你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft.Network networkSecurityGroups 2023-06-01
Bicep 资源定义
networkSecurityGroups 资源类型可以通过针对以下操作进行部署:
- 资源组 - 请参阅 资源组部署命令
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
注解
有关创建网络安全组的指南,请参阅使用 Bicep Create虚拟网络资源。
资源格式
若要创建 Microsoft.Network/networkSecurityGroups 资源,请将以下 Bicep 添加到模板。
resource symbolicname 'Microsoft.Network/networkSecurityGroups@2023-06-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
flushConnection: bool
securityRules: [
{
id: 'string'
name: 'string'
properties: {
access: 'string'
description: 'string'
destinationAddressPrefix: 'string'
destinationAddressPrefixes: [
'string'
]
destinationApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
destinationPortRange: 'string'
destinationPortRanges: [
'string'
]
direction: 'string'
priority: int
protocol: 'string'
sourceAddressPrefix: 'string'
sourceAddressPrefixes: [
'string'
]
sourceApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
sourcePortRange: 'string'
sourcePortRanges: [
'string'
]
}
type: 'string'
}
]
}
}
属性值
networkSecurityGroups
名称 | 说明 | 值 |
---|---|---|
name | 资源名称 | 字符串 (必需) 字符限制:1-80 有效字符: 字母数字、下划线字符、句点和连字符。 以字母数字开头。 以字母数字或下划线结尾。 |
location | 资源位置。 | 字符串 |
标记 | 资源标记。 | 标记名称和值的字典。 请参阅 模板中的标记 |
properties | 网络安全组的属性。 | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
名称 | 说明 | 值 |
---|---|---|
flushConnection | 启用后,将在规则更新时重新评估从网络安全组连接创建的流。 初始启用将触发重新评估。 | bool |
securityRules | 网络安全组的安全规则集合。 | SecurityRule[] |
SecurityRule
名称 | 说明 | Value |
---|---|---|
id | 资源 ID。 | 字符串 |
name | 资源组中唯一的资源的名称。 此名称可用于访问资源。 | string |
properties | 安全规则的属性。 | SecurityRulePropertiesFormat |
类型 | 资源类型。 | 字符串 |
SecurityRulePropertiesFormat
名称 | 说明 | 值 |
---|---|---|
access | 允许或拒绝网络流量。 | “允许” “拒绝” (必需) |
description | 此规则的说明。 限制为 140 个字符。 | 字符串 |
destinationAddressPrefix | 目标地址前缀。 CIDR 或目标 IP 范围。 也可以使用星号“*”来匹配所有源 IP。 也可以使用“VirtualNetwork”、“AzureLoadBalancer”和“Internet”等默认标记。 | 字符串 |
destinationAddressPrefixes | 目标地址前缀。 CIDR 或目标 IP 范围。 | string[] |
destinationApplicationSecurityGroups | 指定为目标的应用程序安全组。 | ApplicationSecurityGroup[] |
destinationPortRange | 目标端口或范围。 介于 0 和 65535 之间的整数或范围。 星号“*”也可用于匹配所有端口。 | 字符串 |
destinationPortRanges | 目标端口范围。 | string[] |
direction | 规则的方向。 direction 指定是要针对传入流量还是传出流量评估该规则。 | 'Inbound' 需要“出站” () |
priority | 规则的优先级。 该值可以介于 100 和 4096 之间。 对于集合中的每个规则,优先级编号必须是唯一的。 优先级编号越低,规则优先级越高。 | int (必需) |
protocol | 此规则应用到的网络协议。 | '*' 'Ah' 'Esp' 'Icmp' 'Tcp' “Udp” (必需) |
sourceAddressPrefix | CIDR 或源 IP 范围。 也可以使用星号“*”来匹配所有源 IP。 也可以使用默认标记,例如“VirtualNetwork”、“AzureLoadBalancer”和“Internet”。 如果这是入口规则,则指定网络流量的来源。 | 字符串 |
sourceAddressPrefixes | CIDR 或源 IP 范围。 | string[] |
sourceApplicationSecurityGroups | 指定为源的应用程序安全组。 | ApplicationSecurityGroup[] |
sourcePortRange | 源端口或范围。 介于 0 和 65535 之间的整数或范围。 星号“*”也可用于匹配所有端口。 | 字符串 |
sourcePortRanges | 源端口范围。 | string[] |
ApplicationSecurityGroup
名称 | 说明 | Value |
---|---|---|
id | 资源 ID。 | 字符串 |
location | 资源位置。 | string |
properties | 应用程序安全组的属性。 | ApplicationSecurityGroupPropertiesFormat |
标记 | 资源标记。 | 对象 (object) |
ApplicationSecurityGroupPropertiesFormat
此对象不包含部署期间要设置的任何属性。 所有属性均为 ReadOnly。
快速入门模板
以下快速入门模板部署此资源类型。
模板 | 说明 |
---|---|
托管 Azure Active Directory 域服务 |
此模板使用所需的 VNet 和 NSG 配置部署托管 Azure Active Directory 域服务。 |
具有 应用程序网关 入口控制器的 AKS 群集 |
此示例演示如何使用 应用程序网关、应用程序网关 入口控制器、Azure 容器注册表、Log Analytics 和 密钥保管库 部署 AKS 群集 |
使用 WAF、SSL、IIS 和 HTTPS 重定向的应用网关 |
此模板在 IIS 服务器上部署具有 WAF、端到端 SSL 和 HTTP 到 HTTPS 重定向的应用程序网关。 |
Create IPv6 应用程序网关 |
此模板在双堆栈虚拟网络中创建具有 IPv6 前端的应用程序网关。 |
应用程序安全组 |
此模板演示如何将各个部分组合在一起,以便将 NSG 与应用程序安全组配合使用来保护工作负荷。 它将部署运行 NGINX 的 Linux VM,通过使用网络安全组上的应用程序安全组,我们将允许对分配给名为 webServersAsg 的应用程序安全组的 VM 访问端口 22 和 80。 |
使用 NSG 的 Azure Bastion 即服务 |
此模板在虚拟网络中预配 Azure Bastion |
将 Azure 防火墙 用作中心 & 分支拓扑中的 DNS 代理 |
此示例演示如何使用 Azure 防火墙 在 Azure 中部署中心辐射型拓扑。 中心虚拟网络充当通过虚拟网络对等互连连接到中心虚拟网络的许多分支虚拟网络的中心点。 |
Create Azure 防火墙、客户端 VM 和服务器 VM 的沙盒 |
此模板创建一个虚拟网络,其中包含 2 个子网 (服务器子网和 AzureFirewall 子网) 、A 服务器 VM、客户端 VM、每个 VM 的公共 IP 地址,以及一个路由表,用于通过防火墙在 VM 之间发送流量。 |
Create防火墙,使用显式代理的 FirewallPolicy |
此模板使用显式代理创建Azure 防火墙 FirewalllPolicy 和 IpGroups 网络规则。 此外,还包括 Linux Jumpbox vm 设置 |
使用 FirewallPolicy 和 IpGroups Create防火墙 |
此模板创建一个Azure 防火墙,其中 FirewalllPolicy 引用了 IpGroup 的网络规则。 此外,还包括 Linux Jumpbox vm 设置 |
创建使用 IpGroups 的 Azure 防火墙 |
此模板使用引用 IP 组的应用程序和网络规则创建Azure 防火墙。 此外,还包括 Linux Jumpbox vm 设置 |
使用强制隧道Create Azure 防火墙沙盒 |
此模板 (Linux) 创建一个Azure 防火墙沙盒,其中一个防火墙强制通过对等互连 VNET 中的另一个防火墙通过隧道 |
使用 Linux VM Create Azure 防火墙的沙盒设置 |
此模板创建包含 3 个子网的虚拟网络, (服务器子网、jumpbox 子集和 AzureFirewall 子网) 、具有公共 IP 的 jumpbox VM、服务器 VM、指向服务器子网Azure 防火墙的 UDR 路由,以及具有 1 个或更多个公共 IP 地址、1 个示例应用程序规则、1 个示例网络规则和默认专用范围的Azure 防火墙 |
使用防火墙策略Create沙盒设置 |
此模板创建包含 3 个子网的虚拟网络, (服务器子网、jumpbox 子集和 AzureFirewall 子网) 、具有公共 IP 的 jumpbox VM、服务器 VM、UDR 路由(指向服务器子网的Azure 防火墙)以及一个具有 1 个或更多公共 IP 地址的Azure 防火墙。 还创建包含 1 个示例应用程序规则、1 个示例网络规则和默认专用范围的防火墙策略 |
创建具有区域的 Azure 防火墙的沙盒设置 |
此模板创建一个虚拟网络,其中包含三个子网 (服务器子网、jumpbox 子网和Azure 防火墙子网) 、具有公共 IP 的 jumpbox VM、服务器 VM、指向 ServerSubnet Azure 防火墙的 UDR 路由、具有一个或多个公共 IP 地址的Azure 防火墙、一个示例应用程序规则和一个示例网络规则和Azure 防火墙可用性区域 1、2 和 3。 |
具有专用对等互连和 Azure VNet 的 ExpressRoute 线路 |
此模板配置 ExpressRoute Microsoft 对等互连,使用 Expressroute 网关部署 Azure VNet,并将 VNet 链接到 ExpressRoute 线路 |
在 Azure API 管理 前面Create Azure Front Door |
此示例演示如何在 Azure API 管理前面使用 Azure Front Door 作为全局负载均衡器。 |
创建具有多个 IP 公共地址的 Azure 防火墙 |
此模板创建一个Azure 防火墙,其中包含两个公共 IP 地址和两个要测试的 Windows Server 2019 服务器。 |
安全虚拟中心 |
此模板使用 Azure 防火墙 创建安全的虚拟中心,以保护发往 Internet 的云网络流量。 |
创建跨区域负载均衡器 |
此模板创建一个跨区域负载均衡器,其后端池包含两个区域负载均衡器。 跨区域负载均衡器目前在受限区域中可用。 跨区域负载均衡器后面的区域负载均衡器可以位于任何区域中。 |
使用后端池按 IP 地址标准负载均衡器 |
此模板用于演示如何使用 ARM 模板按 IP 地址配置负载均衡器的后端池,如后端池管理文档中所述。 |
Create具有公共 IPv6 地址的负载均衡器 |
此模板为后端池创建一个面向 Internet 的负载均衡器,其中包含一个公共 IPv6 地址、负载均衡规则和两个 VM。 |
创建标准负载均衡器 |
此模板为后端池创建面向 Internet 的负载均衡器、负载均衡规则和三个 VM,每个 VM 位于冗余区域中。 |
使用 VM 虚拟网络 NAT |
部署 NAT 网关和虚拟机 |
将 NSG 应用于现有子网 |
此模板将新创建的 NSG 应用于现有子网 |
包含诊断日志的网络安全组 |
此模板创建包含诊断日志和资源锁的网络安全组 |
具有 NSG 和外围网络的多层 VNet |
此模板部署一个虚拟网络,其中包含 3 个子网、3 个网络安全组和适当的安全规则,使前端子网成为外围网络 |
BGP 中的 Azure 路由服务器与 Quagga 对等互连 |
此模板使用 Quagga 部署路由器服务器和 Ubuntu VM。 路由器服务器和 Quagga 之间建立了两个外部 BGP 会话。 Quagga 的安装和配置由适用于 linux 的 Azure 自定义脚本扩展执行 |
Create网络安全组 |
此模板创建网络安全组 |
Create VM 的站点到站点 VPN 连接 |
此模板允许使用 虚拟网络 网关创建站点到站点 VPN 连接 |
具有 BGP 的主动-主动 VPN 网关的站点到站点 VPN |
此模板允许在两个 VNet 之间部署站点到站点 VPN VPN,这些 VNet 采用 BGP 的主动-主动配置。 每个 Azure VPN 网关解析远程对等方的 FQDN,以确定远程VPN 网关的公共 IP。 模板在具有可用性区域的 Azure 区域中按预期运行。 |
Azure 流量管理器 VM 示例 |
此模板演示如何跨多个虚拟机创建 Azure 流量管理器配置文件负载均衡。 |
包含 可用性区域 的 Azure 流量管理器 VM 示例 |
此模板演示如何在放置在 可用性区域 中的多个虚拟机之间创建 Azure 流量管理器配置文件负载均衡。 |
用户定义的路由和设备 |
此模板在相应的子网中部署虚拟网络、VM 和路由,以将流量定向到设备 |
201-vnet-2subnets-service-endpoints-storage-integration |
在同一 VNet 中的两个不同子网中创建 2 个具有 NIC 的新 VM。 在其中一个子网上设置服务终结点,并保护该子网的存储帐户。 |
将具有 Redis 安全规则的 NSG 添加到现有子网 |
此模板允许将具有预配置的 Azure Redis 缓存安全规则的 NSG 添加到 VNET 中的现有子网。 部署到现有 VNET 的资源组中。 |
