa zgodnie z oczekiwaniami w regionach świadczenia usługi Azure ze strefami dostępności. |
| Przykład maszyny wirtualnej usługi Azure Traffic Manager |
W tym szablonie pokazano, jak utworzyć równoważenie obciążenia profilu usługi Azure Traffic Manager na wielu maszynach wirtualnych. |
| Przykład maszyny wirtualnej usługi Azure Traffic Manager z Strefy dostępności |
W tym szablonie pokazano, jak utworzyć równoważenie obciążenia profilu usługi Azure Traffic Manager na wielu maszynach wirtualnych umieszczonych w Strefy dostępności. |
| Trasy zdefiniowane przez użytkownika i urządzenie |
Ten szablon wdraża Virtual Network, maszyny wirtualne w odpowiednich podsieciach i kieruje ruch do urządzenia |
| 201-vnet-2subnets-service-endpoints-storage-integration |
Tworzy 2 nowe maszyny wirtualne z każdą kartą sieciową w dwóch różnych podsieciach w tej samej sieci wirtualnej. Ustawia punkt końcowy usługi w jednej z podsieci i zabezpiecza konto magazynu w tej podsieci. |
| Dodawanie sieciowej grupy zabezpieczeń z regułami zabezpieczeń usługi Redis do istniejącej podsieci |
Ten szablon umożliwia dodanie sieciowej grupy zabezpieczeń ze wstępnie skonfigurowanymi regułami zabezpieczeń usługi Azure Redis Cache do istniejącej podsieci w sieci wirtualnej. Wdróż w grupie zasobów istniejącej sieci wirtualnej. |
Definicja zasobu narzędzia Terraform (dostawcy AzAPI)
Typ zasobu networkSecurityGroups można wdrożyć przy użyciu operacji docelowych:
- Grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/networkSecurityGroups, dodaj następujący program Terraform do szablonu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/networkSecurityGroups@2023-04-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
flushConnection = bool
securityRules = [
{
id = "string"
name = "string"
properties = {
access = "string"
description = "string"
destinationAddressPrefix = "string"
destinationAddressPrefixes = [
"string"
]
destinationApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
destinationPortRange = "string"
destinationPortRanges = [
"string"
]
direction = "string"
priority = int
protocol = "string"
sourceAddressPrefix = "string"
sourceAddressPrefixes = [
"string"
]
sourceApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
sourcePortRange = "string"
sourcePortRanges = [
"string"
]
}
type = "string"
}
]
}
})
}
Wartości właściwości
networkSecurityGroups
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ zasobu | "Microsoft.Network/networkSecurityGroups@2023-04-01" |
| name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Zakończ alfanumeryczne lub podkreślenie. |
| location | Lokalizacja zasobu. | ciąg |
| parent_id | Aby wdrożyć w grupie zasobów, użyj identyfikatora tej grupy zasobów. | ciąg (wymagany) |
| tags | Tagi zasobów. | Słownik nazw tagów i wartości. |
| properties | Właściwości sieciowej grupy zabezpieczeń. | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| flushConnection | Po włączeniu przepływy utworzone na podstawie połączeń sieciowej grupy zabezpieczeń zostaną ponownie ocenione, gdy reguły są aktualizowane. Wstępne włączenie spowoduje wyzwolenie ponownej oceny. | bool |
| securityRules | Kolekcja reguł zabezpieczeń sieciowej grupy zabezpieczeń. | SecurityRule[] |
SecurityRule
| Nazwa | Opis | Wartość |
|---|---|---|
| identyfikator | Identyfikator zasobu. | ciąg |
| name | Nazwa zasobu, który jest unikatowy w grupie zasobów. Ta nazwa może służyć do uzyskiwania dostępu do zasobu. | ciąg |
| properties | Właściwości reguły zabezpieczeń. | SecurityRulePropertiesFormat |
| typ | Typ zasobu. | ciąg |
SecurityRulePropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| access | Ruch sieciowy jest dozwolony lub blokowany. | "Zezwalaj" "Odmów" (wymagane) |
| description (opis) | Opis tej reguły. Ograniczone do 140 znaków. | ciąg |
| destinationAddressPrefix | Prefiks adresu docelowego. CiDR lub docelowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". | ciąg |
| destinationAddressPrefixes | Prefiksy adresów docelowych. CiDR lub docelowe zakresy adresów IP. | ciąg[] |
| destinationApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako miejsce docelowe. | ApplicationSecurityGroup[] |
| destinationPortRange | Port docelowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | ciąg |
| destinationPortRanges | Zakresy portów docelowych. | ciąg[] |
| kierunek | Kierunek reguły. Kierunek określa, czy reguła zostanie obliczona dla ruchu przychodzącego lub wychodzącego. | "Ruch przychodzący" "Wychodzący" (wymagany) |
| priority | Priorytet reguły. Wartość może należeć do zakresu od 100 do 4096. Numer priorytetu musi być unikatowy dla każdej reguły w kolekcji. Im niższy numer priorytetu, tym wyższy priorytet reguły. | int (wymagane) |
| Protokół | Protokół sieciowy, do których ma zastosowanie ta reguła. | "*" "Ah" "Esp" "Icmp" "Tcp" "Udp" (wymagane) |
| sourceAddressPrefix | CiDR lub źródłowy zakres adresów IP. Gwiazdka "*" może być również używana do dopasowania wszystkich źródłowych adresów IP. Można również używać tagów domyślnych, takich jak "VirtualNetwork", "AzureLoadBalancer" i "Internet". Jeśli jest to reguła ruchu przychodzącego, określa, skąd pochodzi ruch sieciowy. | ciąg |
| sourceAddressPrefixes | Zakresy ciDR lub źródłowych adresów IP. | ciąg[] |
| sourceApplicationSecurityGroups | Grupa zabezpieczeń aplikacji określona jako źródło. | ApplicationSecurityGroup[] |
| sourcePortRange | Port źródłowy lub zakres. Liczba całkowita lub zakres z zakresu od 0 do 65535. Gwiazdka "*" może być również używana do dopasowania wszystkich portów. | ciąg |
| sourcePortRanges | Zakresy portów źródłowych. | ciąg[] |
ApplicationSecurityGroup
| Nazwa | Opis | Wartość |
|---|---|---|
| identyfikator | Identyfikator zasobu. | ciąg |
| location | Lokalizacja zasobu. | ciąg |
| properties | Właściwości grupy zabezpieczeń aplikacji. | ApplicationSecurityGroupPropertiesFormat |
| tags | Tagi zasobów. | object |
ApplicationSecurityGroupPropertiesFormat
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
Opinia
Już wkrótce: w ciągu 2024 r. będziemy stopniowo usuwać problemy z usługą GitHub jako mechanizm opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla