Szybki start: tworzenie sieci wirtualnej platformy Azure

Z tego przewodnika Szybki start dowiesz się, jak utworzyć sieć wirtualną platformy Azure przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell, szablonu usługi Resource Manager, szablonu Bicep i programu Terraform. Dwie maszyny wirtualne i host usługi Azure Bastion są wdrażane w celu przetestowania łączności między maszynami wirtualnymi w tej samej sieci wirtualnej. Host usługi Azure Bastion ułatwia bezpieczną i bezproblemową łączność RDP i SSH z maszynami wirtualnymi bezpośrednio w witrynie Azure Portal za pośrednictwem protokołu SSL.

Sieć wirtualna to podstawowy blok konstrukcyjny dla sieci prywatnych na platformie Azure. Usługa Azure Virtual Network umożliwia zasobom platformy Azure, takich jak maszyny wirtualne, bezpieczne komunikowanie się ze sobą i Internetem.

Jeśli nie masz subskrypcji usługi, utwórz konto bezpłatnej wersji próbnej.

Wymagania wstępne

Portal

• Konto Azure z aktywną subskrypcją. Możesz bezpłatnie utworzyć konto.

PowerShell

• Konto Azure z aktywną subskrypcją. Możesz bezpłatnie utworzyć konto.

• Azure Cloud Shell lub Azure PowerShell.

  Kroki opisane w tym przewodniku Szybki start uruchamiają interaktywne polecenia cmdlet programu Azure PowerShell w usłudze Azure Cloud Shell. Aby uruchomić polecenia w usłudze Cloud Shell, wybierz pozycję Otwórz program CloudShell w prawym górnym rogu bloku kodu. Wybierz pozycję Kopiuj , aby skopiować kod, a następnie wklej go do usługi Cloud Shell, aby go uruchomić. Możesz również uruchomić usługę Cloud Shell z poziomu witryny Azure Portal.

  Możesz również zainstalować program Azure PowerShell lokalnie , aby uruchomić polecenia cmdlet. Kroki opisane w tym artykule wymagają modułu Azure PowerShell w wersji 5.4.1 lub nowszej. Uruchom polecenie Get-Module -ListAvailable Az , aby znaleźć zainstalowaną wersję. Jeśli chcesz uaktualnić, zobacz Aktualizowanie modułu programu Azure PowerShell.

  Jeśli uruchomisz program PowerShell lokalnie, uruchom polecenie Connect-AzAccount , aby nawiązać połączenie z platformą Azure.

CLI

Jeśli nie masz jeszcze konta platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

• Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Rozpoczynanie pracy z usługą Azure Cloud Shell.

  

• Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie Azure CLI w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.

  • Jeśli używasz instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure przy użyciu polecenia az login . Aby zakończyć proces uwierzytelniania, wykonaj kroki wyświetlane na Twoim terminalu. Aby uzyskać inne opcje logowania, zobacz Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

  • Gdy zostaniesz o to poproszony/a, zainstaluj rozszerzenie Azure CLI przy pierwszym użyciu. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Używanie rozszerzeń i zarządzanie nimi za pomocą interfejsu wiersza polecenia platformy Azure.

  • Uruchom az version, aby znaleźć zainstalowaną wersję i biblioteki zależne. Aby przeprowadzić uaktualnienie do najnowszej wersji, uruchom az upgrade.

• Ten artykuł wymaga wersji 2.0.28 lub nowszej interfejsu wiersza polecenia platformy Azure. W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.

RAMIĘ

• Konto Azure z aktywną subskrypcją. Możesz bezpłatnie utworzyć konto.

Szablon usługi Azure Resource Manager to plik JavaScript Object Notation (JSON), który definiuje infrastrukturę i konfigurację projektu. Szablon używa składni deklaratywnej. Możesz opisać zamierzone wdrożenie bez konieczności pisania sekwencji poleceń programowania w celu utworzenia wdrożenia.

Biceps

• Konto Azure z aktywną subskrypcją. Możesz bezpłatnie utworzyć konto.

• Aby wdrożyć pliki Bicep, zainstalowano interfejs wiersza polecenia platformy Azure lub program Azure PowerShell.

Terraform

• Konto Azure z aktywną subskrypcją. Możesz bezpłatnie utworzyć konto.

• Instalacja i konfiguracja programu Terraform.

Portal

Zaloguj się do Azure

Zaloguj się do witryny Azure Portal przy użyciu konta platformy Azure.

Tworzenie sieci wirtualnej i hosta usługi Azure Bastion

Poniższa procedura tworzy sieć wirtualną z podsiecią zasobów, podsiecią usługi Azure Bastion i hostem usługi Bastion:

1. W portalu wyszukaj i wybierz pozycję Sieci wirtualne.

2. Na stronie Sieci wirtualne wybierz pozycję + Utwórz.

3. Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:

   Ustawienia	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz swoją subskrypcję.
   Grupa zasobów	Wybierz pozycję Utwórz nową. Wprowadź test-rg jako nazwę. Wybierz przycisk OK.
   Szczegóły wystąpienia
   Nazwa	Wprowadź vnet-1.
   Rejon	Wybierz East US 2.

   

4. Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .

5. W sekcji Azure Bastion wybierz pozycję Włącz usługę Azure Bastion.

   Usługa Bastion używa przeglądarki do łączenia się z maszynami wirtualnymi w sieci wirtualnej za pośrednictwem protokołu Secure Shell (SSH) lub protokołu RDP (Remote Desktop Protocol) przy użyciu prywatnych adresów IP. Maszyny wirtualne nie potrzebują publicznych adresów IP, oprogramowania klienckiego ani specjalnej konfiguracji. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Bastion?.

   Uwaga / Notatka

   Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu jego używania.

6. W usłudze Azure Bastion wprowadź lub wybierz następujące informacje:

   Ustawienia	Wartość
   Nazwa hosta usługi Azure Bastion	Wprowadź bastion.
   Publiczny adres IP usługi Azure Bastion	Wybierz pozycję Utwórz publiczny adres IP. Wprowadź public-ip-bastion w polu Nazwa. Wybierz przycisk OK.

   

7. Wybierz przycisk Dalej , aby przejść do karty Adresy IP .

8. W polu Przestrzeń adresowa w obszarze Podsieci wybierz domyślną podsieć.

9. W obszarze Edytuj podsieć wprowadź lub wybierz następujące informacje:

   Ustawienia	Wartość
   Cel podsieci	Pozostaw domyślną opcję Default.
   Nazwa	Wprowadź podsieć-1.
   Protokół IPv4
   Zakres adresów IPv4	Pozostaw wartość domyślną 10.0.0.0/16.
   Adres początkowy	Pozostaw wartość domyślną 10.0.0.0.
   Rozmiar	Pozostaw wartość domyślną /24 (256 adresów).

   

10. Wybierz pozycję Zapisz.

11. Wybierz pozycję Przejrzyj i utwórz w dolnej części okna. Po zakończeniu walidacji wybierz pozycję Utwórz.

Tworzenie maszyn wirtualnych

Poniższa procedura tworzy dwie maszyny wirtualne o nazwie vm-1 i vm-2 w sieci wirtualnej:

1. W portalu wyszukaj i wybierz pozycję Maszyny wirtualne.

2. W obszarze Maszyny wirtualne wybierz pozycję + Utwórz, a następnie wybierz pozycję Maszyna wirtualna platformy Azure.

3. Na karcie Podstawy tworzenia maszyny wirtualnej wprowadź lub wybierz następujące informacje:

   Ustawienia	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz swoją subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Nazwa maszyny wirtualnej	Wprowadź vm-1.
   Rejon	Wybierz East US 2.
   Opcje dostępności	Wybierz pozycję Brak wymaganej nadmiarowości infrastruktury.
   Typ zabezpieczeń	Pozostaw wartość domyślną standardu.
   Obraz	Wybierz pozycję Ubuntu Server 22.04 LTS — x64 Gen2.
   Architektura maszyny wirtualnej	Pozostaw wartość domyślną x64.
   Rozmiar	Wybierz rozmiar.
   Konto administratora
   Typ uwierzytelniania	Wybierz Hasło.
   Nazwa użytkownika	Wprowadź azureuser.
   Hasło	Wprowadź hasło.
   Potwierdź hasło	Wprowadź ponownie hasło.
   Reguły portów przychodzących
   Publiczne porty ruchu przychodzącego	Wybierz pozycję Brak.

4. Wybierz kartę Sieć . Wprowadź lub wybierz następujące informacje:

   Ustawienia	Wartość
   Interfejs sieciowy
   Sieć wirtualna	Wybierz pozycję vnet-1.
   Podsieć	Wybierz podsieć-1 (10.0.0.0/24).
   Publiczny adres IP	Wybierz pozycję Brak.
   Grupa zabezpieczeń sieciowych NIC	Wybierz pozycję Zaawansowane.
   Konfigurowanie sieciowej grupy zabezpieczeń	Wybierz pozycję Utwórz nową. Wprowadź nsg-1 jako nazwę. Pozostaw wartości domyślne pozostałych i wybierz przycisk OK.

5. Pozostaw pozostałe ustawienia domyślne i wybierz pozycję Przejrzyj i utwórz.

6. Przejrzyj ustawienia i wybierz pozycję Utwórz.

7. Poczekaj na wdrożenie pierwszej maszyny wirtualnej, a następnie powtórz poprzednie kroki, aby utworzyć drugą maszynę wirtualną z następującymi ustawieniami:

   Ustawienia	Wartość
   Nazwa maszyny wirtualnej	Wprowadź vm-2.
   Sieć wirtualna	Wybierz pozycję vnet-1.
   Podsieć	Wybierz podsieć-1 (10.0.0.0/24).
   Publiczny adres IP	Wybierz pozycję Brak.
   Grupa zabezpieczeń sieciowych NIC	Wybierz pozycję Zaawansowane.
   Konfigurowanie sieciowej grupy zabezpieczeń	Wybierz pozycję nsg-1.

Uwaga / Notatka

Maszyny wirtualne w sieci wirtualnej z hostem usługi Azure Bastion nie wymagają publicznych adresów IP. Usługa Bastion udostępnia publiczny adres IP, a maszyny wirtualne używają prywatnych adresów IP do komunikacji w sieci. Publiczne adresy IP można usunąć ze wszystkich maszyn wirtualnych w sieciach wirtualnych hostowanych w usłudze Bastion. Aby uzyskać więcej informacji, zobacz Usuwanie skojarzenia publicznego adresu IP z maszyny wirtualnej Azure.

Uwaga / Notatka

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:

• Publiczny adres IP jest przypisywany do maszyny wirtualnej.
• Maszyna wirtualna (VM) jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia, z regułami wychodzącymi lub bez nich.
• Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

PowerShell

Tworzenie grupy zasobów

Użyj New-AzResourceGroup, aby utworzyć grupę zasobów do hostowania sieci wirtualnej. Uruchom następujący kod, aby utworzyć grupę zasobów o nazwie test-rg w regionie platformy Azure eastus2 :

$rg = @{
    Name = 'test-rg'
    Location = 'eastus2'
}
New-AzResourceGroup @rg

Utwórz wirtualną sieć

1. Użyj New-AzVirtualNetwork, aby utworzyć sieć wirtualną o nazwie vnet-1 z prefiksem adresu IP 10.0.0.0/16 w grupie zasobów test-rg i lokalizacji eastus2 :

   $vnet = @{
       Name = 'vnet-1'
       ResourceGroupName = 'test-rg'
       Location = 'eastus2'
       AddressPrefix = '10.0.0.0/16'
   }
   $virtualNetwork = New-AzVirtualNetwork @vnet
   

2. Azure wdraża zasoby do podsieci w sieci wirtualnej. Użyj polecenia Add-AzVirtualNetworkSubnetConfig , aby utworzyć konfigurację podsieci o nazwie subnet-1 z prefiksem adresu 10.0.0.0/24:

   $subnet = @{
       Name = 'subnet-1'
       VirtualNetwork = $virtualNetwork
       AddressPrefix = '10.0.0.0/24'
   }
   $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
   

3. Skojarz konfigurację podsieci z siecią wirtualną przy użyciu polecenia Set-AzVirtualNetwork:

   $virtualNetwork | Set-AzVirtualNetwork
   

Wdrażanie usługi Azure Bastion

Usługa Azure Bastion używa przeglądarki do łączenia się z maszynami wirtualnymi w sieci wirtualnej za pośrednictwem protokołu Secure Shell (SSH) lub protokołu RDP (Remote Desktop Protocol) przy użyciu ich prywatnych adresów IP. Maszyny wirtualne nie potrzebują publicznych adresów IP, oprogramowania klienckiego ani specjalnej konfiguracji. Aby uzyskać więcej informacji na temat usługi Bastion, zobacz Co to jest usługa Azure Bastion?.

Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu jego używania.

1. Skonfiguruj podsieć bastionu dla sieci wirtualnej. Ta podsieć jest zarezerwowana wyłącznie dla zasobów usługi Bastion i musi mieć nazwę AzureBastionSubnet.

   $subnet = @{
       Name = 'AzureBastionSubnet'
       VirtualNetwork = $virtualNetwork
       AddressPrefix = '10.0.1.0/26'
   }
   $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
   

2. Ustaw konfigurację:

   $virtualNetwork | Set-AzVirtualNetwork
   

3. Utwórz publiczny adres IP dla usługi Bastion. Host usługi Bastion używa publicznego adresu IP do uzyskiwania dostępu do protokołu SSH i protokołu RDP za pośrednictwem portu 443.