ARM 模板资源定义
networkSecurityGroups 资源类型可以通过针对以下操作进行部署:
- 资源组 - 请参阅 资源组部署命令
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
注解
有关创建网络安全组的指南,请参阅使用 Bicep Create虚拟网络资源。
资源格式
若要创建 Microsoft.Network/networkSecurityGroups 资源,请将以下 JSON 添加到模板。
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2023-06-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"flushConnection": "bool",
"securityRules": [
{
"id": "string",
"name": "string",
"properties": {
"access": "string",
"description": "string",
"destinationAddressPrefix": "string",
"destinationAddressPrefixes": [ "string" ],
"destinationApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"destinationPortRange": "string",
"destinationPortRanges": [ "string" ],
"direction": "string",
"priority": "int",
"protocol": "string",
"sourceAddressPrefix": "string",
"sourceAddressPrefixes": [ "string" ],
"sourceApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"sourcePortRange": "string",
"sourcePortRanges": [ "string" ]
},
"type": "string"
}
]
}
}
属性值
networkSecurityGroups
名称 | 说明 | Value |
---|---|---|
type | 资源类型 | “Microsoft.Network/networkSecurityGroups” |
apiVersion | 资源 API 版本 | '2023-06-01' |
name | 资源名称 | 字符串 (必需) 字符限制:1-80 有效字符: 字母数字、下划线字符、句点和连字符。 以字母数字开头。 以字母数字或下划线结尾。 |
location | 资源位置。 | 字符串 |
标记 | 资源标记。 | 标记名称和值的字典。 请参阅 模板中的标记 |
properties | 网络安全组的属性。 | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
名称 | 说明 | 值 |
---|---|---|
flushConnection | 启用后,将在规则更新时重新评估从网络安全组连接创建的流。 初始启用将触发重新评估。 | bool |
securityRules | 网络安全组的安全规则集合。 | SecurityRule[] |
SecurityRule
名称 | 说明 | Value |
---|---|---|
id | 资源 ID。 | 字符串 |
name | 资源组中唯一的资源的名称。 此名称可用于访问资源。 | string |
properties | 安全规则的属性。 | SecurityRulePropertiesFormat |
类型 | 资源类型。 | 字符串 |
SecurityRulePropertiesFormat
名称 | 说明 | 值 |
---|---|---|
access | 允许或拒绝网络流量。 | “允许” “拒绝” (必需) |
description | 此规则的说明。 限制为 140 个字符。 | 字符串 |
destinationAddressPrefix | 目标地址前缀。 CIDR 或目标 IP 范围。 也可以使用星号“*”来匹配所有源 IP。 也可以使用“VirtualNetwork”、“AzureLoadBalancer”和“Internet”等默认标记。 | 字符串 |
destinationAddressPrefixes | 目标地址前缀。 CIDR 或目标 IP 范围。 | string[] |
destinationApplicationSecurityGroups | 指定为目标的应用程序安全组。 | ApplicationSecurityGroup[] |
destinationPortRange | 目标端口或范围。 介于 0 和 65535 之间的整数或范围。 星号“*”也可用于匹配所有端口。 | 字符串 |
destinationPortRanges | 目标端口范围。 | string[] |
