Hızlı Başlangıç: Azure Güvenlik Duvarı'nı Kullanılabilirlik Alanlarıyla Dağıtma - Terraform

Bu hızlı başlangıçta Terraform kullanarak üç Kullanılabilirlik Alanına azure güvenlik duvarı dağıtacaksınız.

Terraform , bulut altyapısının tanımlanmasını, önizlemesini ve dağıtımını sağlar. Terraform kullanarak HCL söz dizimlerini kullanarak yapılandırma dosyaları oluşturursunuz. HCL söz dizimi, Azure gibi bulut sağlayıcısını ve bulut altyapınızı oluşturan öğeleri belirtmenize olanak tanır. Yapılandırma dosyalarınızı oluşturduktan sonra, altyapı değişikliklerinizin dağıtılmadan önce önizlemesini görüntülemenizi sağlayan bir yürütme planı oluşturursunuz. Değişiklikleri doğruladıktan sonra, altyapıyı dağıtmak için yürütme planını uygularsınız.

Terraform yapılandırması, güvenlik duvarıyla bir test ağı ortamı oluşturur. Ağda üç alt ağa sahip bir sanal ağ (VNet) vardır: AzureFirewallSubnet, subnet-server ve subnet-jump. Alt ağ-sunucu ve alt ağ atlama alt ağlarının her birinin tek bir iki çekirdekli Windows Server sanal makinesi vardır.

Güvenlik duvarı AzureFirewallSubnet alt ağındadır ve www.microsoft.com erişimine izin veren tek bir kural içeren bir uygulama kuralı koleksiyonuna sahiptir.

Kullanıcı tanımlı yol, güvenlik duvarı kurallarının uygulandığı güvenlik duvarı üzerinden alt ağ-sunucu alt ağından gelen ağ trafiğini yönlendirir.

Azure Güvenlik Duvarı hakkında daha fazla bilgi için bkz. Azure portalını kullanarak Azure Güvenlik Duvarı'nı dağıtma ve yapılandırma.

Bu makalede şunların nasıl yapılacağını öğreneceksiniz:

• random_pet kullanarak rastgele bir değer oluşturma (kaynak grubu adında kullanılacak)
• azurerm_resource_group kullanarak Azure kaynak grubu oluşturma
• azurerm_virtual_network kullanarak Azure Sanal Ağı oluşturma
• azurerm_subnet kullanarak üç Azure alt ağı oluşturma
• azurerm_public_ip kullanarak Azure genel IP'si oluşturma
• azurerm_firewall_policy kullanarak Azure Güvenlik Duvarı İlkesi oluşturma
• azurerm_firewall_policy_rule_collection_group kullanarak Azure Güvenlik Duvarı İlkesi Kuralı Koleksiyon Grubu oluşturma
• azurerm_firewall kullanarak Azure Güvenlik Duvarı oluşturma
• azurerm_network_interface kullanarak ağ arabirimi oluşturma
• azurerm_network_security_group kullanarak bir ağ güvenlik grubu (ağ güvenlik kurallarının listesini içerecek şekilde) oluşturma
• kullanarak ağ arabirimi ile ağ güvenlik grubu arasında bir ilişki oluşturma - azurerm_network_interface_security_group_association
• azurerm_route_table kullanarak yol tablosu oluşturma
• - azurerm_subnet_route_table_association kullanarak yönlendirme tablosu ile alt ağ arasında bir ilişki oluşturma
• random_string kullanarak rastgele bir değer (depolama adı olarak kullanılacak) oluşturma
• azurerm_storage_account kullanarak depolama hesabı oluşturma
• random_password kullanarak Windows VM için rastgele parola oluşturma
• azurerm_windows_virtual_machine kullanarak Azure Windows Sanal Makinesi oluşturma

Önkoşullar

• Terraform'u yükleme ve yapılandırma

Terraform kodunu uygulama

Uyarı

Bu makalenin örnek kodu Azure Terraform GitHub deposunda bulunur. Terraform'un geçerli ve önceki sürümlerinden test sonuçlarını içeren günlük dosyasını görüntüleyebilirsiniz.

Azure kaynaklarını yönetmek için Terraform'un nasıl kullanılacağını gösteren diğer makalelere ve örnek koda bakın

1. Örnek Terraform kodunu test etmek için bir dizin oluşturun ve bu dizini geçerli dizin olarak ayarlayın.

2. providers.tf adlı bir dosya oluşturun ve aşağıdaki kodu ekleyin:

   terraform {
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

3. main.tf adlı bir dosya oluşturun ve aşağıdaki kodu ekleyin:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "random_string" "storage_account_name" {
     length  = 8
     lower   = true
     numeric = false
     special = false
     upper   = false
   }
   
   resource "random_password" "password" {
     length      = 20
     min_lower   = 1
     min_upper   = 1
     min_numeric = 1
     min_special = 1
     special     = true
   }
   
   resource "azurerm_resource_group" "rg" {
     name     = random_pet.rg_name.id
     location = var.resource_group_location
   }
   
   resource "azurerm_public_ip" "pip_azfw" {
     name                = "pip-azfw"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     allocation_method   = "Static"
     sku                 = "Standard"
     zones               = ["1", "2", "3"]
   }
   
   resource "azurerm_storage_account" "sa" {
     name                     = random_string.storage_account_name.result
     resource_group_name      = azurerm_resource_group.rg.name
     location                 = azurerm_resource_group.rg.location
     account_tier             = "Standard"
     account_replication_type = "LRS"
     account_kind             = "StorageV2"
   }
   
   resource "azurerm_virtual_network" "azfw_vnet" {
     name                = "azfw-vnet"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     address_space       = ["10.10.0.0/16"]
   }
   
   resource "azurerm_subnet" "azfw_subnet" {
     name                 = "AzureFirewallSubnet"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.0.0/26"]
   }
   
   resource "azurerm_subnet" "server_subnet" {
     name                 = "subnet-server"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.1.0/24"]
   }
   
   resource "azurerm_subnet" "jump_subnet" {
     name                 = "subnet-jump"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.2.0/24"]
   }
   
   resource "azurerm_public_ip" "vm_jump_pip" {
     name                = "pip-jump"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     allocation_method   = "Static"
     sku                 = "Standard"
   }
   
   resource "azurerm_network_interface" "vm_server_nic" {
     name                = "nic-server"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   
     ip_configuration {
       name                          = "ipconfig-workload"
       subnet_id                     = azurerm_subnet.server_subnet.id
       private_ip_address_allocation = "Dynamic"
     }
   }
   
   resource "azurerm_network_interface" "vm_jump_nic" {
     name                = "nic-jump"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   
     ip_configuration {
       name                          = "ipconfig-jump"
       subnet_id                     = azurerm_subnet.jump_subnet.id
       private_ip_address_allocation = "Dynamic"
       public_ip_address_id          = azurerm_public_ip.vm_jump_pip.id
     }
   }
   
   resource "azurerm_network_security_group" "vm_server_nsg" {
     name                = "nsg-server"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   }
   
   resource "azurerm_network_security_group" "vm_jump_nsg" {
     name                = "nsg-jump"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     security_rule {
       name                       = "Allow-TCP"
       priority                   = 1000
       direction                  = "Inbound"
       access                     = "Allow"
       protocol                   = "Tcp"
       source_port_range          = "*"
       destination_port_range     = "3389"
       source_address_prefix      = "*"
       destination_address_prefix = "*"
     }
   }
   
   resource "azurerm_network_interface_security_group_association" "vm_server_nsg_association" {
     network_interface_id      = azurerm_network_interface.vm_server_nic.id
     network_security_group_id = azurerm_network_security_group.vm_server_nsg.id
   }
   
   resource "azurerm_network_interface_security_group_association" "vm_jump_nsg_association" {
     network_interface_id      = azurerm_network_interface.vm_jump_nic.id
     network_security_group_id = azurerm_network_security_group.vm_jump_nsg.id
   }
   
   resource "azurerm_windows_virtual_machine" "vm_server" {
     name                  = "server-vm"
     resource_group_name   = azurerm_resource_group.rg.name
     location              = azurerm_resource_group.rg.location
     computer_name         = "server"
     size                  = var.virtual_machine_size
     admin_username        = var.admin_username
     admin_password        = random_password.password.result
     network_interface_ids = [azurerm_network_interface.vm_server_nic.id]
     os_disk {
       caching              = "ReadWrite"
       storage_account_type = "Standard_LRS"
       disk_size_gb         = "128"
     }
     source_image_reference {
       publisher = "MicrosoftWindowsServer"
       offer     = "WindowsServer"
       sku       = "2019-Datacenter"
       version   = "latest"
     }
     boot_diagnostics {
       storage_account_uri = azurerm_storage_account.sa.primary_blob_endpoint
     }
   }
   
   resource "azurerm_windows_virtual_machine" "vm_jump" {
     name                  = "jump-vm"
     resource_group_name   = azurerm_resource_group.rg.name
     location              = azurerm_resource_group.rg.location
     computer_name         = "jumpbox"
     size                  = var.virtual_machine_size
     admin_username        = var.admin_username
     admin_password        = random_password.password.result
     network_interface_ids = [azurerm_network_interface.vm_jump_nic.id]
     os_disk {
       caching              = "ReadWrite"
       storage_account_type = "Standard_LRS"
       disk_size_gb         = "128"
     }
     source_image_reference {
       publisher = "MicrosoftWindowsServer"
       offer     = "WindowsServer"
       sku       = "2019-Datacenter"
       version   = "latest"
     }
     boot_diagnostics {
       storage_account_uri = azurerm_storage_account.sa.primary_blob_endpoint
     }
   }
   
   resource "azurerm_firewall_policy" "azfw_policy" {
     name                     = "azfw-policy"
     resource_group_name      = azurerm_resource_group.rg.name
     location                 = azurerm_resource_group.rg.location
     sku                      = var.firewall_sku_tier
     threat_intelligence_mode = "Alert"
   }
   
   resource "azurerm_firewall_policy_rule_collection_group" "prcg" {
     name               = "prcg"
     firewall_policy_id = azurerm_firewall_policy.azfw_policy.id
     priority           = 300
     application_rule_collection {
       name     = "appRc1"
       priority = 101
       action   = "Allow"
       rule {
         name = "appRule1"
         protocols {
           type = "Http"
           port = 80
         }
         protocols {
           type = "Https"
           port = 443
         }
         destination_fqdns = ["www.microsoft.com"]
         source_addresses  = ["10.10.1.0/24"]
       }
     }
     network_rule_collection {
       name     = "netRc1"
       priority = 200
       action   = "Allow"
       rule {
         name                  = "netRule1"
         protocols             = ["TCP"]
         source_addresses      = ["10.10.1.0/24"]
         destination_addresses = ["*"]
         destination_ports     = ["8000", "8999"]
       }
     }
   }
   
   resource "azurerm_firewall" "fw" {
     name                = "azfw"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     sku_name            = "AZFW_VNet"
     sku_tier            = var.firewall_sku_tier
     zones               = ["1", "2", "3"]
     ip_configuration {
       name                 = "azfw-ipconfig"
       subnet_id            = azurerm_subnet.azfw_subnet.id
       public_ip_address_id = azurerm_public_ip.pip_azfw.id
     }
     firewall_policy_id = azurerm_firewall_policy.azfw_policy.id
   }
   
   resource "azurerm_route_table" "rt" {
     name                          = "rt-azfw-eus"
     location                      = azurerm_resource_group.rg.location
     resource_group_name           = azurerm_resource_group.rg.name
     disable_bgp_route_propagation = false
     route {
       name                   = "azfwDefaultRoute"
       address_prefix         = "0.0.0.0/0"
       next_hop_type          = "VirtualAppliance"
       next_hop_in_ip_address = azurerm_firewall.fw.ip_configuration[0].private_ip_address
     }
   }
   
   resource "azurerm_subnet_route_table_association" "jump_subnet_rt_association" {
     subnet_id      = azurerm_subnet.server_subnet.id
     route_table_id = azurerm_route_table.rt.id
   }
   

4. variables.tf adlı bir dosya oluşturun ve aşağıdaki kodu ekleyin:

   variable "resource_group_location" {
     type        = string
     description = "Location for all resources."
     default     = "eastus"
   }
   
   variable "resource_group_name_prefix" {
     type        = string
     description = "Prefix for the Resource Group Name that's combined with a random id so name is unique in your Azure subcription."
     default     = "rg"
   }
   
   variable "firewall_sku_tier" {
     type        = string
     description = "Firewall SKU."
     default     = "Premium" # Valid values are Standard and Premium
     validation {
       condition     = contains(["Standard", "Premium"], var.firewall_sku_tier)
       error_message = "The SKU must be one of the following: Standard, Premium"
     }
   }
   
   variable "virtual_machine_size" {
     type        = string
     description = "Size of the virtual machine."
     default     = "Standard_D2_v3"
   }
   
   variable "admin_username" {
     type        = string
     description = "Value of the admin username."
     default     = "azureuser"
   }
   

5. outputs.tf adlı bir dosya oluşturun ve aşağıdaki kodu ekleyin:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   
   output "firewall_name" {
     value = azurerm_firewall.fw.name
   }
   

Terraform'u başlatma

Terraform dağıtımını başlatmak için terraform init komutunu çalıştırın. Bu komut, Azure kaynaklarınızı yönetmek için gereken Azure sağlayıcısını indirir.

terraform init -upgrade

Önemli noktalar:

• -upgrade parametresi, gerekli sağlayıcı eklentilerini yapılandırmanın sürüm kısıtlamalarına uygun en yeni sürüme yükseltir.

Terraform için bir yürütme planı oluşturun

Terraform planını çalıştırarak yürütme planı oluşturun.

terraform plan -out main.tfplan

Önemli noktalar:

• terraform plan komutu bir yürütme planı oluşturur, ancak onu yürütmez. Bunun yerine, yapılandırma dosyalarınızda belirtilen yapılandırmayı oluşturmak için hangi eylemlerin gerekli olduğunu belirler. Bu düzen, gerçek kaynaklarda değişiklik yapmadan önce yürütme planının beklentilerinizle eşleşip eşleşmediğini doğrulamanızı sağlar.
• İsteğe bağlı -out parametresi, plan için bir çıkış dosyası belirtmenize olanak tanır. -out parametresinin kullanılması, gözden geçirdiğiniz planın tam olarak uygulanan plan olmasını sağlar.

Terraform yürütme planını uygula

Yürütme planını bulut altyapınıza uygulamak için terraform apply komutunu çalıştırın.

terraform apply main.tfplan

Önemli noktalar:

• Örnek terraform apply komutu, daha önce terraform plan -out main.tfplan komutunu çalıştırmış olduğunuzu varsayar.
• -out parametresi için farklı bir dosya adı belirttiyseniz, terraform applyçağrısında aynı dosya adını kullanın.
• parametresini -out kullanmadıysanız, parametresiz olarak çağırın terraform apply .

Sonuçları doğrulama

Azure CLI

1. Azure kaynak grubu adını alın.

   resource_group_name=$(terraform output -raw resource_group_name)
   

2. Güvenlik duvarı adını alın.

   firewall_name=$(terraform output -raw firewall_name)
   

3. az network firewall show komutunu JMESPath sorgusuyla çalıştırarak güvenlik duvarı için kullanılabilirlik alanlarını görüntüleyin.

   az network firewall show --name $firewall_name --resource-group $resource_group_name --query "{Zones:zones"}
   

Kaynakları temizleme

Terraform aracılığıyla oluşturulan kaynaklara artık ihtiyacınız kalmadığında aşağıdaki adımları uygulayın:

1. terraform plan komutunu çalıştırın ve destroy bayrağını belirtin.

   terraform plan -destroy -out main.destroy.tfplan
   

   Önemli noktalar:

   • terraform plan komutu bir yürütme planı oluşturur, ancak onu yürütmez. Bunun yerine, yapılandırma dosyalarınızda belirtilen yapılandırmayı oluşturmak için hangi eylemlerin gerekli olduğunu belirler. Bu düzen, gerçek kaynaklarda değişiklik yapmadan önce yürütme planının beklentilerinizle eşleşip eşleşmediğini doğrulamanızı sağlar.
   • İsteğe bağlı -out parametresi, plan için bir çıkış dosyası belirtmenize olanak tanır. -out parametresinin kullanılması, gözden geçirdiğiniz planın tam olarak uygulanan plan olmasını sağlar.

2. Yürütme planını uygulamak için terraform apply komutunu çalıştırın.

   terraform apply main.destroy.tfplan
   

Azure'da Terraform sorunlarını giderme

Azure'da Terraform kullanırken karşılaşılan yaygın sorunları giderme

Sonraki adımlar

Şimdi Azure Güvenlik Duvarı günlüklerini izleyebilirsiniz.

Kılavuz: Azure Güvenlik Duvarı günlüklerini izleme