   $ip = @{
           ResourceGroupName = 'test-rg'
           Name = 'public-ip'
           Location = 'eastus2'
           AllocationMethod = 'Static'
           Sku = 'Standard'
           Zone = 1,2,3
   }
   New-AzPublicIpAddress @ip
   

4. Użyj polecenia New-AzBastion, aby utworzyć nowego hosta Bastion o jednostce SKU Standard w AzureBastionSubnet:

   $bastion = @{
       Name = 'bastion'
       ResourceGroupName = 'test-rg'
       PublicIpAddressRgName = 'test-rg'
       PublicIpAddressName = 'public-ip'
       VirtualNetworkRgName = 'test-rg'
       VirtualNetworkName = 'vnet-1'
       Sku = 'Basic'
   }
   New-AzBastion @bastion
   

Wdrożenie zasobów usługi Bastion trwa około 10 minut. Maszyny wirtualne można utworzyć w następnej sekcji podczas wdrażania usługi Bastion w sieci wirtualnej.

Tworzenie maszyn wirtualnych

Użyj New-AzVM, aby utworzyć dwie maszyny wirtualne o nazwie vm-1 i vm-2 w podsieci-1 sieci wirtualnej. Po wyświetleniu monitu o podanie poświadczeń wprowadź nazwy użytkownika i hasła dla maszyn wirtualnych.

1. Aby utworzyć pierwszą maszynę wirtualną, użyj następującego kodu:

   # Set the administrator and password for the VM. ##
   $cred = Get-Credential
   
   ## Place the virtual network into a variable. ##
   $vnet = Get-AzVirtualNetwork -Name 'vnet-1' -ResourceGroupName 'test-rg'
   
   ## Create a network interface for the VM. ##
   $nic = @{
       Name = "nic-1"
       ResourceGroupName = 'test-rg'
       Location = 'eastus2'
       Subnet = $vnet.Subnets[0]
   }
   $nicVM = New-AzNetworkInterface @nic
   
   ## Create a virtual machine configuration. ##
   $vmsz = @{
       VMName = "vm-1"
       VMSize = 'Standard_DS1_v2'  
   }
   $vmos = @{
       ComputerName = "vm-1"
       Credential = $cred
   }
   $vmimage = @{
       PublisherName = 'Canonical'
       Offer = '0001-com-ubuntu-server-jammy'
       Skus = '22_04-lts-gen2'
       Version = 'latest'    
   }
   $vmConfig = New-AzVMConfig @vmsz `
       | Set-AzVMOperatingSystem @vmos -Linux `
       | Set-AzVMSourceImage @vmimage `
       | Add-AzVMNetworkInterface -Id $nicVM.Id
   
   ## Create the VM. ##
   $vm = @{
       ResourceGroupName = 'test-rg'
       Location = 'eastus2'
       VM = $vmConfig
   }
   New-AzVM @vm
   

2. Aby utworzyć drugą maszynę wirtualną, użyj następującego kodu:

   # Set the administrator and password for the VM. ##
   $cred = Get-Credential
   
   ## Place the virtual network into a variable. ##
   $vnet = Get-AzVirtualNetwork -Name 'vnet-1' -ResourceGroupName 'test-rg'
   
   ## Create a network interface for the VM. ##
   $nic = @{
       Name = "nic-2"
       ResourceGroupName = 'test-rg'
       Location = 'eastus2'
       Subnet = $vnet.Subnets[0]
   }
   $nicVM = New-AzNetworkInterface @nic
   
   ## Create a virtual machine configuration. ##
   $vmsz = @{
       VMName = "vm-2"
       VMSize = 'Standard_DS1_v2'  
   }
   $vmos = @{
       ComputerName = "vm-2"
       Credential = $cred
   }
   $vmimage = @{
       PublisherName = 'Canonical'
       Offer = '0001-com-ubuntu-server-jammy'
       Skus = '22_04-lts-gen2'
       Version = 'latest'    
   }
   $vmConfig = New-AzVMConfig @vmsz `
       | Set-AzVMOperatingSystem @vmos -Linux `
       | Set-AzVMSourceImage @vmimage `
       | Add-AzVMNetworkInterface -Id $nicVM.Id
   
   ## Create the VM. ##
   $vm = @{
       ResourceGroupName = 'test-rg'
       Location = 'eastus2'
       VM = $vmConfig
   }
   New-AzVM @vm
   

Wskazówka

Możesz użyć -AsJob opcji , aby utworzyć maszynę wirtualną w tle podczas wykonywania innych zadań. Na przykład uruchom New-AzVM @vm1 -AsJob. Gdy platforma Azure zacznie tworzyć maszynę wirtualną w tle, otrzymujesz dane wyjściowe podobne do następujących:

Id     Name            PSJobTypeName   State         HasMoreData     Location             Command
--     ----            -------------   -----         -----------     --------             -------
1      Long Running... AzureLongRun... Running       True            localhost            New-AzVM

Utworzenie maszyn wirtualnych na platformie Azure zajmuje kilka minut. Po zakończeniu tworzenia maszyn wirtualnych platforma Azure zwraca dane wyjściowe do programu PowerShell.

Uwaga / Notatka

Maszyny wirtualne w sieci wirtualnej z hostem usługi Bastion nie wymagają publicznych adresów IP. Usługa Bastion udostępnia publiczny adres IP, a maszyny wirtualne używają prywatnych adresów IP do komunikacji w sieci. Publiczne adresy IP można usunąć ze wszystkich maszyn wirtualnych w sieciach wirtualnych hostowanych w usłudze Bastion. Aby uzyskać więcej informacji, zobacz Usuwanie skojarzenia publicznego adresu IP z maszyny wirtualnej Azure.

Uwaga / Notatka

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:

• Publiczny adres IP jest przypisywany do maszyny wirtualnej.
• Maszyna wirtualna (VM) jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia, z regułami wychodzącymi lub bez nich.
• Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

CLI

Tworzenie grupy zasobów

Użyj az group create do utworzenia grupy zasobów do hostowania sieci wirtualnej. Użyj następującego kodu, aby utworzyć grupę zasobów o nazwie test-rg w regionie platformy Azure eastus2 :

az group create \
    --name test-rg \
    --location eastus2

Tworzenie sieci wirtualnej i podsieci

Użyj az network vnet create aby utworzyć sieć wirtualną o nazwie vnet-1, z podsiecią o nazwie subnet-1 w grupie zasobów test-rg.

az network vnet create \
    --name vnet-1 \
    --resource-group test-rg \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Wdrażanie usługi Azure Bastion

Usługa Azure Bastion używa przeglądarki do łączenia się z maszynami wirtualnymi w sieci wirtualnej za pośrednictwem protokołu Secure Shell (SSH) lub protokołu RDP (Remote Desktop Protocol) przy użyciu ich prywatnych adresów IP. Maszyny wirtualne nie potrzebują publicznych adresów IP, oprogramowania klienckiego ani specjalnej konfiguracji.

Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu jego używania. Aby uzyskać więcej informacji na temat usługi Bastion, zobacz Co to jest usługa Azure Bastion?.

1. Użyj az network vnet subnet create, aby utworzyć podsieć Bastion dla sieci wirtualnej. Ta podsieć jest zarezerwowana wyłącznie dla zasobów usługi Bastion i musi mieć nazwę AzureBastionSubnet.

   az network vnet subnet create \
       --name AzureBastionSubnet \
       --resource-group test-rg \
       --vnet-name vnet-1 \
       --address-prefix 10.0.1.0/26
   

2. Utwórz publiczny adres IP dla usługi Bastion. Ten adres IP służy do nawiązywania połączenia z hostem usługi Bastion z Internetu. Użyj az network public-ip create, aby utworzyć publiczny adres IP o nazwie public-ip w grupie zasobów test-rg:

   az network public-ip create \
       --resource-group test-rg \
       --name public-ip \
       --sku Standard \
       --location eastus2 \
       --zone 1 2 3
   

3. Użyj az network bastion create, aby utworzyć hosta Bastion w AzureBastionSubnet dla swojej sieci wirtualnej.

   az network bastion create \
       --name bastion \
       --public-ip-address public-ip \
       --resource-group test-rg \
       --vnet-name vnet-1 \
       --location eastus2
   

Wdrożenie zasobów usługi Bastion trwa około 10 minut. Maszyny wirtualne można utworzyć w następnej sekcji podczas wdrażania usługi Bastion w sieci wirtualnej.

Tworzenie maszyn wirtualnych

Użyj az vm create, aby utworzyć dwie maszyny wirtualne o nazwie vm-1 i vm-2 w podsieci o nazwie subnet-1 sieci wirtualnej. Po wyświetleniu monitu o poświadczenia wprowadź nazwy użytkowników i hasła dla maszyn wirtualnych.

1. Aby utworzyć pierwszą maszynę wirtualną, użyj następującego polecenia:

   az vm create \
       --resource-group test-rg \
       --admin-username azureuser \
       --authentication-type password \
       --name vm-1 \
       --image Ubuntu2204 \
       --public-ip-address ""
   

2. Aby utworzyć drugą maszynę wirtualną, użyj następującego polecenia:

   az vm create \
       --resource-group test-rg \
       --admin-username azureuser \
       --authentication-type password \
       --name vm-2 \
       --image Ubuntu2204 \
       --public-ip-address ""
   

Wskazówka

Możesz również użyć --no-wait opcji , aby utworzyć maszynę wirtualną w tle podczas wykonywania innych zadań.

Proces tworzenia maszyny wirtualnej może potrwać kilka minut. Po utworzeniu każdej maszyny wirtualnej przez platformę Azure interfejs wiersza polecenia platformy Azure zwraca dane wyjściowe podobne do następującego komunikatu:

    {
      "fqdns": "",
      "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/test-rg/providers/Microsoft.Compute/virtualMachines/vm-2",
      "location": "eastus2",
      "macAddress": "00-0D-3A-23-9A-49",
      "powerState": "VM running",
      "privateIpAddress": "10.0.0.5",
      "publicIpAddress": "",
      "resourceGroup": "test-rg"
      "zones": ""
    }

Uwaga / Notatka

Maszyny wirtualne w sieci wirtualnej z hostem usługi Bastion nie wymagają publicznych adresów IP. Usługa Bastion udostępnia publiczny adres IP, a maszyny wirtualne używają prywatnych adresów IP do komunikacji w sieci. Publiczne adresy IP można usunąć ze wszystkich maszyn wirtualnych w sieciach wirtualnych hostowanych w usłudze Bastion. Aby uzyskać więcej informacji, zobacz Usuwanie skojarzenia publicznego adresu IP z maszyny wirtualnej Azure.

Uwaga / Notatka

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:

• Publiczny adres IP jest przypisywany do maszyny wirtualnej.
• Maszyna wirtualna (VM) jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia, z regułami wychodzącymi lub bez nich.
• Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

RAMIĘ

Przegląd szablonu

Szablon używany w tym przewodniku szybkiego startu pochodzi z Azure Quickstart Templates.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.6.18.56646",
      "templateHash": "10806234693722113459"
    }
  },
  "parameters": {
    "vnetName": {
      "type": "string",
      "defaultValue": "VNet1",
      "metadata": {
        "description": "VNet name"
      }
    },
    "vnetAddressPrefix": {
      "type": "string",
      "defaultValue": "10.0.0.0/16",
      "metadata": {
        "description": "Address prefix"
      }
    },
    "subnet1Prefix": {
      "type": "string",
      "defaultValue": "10.0.0.0/24",
      "metadata": {
        "description": "Subnet 1 Prefix"
      }
    },
    "subnet1Name": {
      "type": "string",
      "defaultValue": "Subnet1",
      "metadata": {
        "description": "Subnet 1 Name"
      }
    },
    "subnet2Prefix": {
      "type": "string",
      "defaultValue": "10.0.1.0/24",
      "metadata": {
        "description": "Subnet 2 Prefix"
      }
    },
    "subnet2Name": {
      "type": "string",
      "defaultValue": "Subnet2",
      "metadata": {
        "description": "Subnet 2 Name"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2021-08-01",
      "name": "[parameters('vnetName')]",
      "location": "[parameters('location')]",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('subnet1Name')]",
            "properties": {
              "addressPrefix": "[parameters('subnet1Prefix')]"
            }
          },
          {
            "name": "[parameters('subnet2Name')]",
            "properties": {
              "addressPrefix": "[parameters('subnet2Prefix')]"
            }
          }
        ]
      }
    }
  ]
}

Szablon definiuje następujące zasoby platformy Azure:

• Microsoft.Network/virtualNetworks: tworzenie sieci wirtualnej.
• Microsoft.Network/virtualNetworks/subnets: Utwórz podsieć.

Wdrażanie szablonu

Wdróż szablon usługi Resource Manager na platformie Azure:

1. Wybierz pozycję Wdróż na platformie Azure, aby zalogować się na platformie Azure i otworzyć szablon. Szablon tworzy sieć wirtualną z dwiema podsieciami.

   

2. W portalu na stronie Tworzenie sieci wirtualnej z dwiema podsieciami wprowadź lub wybierz następujące wartości:

   • Grupa zasobów: wybierz pozycję Utwórz nową, wprowadź wartość CreateVNetQS-rg jako nazwę grupy zasobów, a następnie wybierz przycisk OK.
   • Nazwa sieci wirtualnej: wprowadź nazwę nowej sieci wirtualnej.

