Hızlı Başlangıç: Birden çok genel IP adresiyle Azure Güvenlik Duvarı oluşturma - Terraform

Bu hızlı başlangıçta, bir genel IP adresi ön ekinden birden çok genel IP adresine sahip bir Azure Güvenlik Duvarı'nı, Terraform kullanarak dağıtacaksınız. Dağıtılan güvenlik duvarı, iki Windows Server 2019 sanal makinesine RDP bağlantılarına izin veren NAT kuralı toplama kurallarına sahiptir.

Terraform , bulut altyapısının tanımlanmasını, önizlemesini ve dağıtımını sağlar. Terraform kullanarak HCL söz dizimlerini kullanarak yapılandırma dosyaları oluşturursunuz. HCL söz dizimi, Azure gibi bulut sağlayıcısını ve bulut altyapınızı oluşturan öğeleri belirtmenize olanak tanır. Yapılandırma dosyalarınızı oluşturduktan sonra, altyapı değişikliklerinizin dağıtılmadan önce önizlemesini görüntülemenizi sağlayan bir yürütme planı oluşturursunuz. Değişiklikleri doğruladıktan sonra, altyapıyı dağıtmak için yürütme planını uygularsınız.

Birden çok genel IP adresi içeren Azure Güvenlik Duvarı hakkında daha fazla bilgi için bkz. Azure PowerShell kullanarak birden çok genel IP adresiyle Azure Güvenlik Duvarı dağıtma.

Bu makalede şunların nasıl yapılacağını öğreneceksiniz:

• random_pet kullanarak rastgele bir değer oluşturma (kaynak grubu adında kullanılacak)
• random_password kullanarak Windows VM için rastgele parola oluşturma
• azurerm_resource_group kullanarak Azure kaynak grubu oluşturma
• azurerm_public_ip_prefix kullanarak Azure genel IP ön eki oluşturma
• azurerm_public_ip kullanarak Azure genel IP'si oluşturma
• azurerm_virtual_network kullanarak Azure Sanal Ağ oluşturma
• azurerm_subnet kullanarak Azure alt ağı oluşturma
• azurerm_network_interface kullanarak ağ arabirimi oluşturma
• azurerm_network_security_group kullanarak bir ağ güvenlik grubu (ağ güvenlik kurallarının listesini içerecek şekilde) oluşturma
• azurerm_network_interface_security_group_association kullanarak Ağ Arabirimi ile Ağ Güvenlik Grubu arasında ilişki oluşturma
• azurerm_windows_virtual_machine kullanarak Windows Sanal Makinesi oluşturma
• azurerm_firewall_policy kullanarak Azure Güvenlik Duvarı İlkesi oluşturma
• azurerm_firewall_policy_rule_collection_group kullanarak Azure Güvenlik Duvarı İlkesi Kuralı Koleksiyon Grubu oluşturma
• azurerm_firewall kullanarak Azure Güvenlik Duvarı oluşturma
• azurerm_route_table kullanarak yol tablosu oluşturma
• - azurerm_subnet_route_table_association kullanarak yönlendirme tablosu ile alt ağ arasında bir ilişki oluşturma

Önkoşullar

• Terraform'u yükleme ve yapılandırma

Terraform kodunu uygulama

Uyarı

Bu makalenin örnek kodu Azure Terraform GitHub deposunda bulunur. Terraform'un geçerli ve önceki sürümlerinden test sonuçlarını içeren günlük dosyasını görüntüleyebilirsiniz.

Azure kaynaklarını yönetmek için Terraform'un nasıl kullanılacağını gösteren diğer makalelere ve örnek koda bakın

1. Örnek Terraform kodunu test etmek için bir dizin oluşturun ve bunu geçerli dizin yapın.