3. Wybierz Przejrzyj i utwórz, a następnie wybierz Utwórz.

4. Po zakończeniu wdrażania wybierz przycisk Przejdź do zasobu , aby przejrzeć wdrożone zasoby.

Przeglądanie wdrożonych zasobów

Zapoznaj się z zasobami utworzonymi za pomocą sieci wirtualnej, przeglądając okienka ustawień dla sieci VNet1:

• Karta Przegląd zawiera zdefiniowaną przestrzeń adresową 10.0.0.0/16.

• Karta "Podsieci" zawiera wdrożone podsieci Subnet1 i Subnet2 z odpowiednimi wartościami z szablonu.

Aby dowiedzieć się więcej o składni i właściwościach JSON dla sieci wirtualnej w szablonie, zobacz Microsoft.Network/virtualNetworks.

Biceps

Tworzenie sieci wirtualnej i maszyn wirtualnych

Ten przewodnik szybkiego startu używa szablonu Bicep dwóch maszyn wirtualnych w VNET z szablonów szybkiego startu usługi Azure Resource Manager do utworzenia sieci wirtualnej, podsieci zasobów i maszyn wirtualnych. Szablon Bicep definiuje następujące zasoby platformy Azure:

• Microsoft.Network virtualNetworks: tworzy sieć wirtualną platformy Azure.
• Microsoft.Network virtualNetworks/subnets: tworzy podsieć dla maszyn wirtualnych.
• Microsoft.Compute virtualMachines: tworzy maszyny wirtualne.
• Microsoft.Compute availabilitySets: tworzy zestaw dostępności.
• Microsoft.NetworkInterfaces: tworzy interfejsy sieciowe.
• Microsoft.Network loadBalancers: tworzy wewnętrzny moduł równoważenia obciążenia.
• Microsoft.Storage storageAccounts: tworzy konto magazynowe.

Przejrzyj plik Bicep:

@description('Admin username')
param adminUsername string

@description('Admin password')
@secure()
param adminPassword string

@description('Prefix to use for VM names')
param vmNamePrefix string = 'BackendVM'

@description('Location for all resources.')
param location string = resourceGroup().location

@description('Size of the virtual machines')
param vmSize string = 'Standard_D2s_v3'

var availabilitySetName = 'AvSet'
var storageAccountType = 'Standard_LRS'
var storageAccountName = uniqueString(resourceGroup().id)
var virtualNetworkName = 'vNet'
var subnetName = 'backendSubnet'
var loadBalancerName = 'ilb'
var networkInterfaceName = 'nic'
var subnetRef = resourceId('Microsoft.Network/virtualNetworks/subnets', virtualNetworkName, subnetName)
var numberOfInstances = 2

resource storageAccount 'Microsoft.Storage/storageAccounts@2023-01-01' = {
  name: storageAccountName
  location: location
  sku: {
    name: storageAccountType
  }
  kind: 'StorageV2'
}

resource availabilitySet 'Microsoft.Compute/availabilitySets@2023-09-01' = {
  name: availabilitySetName
  location: location
  sku: {
    name: 'Aligned'
  }
  properties: {
    platformUpdateDomainCount: 2
    platformFaultDomainCount: 2
  }
}

resource virtualNetwork 'Microsoft.Network/virtualNetworks@2023-09-01' = {
  name: virtualNetworkName
  location: location
  properties: {
    addressSpace: {
      addressPrefixes: [
        '10.0.0.0/16'
      ]
    }
    subnets: [
      {
        name: subnetName
        properties: {
          addressPrefix: '10.0.2.0/24'
        }
      }
    ]
  }
}

resource networkInterface 'Microsoft.Network/networkInterfaces@2023-09-01' = [for i in range(0, numberOfInstances): {
  name: '${networkInterfaceName}${i}'
  location: location
  properties: {
    ipConfigurations: [
      {
        name: 'ipconfig1'
        properties: {
          privateIPAllocationMethod: 'Dynamic'
          subnet: {
            id: subnetRef
          }
          loadBalancerBackendAddressPools: [
            {
              id: resourceId('Microsoft.Network/loadBalancers/backendAddressPools', loadBalancerName, 'BackendPool1')
            }
          ]
        }
      }
    ]
  }
  dependsOn: [
    virtualNetwork
    loadBalancer
  ]
}]

resource loadBalancer 'Microsoft.Network/loadBalancers@2023-09-01' = {
  name: loadBalancerName
  location: location
  sku: {
    name: 'Standard'
  }
  properties: {
    frontendIPConfigurations: [
      {
        properties: {
          subnet: {
            id: subnetRef
          }
          privateIPAddress: '10.0.2.6'
          privateIPAllocationMethod: 'Static'
        }
        name: 'LoadBalancerFrontend'
      }
    ]
    backendAddressPools: [
      {
        name: 'BackendPool1'
      }
    ]
    loadBalancingRules: [
      {
        properties: {
          frontendIPConfiguration: {
            id: resourceId('Microsoft.Network/loadBalancers/frontendIpConfigurations', loadBalancerName, 'LoadBalancerFrontend')
          }
          backendAddressPool: {
            id: resourceId('Microsoft.Network/loadBalancers/backendAddressPools', loadBalancerName, 'BackendPool1')
          }
          probe: {
            id: resourceId('Microsoft.Network/loadBalancers/probes', loadBalancerName, 'lbprobe')
          }
          protocol: 'Tcp'
          frontendPort: 80
          backendPort: 80
          idleTimeoutInMinutes: 15
        }
        name: 'lbrule'
      }
    ]
    probes: [
      {
        properties: {
          protocol: 'Tcp'
          port: 80
          intervalInSeconds: 15
          numberOfProbes: 2
        }
        name: 'lbprobe'
      }
    ]
  }
  dependsOn: [
    virtualNetwork
  ]
}

resource vm 'Microsoft.Compute/virtualMachines@2023-09-01' = [for i in range(0, numberOfInstances): {
  name: '${vmNamePrefix}${i}'
  location: location
  properties: {
    availabilitySet: {
      id: availabilitySet.id
    }
    hardwareProfile: {
      vmSize: vmSize
    }
    osProfile: {
      computerName: '${vmNamePrefix}${i}'
      adminUsername: adminUsername
      adminPassword: adminPassword
    }
    storageProfile: {
      imageReference: {
        publisher: 'MicrosoftWindowsServer'
        offer: 'WindowsServer'
        sku: '2019-Datacenter'
        version: 'latest'
      }
      osDisk: {
        createOption: 'FromImage'
      }
    }
    networkProfile: {
      networkInterfaces: [
        {
          id: networkInterface[i].id
        }
      ]
    }
    diagnosticsProfile: {
      bootDiagnostics: {
        enabled: true
        storageUri: storageAccount.properties.primaryEndpoints.blob
      }
    }
  }
}]

output location string = location
output name string = loadBalancer.name
output resourceGroupName string = resourceGroup().name
output resourceId string = loadBalancer.id