2. providers.tf adlı bir dosya oluşturun ve aşağıdaki kodu ekleyin:

   terraform {
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
     }
   }
   
   provider "azurerm" {
     features {
       virtual_machine {
         delete_os_disk_on_deletion     = true
         skip_shutdown_and_force_delete = true
       }
     }
   }
   

3. main.tf adlı bir dosya oluşturun ve aşağıdaki kodu ekleyin:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "random_password" "password" {
     count       = 2
     length      = 20
     min_lower   = 1
     min_upper   = 1
     min_numeric = 1
     min_special = 1
     special     = true
   }
   
   resource "azurerm_resource_group" "rg" {
     name     = random_pet.rg_name.id
     location = var.resource_group_location
   }
   
   resource "azurerm_public_ip_prefix" "pip_prefix" {
     name                = "pip-prefix"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     sku                 = "Standard"
     prefix_length       = 31
   }
   
   resource "azurerm_public_ip" "pip_azfw" {
     name                = "pip-azfw"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     sku                 = "Standard"
     allocation_method   = "Static"
     public_ip_prefix_id = azurerm_public_ip_prefix.pip_prefix.id
   }
   
   resource "azurerm_public_ip" "pip_azfw_2" {
     name                = "pip-azfw-1"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     sku                 = "Standard"
     allocation_method   = "Static"
     public_ip_prefix_id = azurerm_public_ip_prefix.pip_prefix.id
   }
   
   resource "azurerm_virtual_network" "azfw_vnet" {
     name                = "azfw-vnet"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     address_space       = ["10.10.0.0/16"]
   }
   
   resource "azurerm_subnet" "azfw_subnet" {
     name                 = "AzureFirewallSubnet"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.0.0/26"]
   }
   
   resource "azurerm_subnet" "backend_subnet" {
     name                 = "subnet-backend"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.azfw_vnet.name
     address_prefixes     = ["10.10.1.0/24"]
   }
   
   resource "azurerm_network_interface" "backend_nic" {
     count               = 2
     name                = "nic-backend-${count.index + 1}"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   
     ip_configuration {
       name                          = "ipconfig-backend-${count.index + 1}"
       subnet_id                     = azurerm_subnet.backend_subnet.id
       private_ip_address_allocation = "Dynamic"
     }
   }
   
   resource "azurerm_network_security_group" "backend_nsg" {
     name                = "nsg-backend"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     security_rule {
       name                       = "RDP"
       priority                   = 300
       direction                  = "Inbound"
       access                     = "Allow"
       protocol                   = "Tcp"
       source_port_range          = "*"
       destination_port_range     = "3389"
       source_address_prefix      = "*"
       destination_address_prefix = "*"
     }
   }
   
   resource "azurerm_network_interface_security_group_association" "vm_backend_nsg_association" {
     count                     = 2
     network_interface_id      = azurerm_network_interface.backend_nic[count.index].id
     network_security_group_id = azurerm_network_security_group.backend_nsg.id
   }
   
   resource "azurerm_windows_virtual_machine" "vm_backend" {
     count                 = 2
     name                  = "vm-backend-${count.index + 1}"
     resource_group_name   = azurerm_resource_group.rg.name
     location              = azurerm_resource_group.rg.location
     size                  = var.virtual_machine_size
     admin_username        = var.admin_username
     admin_password        = random_password.password[count.index].result
     network_interface_ids = [azurerm_network_interface.backend_nic[count.index].id]
     os_disk {
       caching              = "ReadWrite"
       storage_account_type = "Standard_LRS"
     }
     source_image_reference {
       publisher = "MicrosoftWindowsServer"
       offer     = "WindowsServer"
       sku       = "2019-Datacenter"
       version   = "latest"
     }
   }
   
   resource "azurerm_firewall_policy" "azfw_policy" {
     name                     = "azfw-policy"
     resource_group_name      = azurerm_resource_group.rg.name
     location                 = azurerm_resource_group.rg.location
     sku                      = var.firewall_sku_tier
     threat_intelligence_mode = "Alert"
   }
   