Wdrażanie szablonu Bicep

1. Zapisz plik Bicep na komputerze lokalnym jako main.bicep.

2. Wdróż plik Bicep przy użyciu interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell:

   Interfejs Linii Komend (CLI)

   az group create \
       --name TestRG \
       --location eastus
   
   az deployment group create \
       --resource-group TestRG \
       --template-file main.bicep
   

   PowerShell

    $rgParams = @{
        Name     = 'TestRG'
        Location = 'eastus'
    }
    New-AzResourceGroup @rgParams
   
    $deploymentParams = @{
        ResourceGroupName = 'TestRG'
        TemplateFile      = 'main.bicep'
    }
    New-AzResourceGroupDeployment @deploymentParams
   

Po zakończeniu wdrażania zostanie wyświetlony komunikat informujący o tym, że wdrożenie zakończyło się pomyślnie.

Wdrażanie usługi Azure Bastion

Usługa Bastion używa przeglądarki do łączenia się z maszynami wirtualnymi w sieci wirtualnej za pośrednictwem protokołu Secure Shell (SSH) lub protokołu RDP (Remote Desktop Protocol) przy użyciu prywatnych adresów IP. Maszyny wirtualne nie potrzebują publicznych adresów IP, oprogramowania klienckiego ani specjalnej konfiguracji. Aby uzyskać więcej informacji na temat usługi Bastion, zobacz Co to jest usługa Azure Bastion?.

Uwaga / Notatka

Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu jego używania.

Użyj szablonu Azure Bastion as a Service Bicep z szablonów szybkiego startu usługi Azure Resource Manager , aby wdrożyć i skonfigurować usługę Bastion w sieci wirtualnej. Ten szablon Bicep definiuje następujące zasoby platformy Azure:

• Microsoft.Network virtualNetworks/subnets: tworzy podsieć AzureBastionSubnet .
• Microsoft.Network bastionHosts: tworzy hosta usługi Bastion.
• Microsoft.Network publicIPAddresses: tworzy publiczny adres IP hosta usługi Bastion.
• Microsoft NetworkSecurityGroups: kontroluje ustawienia sieciowych grup zabezpieczeń.

Przejrzyj plik Bicep:

@description('Name of new or existing vnet to which Azure Bastion should be deployed')
param vnetName string = 'vnet01'

@description('IP prefix for available addresses in vnet address space')
param vnetIpPrefix string = '10.1.0.0/16'

@description('Specify whether to provision new vnet or deploy to existing vnet')
@allowed([
  'new'
  'existing'
])
param vnetNewOrExisting string = 'new'

@description('Bastion subnet IP prefix MUST be within vnet IP prefix address space')
param bastionSubnetIpPrefix string = '10.1.1.0/26'

@description('Name of Azure Bastion resource')
param bastionHostName string

@description('Azure region for Bastion and virtual network')
param location string = resourceGroup().location

var publicIpAddressName = '${bastionHostName}-pip'
var bastionSubnetName = 'AzureBastionSubnet'

resource publicIp 'Microsoft.Network/publicIPAddresses@2022-01-01' = {
  name: publicIpAddressName
  location: location
  sku: {
    name: 'Standard'
  }
  properties: {
    publicIPAllocationMethod: 'Static'
  }
}

// if vnetNewOrExisting == 'new', create a new vnet and subnet
resource newVirtualNetwork 'Microsoft.Network/virtualNetworks@2022-01-01' = if (vnetNewOrExisting == 'new') {
  name: vnetName
  location: location
  properties: {
    addressSpace: {
      addressPrefixes: [
        vnetIpPrefix
      ]
    }
    subnets: [
      {
        name: bastionSubnetName
        properties: {
          addressPrefix: bastionSubnetIpPrefix
        }
      }
    ]
  }
}

// if vnetNewOrExisting == 'existing', reference an existing vnet and create a new subnet under it
resource existingVirtualNetwork 'Microsoft.Network/virtualNetworks@2022-01-01' existing = if (vnetNewOrExisting == 'existing') {
  name: vnetName
}
resource subnet 'Microsoft.Network/virtualNetworks/subnets@2022-01-01' = if (vnetNewOrExisting == 'existing') {
  parent: existingVirtualNetwork
  name: bastionSubnetName
  properties: {
    addressPrefix: bastionSubnetIpPrefix
  }
}

resource bastionHost 'Microsoft.Network/bastionHosts@2022-01-01' = {
  name: bastionHostName
  location: location
  dependsOn: [
    newVirtualNetwork
    existingVirtualNetwork
  ]
  properties: {
    ipConfigurations: [
      {
        name: 'IpConf'
        properties: {
          subnet: {
            id: subnet.id
          }
          publicIPAddress: {
            id: publicIp.id
          }
        }
      }
    ]
  }
}

Wdrażanie szablonu Bicep

1. Zapisz plik Bicep na komputerze lokalnym jako bastion.bicep.

2. Użyj tekstu lub edytora kodu, aby wprowadzić następujące zmiany w pliku:

   • Zmień param vnetName string z 'vnet01' na 'VNet'.
   • Wiersz 5: Zmień param vnetIpPrefix string z '10.1.0.0/16' na '10.0.0.0/16'.
   • Wiersz 12: Zmień param vnetNewOrExisting string z 'new' na 'existing'.
   • Wiersz 15: Zmień param bastionSubnetIpPrefix string z '10.1.1.0/26' na '10.0.1.0/26'.
   • Wiersz 18: Zmień param bastionHostName string na param bastionHostName = 'VNet-bastion'.

   Pierwsze 18 wierszy pliku Bicep powinno teraz wyglądać następująco:

   @description('Name of new or existing vnet to which Azure Bastion should be deployed')
   param vnetName string = 'VNet'
   
   @description('IP prefix for available addresses in vnet address space')
   param vnetIpPrefix string = '10.0.0.0/16'
   
   @description('Specify whether to provision new vnet or deploy to existing vnet')
   @allowed([
     'new'
     'existing'
   ])
   param vnetNewOrExisting string = 'existing'
   
   @description('Bastion subnet IP prefix MUST be within vnet IP prefix address space')
   param bastionSubnetIpPrefix string = '10.0.1.0/26'
   
   @description('Name of Azure Bastion resource')
   param bastionHostName = 'VNet-bastion'
   
   

3. Zapisz plik bastion.bicep .

4. Wdróż plik Bicep przy użyciu interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell:

   Interfejs Linii Komend (CLI)

   az deployment group create \
        --resource-group TestRG \
        --template-file bastion.bicep
   

   PowerShell

   $deploymentParams = @{
       ResourceGroupName = 'TestRG'
       TemplateFile      = 'bastion.bicep'
   }
   New-AzResourceGroupDeployment @deploymentParams
   

Po zakończeniu wdrażania zostanie wyświetlony komunikat informujący o tym, że wdrożenie zakończyło się pomyślnie.

Uwaga / Notatka

Maszyny wirtualne w sieci wirtualnej z hostem usługi Bastion nie wymagają publicznych adresów IP. Usługa Bastion udostępnia publiczny adres IP, a maszyny wirtualne używają prywatnych adresów IP do komunikacji w sieci. Publiczne adresy IP można usunąć ze wszystkich maszyn wirtualnych w sieciach wirtualnych hostowanych w usłudze Bastion. Aby uzyskać więcej informacji, zobacz Usuwanie skojarzenia publicznego adresu IP z maszyny wirtualnej Azure.

Przeglądanie wdrożonych zasobów

Użyj interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell lub witryny Azure Portal, aby przejrzeć wdrożone zasoby:

Interfejs Linii Komend (CLI)

az resource list --resource-group TestRG

PowerShell

Get-AzResource -ResourceGroupName TestRG

Portal

1. W witrynie Azure Portal wyszukaj i wybierz grupy zasobów. Na stronie Grupy zasobów wybierz pozycję TestRG z listy grup zasobów.

2. Na stronie Przegląd grupy TestRG przejrzyj wszystkie utworzone zasoby, w tym sieć wirtualną, dwie maszyny wirtualne i host usługi Bastion.

3. Wybierz sieć wirtualną VNet. Na stronie Przegląd sieci wirtualnej zanotuj zdefiniowaną przestrzeń adresową 10.0.0.0/16.

4. W menu po lewej stronie wybierz pozycję Podsieci. Na stronie Podsieci zanotuj wdrożone podsieci backendSubnet i AzureBastionSubnet wraz z przypisanymi wartościami z plików Bicep.

Terraform

Skrypt używa dostawcy usługi Azure Resource Manager (azurerm) do interakcji z zasobami platformy Azure. Używa on dostawcy Random (random) do generowania losowych nazw zwierząt domowych dla zasobów.

Skrypt tworzy następujące zasoby:

• Grupa zasobów: kontener, który zawiera powiązane zasoby dla rozwiązania platformy Azure.

• Sieć wirtualna: podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure.

• Dwie podsieci: Segmenty zakresu adresów IP sieci wirtualnej, w których można umieszczać grupy izolowanych zasobów.

Narzędzie Terraform umożliwia definiowanie, wyświetlanie wersji zapoznawczej i wdrażanie infrastruktury chmury. Za pomocą narzędzia Terraform tworzysz pliki konfiguracji przy użyciu składni HCL. Składnia listy HCL umożliwia określenie dostawcy chmury — takiego jak platforma Azure — oraz elementów tworzących infrastrukturę chmury. Po utworzeniu plików konfiguracji utworzysz plan wykonywania , który umożliwia wyświetlenie podglądu zmian infrastruktury przed ich wdrożeniem. Po zweryfikowaniu zmian należy zastosować plan wykonywania w celu wdrożenia infrastruktury.

Wdrożenie kodu Terraform

Uwaga / Notatka

Przykładowy kod tego artykułu znajduje się w repozytorium GitHub narzędzia Azure Terraform. Możesz wyświetlić plik dziennika zawierający wyniki testu z bieżących i poprzednich wersji programu Terraform.

Aby uzyskać więcej artykułów i przykładowego kodu pokazującego, jak zarządzać zasobami platformy Azure za pomocą narzędzia Terraform, zobacz stronę dokumentacji programu Terraform na platformie Azure.

1. Utwórz katalog, w którym chcesz przetestować i uruchomić przykładowy kod programu Terraform, i ustaw go jako bieżący katalog.

2. Utwórz plik o nazwie main.tf i wstaw następujący kod:

   # Resource Group
   resource "azurerm_resource_group" "rg" {
     location = var.resource_group_location
     name     = "${random_pet.prefix.id}-rg"
   }
   
   # Virtual Network
   resource "azurerm_virtual_network" "my_terraform_network" {
     name                = "${random_pet.prefix.id}-vnet"
     address_space       = ["10.0.0.0/16"]
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   }
   
   # Subnet 1
   resource "azurerm_subnet" "my_terraform_subnet_1" {
     name                 = "subnet-1"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.my_terraform_network.name
     address_prefixes     = ["10.0.0.0/24"]
   }
   
   # Subnet 2
   resource "azurerm_subnet" "my_terraform_subnet_2" {
     name                 = "subnet-2"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.my_terraform_network.name
     address_prefixes     = ["10.0.1.0/24"]
   }
   
   resource "random_pet" "prefix" {
     prefix = var.resource_group_name_prefix
     length = 1
   }
   

3. Utwórz plik o nazwie outputs.tf i wstaw następujący kod:

   output "resource_group_name" {
     description = "The name of the created resource group."
     value       = azurerm_resource_group.rg.name
   }
   
   output "virtual_network_name" {
     description = "The name of the created virtual network."
     value       = azurerm_virtual_network.my_terraform_network.name
   }
   
   output "subnet_name_1" {
     description = "The name of the created subnet 1."
     value       = azurerm_subnet.my_terraform_subnet_1.name
   }
   
   output "subnet_name_2" {
     description = "The name of the created subnet 2."
     value       = azurerm_subnet.my_terraform_subnet_2.name
   }
   

4. Utwórz plik o nazwie providers.tf i wstaw następujący kod:

   terraform {
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

5. Utwórz plik o nazwie variables.tf i wstaw następujący kod:

   variable "resource_group_location" {
     type        = string
     default     = "eastus"
     description = "Location of the resource group."
   }
   
   variable "resource_group_name_prefix" {
     type        = string
     default     = "rg"
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
   }
   

Inicjowanie narzędzia Terraform

Uruchom narzędzie terraform init, aby zainicjować wdrożenie narzędzia Terraform. Polecenie to pobiera dostawcę Azure wymaganego do zarządzania zasobami Azure.

terraform init -upgrade

Kluczowe punkty:

• Parametr -upgrade uaktualnia niezbędne wtyczki dostawcy do najnowszej wersji, która jest zgodna z ograniczeniami wersji konfiguracji.

Tworzenie planu wykonania programu Terraform

Uruchom terraform plan, aby utworzyć plan wykonania.

terraform plan -out main.tfplan

Kluczowe punkty:

• Polecenie terraform plan tworzy plan wykonania, ale nie wykonuje go. Zamiast tego, określa, jakie działania są niezbędne do stworzenia konfiguracji określonej w plikach konfiguracyjnych. Ten wzorzec pozwala Ci zweryfikować, czy plan wykonania spełnia Twoje oczekiwania, zanim wprowadzisz jakiekolwiek zmiany do rzeczywistych zasobów.
• Opcjonalny parametr -out pozwala określić plik wyjściowy dla planu. Użycie parametru -out zapewnia, że plan, który przejrzałeś, zostanie dokładnie zastosowany.