   resource "azurerm_firewall_policy_rule_collection_group" "policy_rule_collection_group" {
     name               = "RuleCollectionGroup"
     firewall_policy_id = azurerm_firewall_policy.azfw_policy.id
     priority           = 300
     application_rule_collection {
       name     = "web"
       priority = 100
       action   = "Allow"
       rule {
         name = "wan-address"
         protocols {
           type = "Http"
           port = 80
         }
         protocols {
           type = "Https"
           port = 443
         }
         destination_fqdns = ["getmywanip.com"]
         source_addresses  = ["*"]
       }
       rule {
         name = "google"
         protocols {
           type = "Http"
           port = 80
         }
         protocols {
           type = "Https"
           port = 443
         }
         destination_fqdns = ["www.google.com"]
         source_addresses  = ["10.10.1.0/24"]
       }
       rule {
         name = "wupdate"
         protocols {
           type = "Http"
           port = 80
         }
         protocols {
           type = "Https"
           port = 443
         }
         destination_fqdn_tags = ["WindowsUpdate"]
         source_addresses      = ["*"]
       }
     }
     nat_rule_collection {
       name     = "Coll-01"
       action   = "Dnat"
       priority = 200
       rule {
         name                = "rdp-01"
         protocols           = ["TCP"]
         translated_address  = "10.10.1.4"
         translated_port     = "3389"
         source_addresses    = ["*"]
         destination_address = azurerm_public_ip.pip_azfw.ip_address
         destination_ports   = ["3389"]
       }
       rule {
         name                = "rdp-02"
         protocols           = ["TCP"]
         translated_address  = "10.10.1.5"
         translated_port     = "3389"
         source_addresses    = ["*"]
         destination_address = azurerm_public_ip.pip_azfw.ip_address
         destination_ports   = ["3389"]
       }
     }
   }
   
   resource "azurerm_firewall" "fw" {
     name                = "azfw"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     sku_name            = "AZFW_VNet"
     sku_tier            = var.firewall_sku_tier
     ip_configuration {
       name                 = "azfw-ipconfig"
       subnet_id            = azurerm_subnet.azfw_subnet.id
       public_ip_address_id = azurerm_public_ip.pip_azfw.id
     }
     ip_configuration {
       name                 = "azfw-ipconfig-2"
       public_ip_address_id = azurerm_public_ip.pip_azfw_2.id
     }
     firewall_policy_id = azurerm_firewall_policy.azfw_policy.id
   }
   
   resource "azurerm_route_table" "rt" {
     name                          = "rt-azfw-eus"
     location                      = azurerm_resource_group.rg.location
     resource_group_name           = azurerm_resource_group.rg.name
     disable_bgp_route_propagation = false
     route {
       name                   = "azfw"
       address_prefix         = "0.0.0.0/0"
       next_hop_type          = "VirtualAppliance"
       next_hop_in_ip_address = "10.10.0.4"
     }
   }
   
   resource "azurerm_subnet_route_table_association" "jump_subnet_rt_association" {
     subnet_id      = azurerm_subnet.backend_subnet.id
     route_table_id = azurerm_route_table.rt.id
   }
   

4. variables.tf adlı bir dosya oluşturun ve aşağıdaki kodu ekleyin:

   variable "resource_group_location" {
     type        = string
     description = "Location for all resources."
     default     = "eastus"
   }
   
   variable "resource_group_name_prefix" {
     type        = string
     description = "Prefix for the Resource Group Name that's combined with a random id so name is unique in your Azure subcription."
     default     = "rg"
   }
   
   variable "firewall_sku_tier" {
     type        = string
     description = "Firewall SKU."
     default     = "Premium" # Valid values are Standard and Premium
     validation {
       condition     = contains(["Standard", "Premium"], var.firewall_sku_tier)
       error_message = "The SKU must be one of the following: Standard, Premium"
     }
   }
   
   variable "virtual_machine_size" {
     type        = string
     description = "Size of the virtual machine."
     default     = "Standard_D2_v3"
   }
   
   variable "admin_username" {
     type        = string
     description = "Value of the admin username."
     default     = "azureuser"
   }
   