Zastosuj plan wykonawczy Terraform

Uruchom terraform apply, aby zastosować plan wykonania w twojej infrastrukturze chmurowej.

terraform apply main.tfplan

Kluczowe punkty:

• Przykładowe polecenie terraform apply zakłada, że wcześniej uruchomiono polecenie terraform plan -out main.tfplan.
• Jeśli podałeś inną nazwę pliku dla parametru -out, użyj tej samej nazwy pliku w wywołaniu terraform apply.
• Jeśli nie użyłeś parametru -out, wywołaj terraform apply bez żadnych parametrów.

Weryfikowanie wyników

1. Pobierz nazwę grupy zasobów platformy Azure:

   resource_group_name=$(terraform output -raw resource_group_name)
   

2. Pobierz nazwę sieci wirtualnej:

   virtual_network_name=$(terraform output -raw virtual_network_name)
   

3. Użyj az network vnet show polecenia , aby wyświetlić szczegóły nowo utworzonej sieci wirtualnej:

   az network vnet show \
       --resource-group $resource_group_name \
       --name $virtual_network_name
   

Rozwiązywanie problemów z programem Terraform na platformie Azure

Aby uzyskać informacje na temat rozwiązywania problemów z narzędziem Terraform, zobacz Rozwiązywanie typowych problemów podczas korzystania z programu Terraform na platformie Azure.

Nawiązywanie połączenia z maszyną wirtualną

1. W portalu wyszukaj i wybierz pozycję Maszyny wirtualne.

2. Na stronie Maszyny wirtualne wybierz pozycję vm-1.

3. W obszarze Podsumowanie dla vm-1 kliknij Połącz.

4. Na stronie Łączenie z maszyną wirtualną wybierz kartę Bastion .

5. Wybierz Użyj Bastion.

6. Wprowadź nazwę użytkownika i hasło utworzone podczas tworzenia maszyny wirtualnej, a następnie wybierz pozycję Połącz.

Rozpoczynanie komunikacji między maszynami wirtualnymi

1. W wierszu polecenia powłoki bash dla vm-1 wprowadź ping -c 4 vm-2.

   Otrzymasz odpowiedź podobną do następującej:

   azureuser@vm-1:~$ ping -c 4 vm-2
   PING vm-2.3bnkevn3313ujpr5l1kqop4n4d.cx.internal.cloudapp.net (10.0.0.5) 56(84) bytes of data.
   64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=1 ttl=64 time=1.83 ms
   64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=2 ttl=64 time=0.987 ms
   64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=3 ttl=64 time=0.864 ms
   64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=4 ttl=64 time=0.890 ms
   

2. Zamknij połączenie Bastion z vm-1.

3. Powtórz kroki opisane w temacie Nawiązywanie połączenia z maszyną wirtualną , aby nawiązać połączenie z maszyną wirtualną VM-2.

4. W wierszu polecenia powłoki bash dla vm-2 wpisz ping -c 4 vm-1.

   Otrzymasz odpowiedź podobną do następującej:

   azureuser@vm-2:~$ ping -c 4 vm-1
   PING vm-1.3bnkevn3313ujpr5l1kqop4n4d.cx.internal.cloudapp.net (10.0.0.4) 56(84) bytes of data.
   64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=1 ttl=64 time=0.695 ms
   64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=2 ttl=64 time=0.896 ms
   64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=3 ttl=64 time=3.43 ms
   64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=4 ttl=64 time=0.780 ms
   

5. Zamknij połączenie Bastion z vm-2.

Uprzątnij zasoby

Portal

Po zakończeniu korzystania z utworzonych zasobów możesz usunąć grupę zasobów i wszystkie jej zasoby.

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Grupy zasobów.

2. Na stronie Grupy zasobów wybierz grupę zasobów test-rg .

3. Na stronie test-rg wybierz pozycję Usuń grupę zasobów.

4. Wprowadź test-rg w polu Wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie, a następnie wybierz Usuń.

PowerShell

Po zakończeniu pracy z siecią wirtualną i maszynami wirtualnymi użyj polecenia Remove-AzResourceGroup , aby usunąć grupę zasobów i wszystkie jej zasoby:

$rgParams = @{
    Name = 'test-rg'
    Force = $true
}
Remove-AzResourceGroup @rgParams

CLI

Po zakończeniu pracy z siecią wirtualną i maszynami wirtualnymi, użyj az group delete, aby usunąć grupę zasobów i wszystkie jej zasoby.

az group delete \
    --name test-rg \
    --yes

RAMIĘ

Jeśli nie potrzebujesz już zasobów utworzonych za pomocą sieci wirtualnej, usuń grupę zasobów. Ta akcja powoduje usunięcie sieci wirtualnej i wszystkich powiązanych zasobów.

Aby usunąć grupę zasobów, wywołaj Remove-AzResourceGroup polecenie cmdlet:

Remove-AzResourceGroup -Name <your resource group name>

Biceps

1. W witrynie Azure Portal na stronie Grupy zasobów wybierz grupę zasobów TestRG .

2. W górnej części strony TestRG wybierz pozycję Usuń grupę zasobów.

3. Na stronie Usuwanie grupy zasobów w obszarze Wprowadź nazwę grupy zasobów w celu potwierdzenia usunięcia wprowadź TestRG, a następnie wybierz pozycję Usuń.

4. Ponownie wybierz pozycję Usuń .

Terraform

Jeśli zasoby utworzone za pomocą narzędzia Terraform nie są już potrzebne, wykonaj następujące czynności:

1. Uruchom terraform plan i określ flagę destroy.

   terraform plan -destroy -out main.destroy.tfplan
   

   Kluczowe punkty:

   • Polecenie terraform plan tworzy plan wykonania, ale nie wykonuje go. Zamiast tego, określa, jakie działania są niezbędne do stworzenia konfiguracji określonej w plikach konfiguracyjnych. Ten wzorzec pozwala Ci zweryfikować, czy plan wykonania spełnia Twoje oczekiwania, zanim wprowadzisz jakiekolwiek zmiany do rzeczywistych zasobów.
   • Opcjonalny parametr -out pozwala określić plik wyjściowy dla planu. Użycie parametru -out zapewnia, że plan, który przejrzałeś, zostanie dokładnie zastosowany.

2. Uruchom terraform apply, aby wgrać plan wykonania.

   terraform apply main.destroy.tfplan
   

Treści powiązane

• Filtrowanie ruchu sieciowego

• Dowiedz się więcej o korzystaniu z narzędzia Terraform na platformie Azure