5. outputs.tf adlı bir dosya oluşturun ve aşağıdaki kodu ekleyin:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   output "backend_admin_password" {
     sensitive = true
     value     = azurerm_windows_virtual_machine.vm_backend[*].admin_password
   }
   

Terraform'u başlatma

Terraform dağıtımını başlatmak için terraform init komutunu çalıştırın. Bu komut, Azure kaynaklarınızı yönetmek için gereken Azure sağlayıcısını indirir.

terraform init -upgrade

Önemli noktalar:

• -upgrade parametresi, gerekli sağlayıcı eklentilerini yapılandırmanın sürüm kısıtlamalarına uygun en yeni sürüme yükseltir.

Terraform yürütme planı oluştur

Yürütme planı oluşturmak için terraform plan çalıştırın.

terraform plan -out main.tfplan

Önemli noktalar:

• Komut terraform plan bir yürütme planı oluşturur, ancak onu yürütmez. Bunun yerine, yapılandırma dosyalarınızda belirtilen yapılandırmayı oluşturmak için hangi eylemlerin gerekli olduğunu belirler. Bu düzen, gerçek kaynaklarda değişiklik yapmadan önce yürütme planının beklentilerinizle eşleşip eşleşmediğini doğrulamanızı sağlar.
• İsteğe bağlı -out parametresi, plan için bir çıkış dosyası belirtmenize olanak tanır. -out parametresinin kullanılması, gözden geçirdiğiniz planın tam olarak uygulanan plan olmasını sağlar.

Terraform yürütme planını uygula

Yürütme planını bulut altyapınıza uygulamak için terraform apply komutunu çalıştırın.

terraform apply main.tfplan

Önemli noktalar:

• Örnek terraform apply komutu, daha önce terraform plan -out main.tfplan komutunu çalıştırdığınızı varsayar.
• -out parametresi için farklı bir dosya adı belirttiyseniz, terraform applyçağrısında aynı dosya adını kullanın.
• parametresini -out kullanmadıysanız, parametresiz olarak çağırın terraform apply .

Sonuçları doğrulama

Azure CLI

1. Azure kaynak grubu adını alın.

   resource_group_name=$(terraform output -raw resource_group_name)
   

2. İki yeni IP Grubunu görüntülemek için az network ip-group list komutunu çalıştırın.

   az network ip-group list --resource-group $resource_group_name
   

Kaynakları temizleme

Terraform aracılığıyla oluşturulan kaynaklara artık ihtiyacınız kalmadığında aşağıdaki adımları uygulayın:

1. terraform plan çalıştırın ve destroy bayrağını belirtin.

   terraform plan -destroy -out main.destroy.tfplan
   

   Önemli noktalar:

   • Komut terraform plan bir yürütme planı oluşturur, ancak onu yürütmez. Bunun yerine, yapılandırma dosyalarınızda belirtilen yapılandırmayı oluşturmak için hangi eylemlerin gerekli olduğunu belirler. Bu düzen, gerçek kaynaklarda değişiklik yapmadan önce yürütme planının beklentilerinizle eşleşip eşleşmediğini doğrulamanızı sağlar.
   • İsteğe bağlı -out parametresi, plan için bir çıkış dosyası belirtmenize olanak tanır. -out parametresinin kullanılması, gözden geçirdiğiniz planın tam olarak uygulanan plan olmasını sağlar.

2. Yürütme planını uygulamak için terraform apply komutunu çalıştırın.

   terraform apply main.destroy.tfplan
   

Azure'da Terraform sorunlarını giderme

Azure'da Terraform kullanırken karşılaşılan yaygın sorunları giderme

Sonraki adımlar

Öğretici: Azure portalını kullanarak karma ağda Azure Güvenlik Duvarı dağıtma ve yapılandırma