direction | 规则的方向。 direction 指定是要针对传入流量还是传出流量评估该规则。 | “Inbound” “出站” (必需) |
priority | 规则的优先级。 该值可以介于 100 和 4096 之间。 对于集合中的每个规则,优先级编号必须是唯一的。 优先级编号越低,规则优先级越高。 | int (必需) |
protocol | 此规则应用到的网络协议。 | '*' 'Ah' 'Esp' 'Icmp' 'Tcp' “Udp” (必需) |
sourceAddressPrefix | CIDR 或源 IP 范围。 也可以使用星号“*”来匹配所有源 IP。 也可以使用默认标记,例如“VirtualNetwork”、“AzureLoadBalancer”和“Internet”。 如果这是入口规则,则指定网络流量的来源。 | 字符串 |
sourceAddressPrefixes | CIDR 或源 IP 范围。 | string[] |
sourceApplicationSecurityGroups | 指定为源的应用程序安全组。 | ApplicationSecurityGroup[] |
sourcePortRange | 源端口或范围。 介于 0 和 65535 之间的整数或范围。 星号“*”也可用于匹配所有端口。 | 字符串 |
sourcePortRanges | 源端口范围。 | string[] |
ApplicationSecurityGroup
名称 | 说明 | Value |
---|---|---|
id | 资源 ID。 | 字符串 |
location | 资源位置。 | string |
properties | 应用程序安全组的属性。 | ApplicationSecurityGroupPropertiesFormat |
标记 | 资源标记。 | 对象 (object) |
ApplicationSecurityGroupPropertiesFormat
此对象不包含部署期间要设置的任何属性。 所有属性均为 ReadOnly。
快速入门模板
以下快速入门模板部署此资源类型。
模板 | 说明 |
---|---|
托管 Azure Active Directory 域服务 |
此模板使用所需的 VNet 和 NSG 配置部署托管 Azure Active Directory 域服务。 |
具有 应用程序网关 入口控制器的 AKS 群集 |
此示例演示如何使用 应用程序网关、应用程序网关 入口控制器、Azure 容器注册表、Log Analytics 和 密钥保管库 部署 AKS 群集 |
使用 WAF、SSL、IIS 和 HTTPS 重定向的应用网关 |
此模板在 IIS 服务器上部署具有 WAF、端到端 SSL 和 HTTP 到 HTTPS 重定向的应用程序网关。 |
Create IPv6 应用程序网关 |
此模板在双堆栈虚拟网络中创建具有 IPv6 前端的应用程序网关。 |
应用程序安全组 |
此模板演示如何将各个部分组合在一起,以便将 NSG 与应用程序安全组配合使用来保护工作负荷。 它将部署运行 NGINX 的 Linux VM,通过使用网络安全组上的应用程序安全组,我们将允许对分配给名为 webServersAsg 的应用程序安全组的 VM 访问端口 22 和 80。 |
使用 NSG 的 Azure Bastion 即服务 |
此模板在虚拟网络中预配 Azure Bastion |
将 Azure 防火墙 用作中心 & 分支拓扑中的 DNS 代理 |
此示例演示如何使用 Azure 防火墙 在 Azure 中部署中心辐射型拓扑。 中心虚拟网络充当通过虚拟网络对等互连连接到中心虚拟网络的许多分支虚拟网络的中心点。 |
Create Azure 防火墙、客户端 VM 和服务器 VM 的沙盒 |
此模板创建一个虚拟网络,其中包含 2 个子网 (服务器子网和 AzureFirewall 子网) 、A 服务器 VM、客户端 VM、每个 VM 的公共 IP 地址,以及一个路由表,用于通过防火墙在 VM 之间发送流量。 |
Create防火墙,使用显式代理的 FirewallPolicy |
此模板创建Azure 防火墙 FirewalllPolicy with Explicit Proxy 和 Network Rules with IpGroups。 此外,还包括 Linux Jumpbox vm 设置 |
使用 FirewallPolicy 和 IpGroups Create防火墙 |
此模板创建一个Azure 防火墙,其中 FirewalllPolicy 引用了 IpGroups 的网络规则。 此外,还包括 Linux Jumpbox vm 设置 |
创建使用 IpGroups 的 Azure 防火墙 |
此模板使用引用 IP 组的应用程序和网络规则创建Azure 防火墙。 此外,还包括 Linux Jumpbox vm 设置 |
使用强制隧道Create Azure 防火墙沙盒 |
此模板 (Linux) 创建一个Azure 防火墙沙盒,其中一个防火墙强制通过对等互连 VNET 中的另一个防火墙 |
使用 Linux VM Create Azure 防火墙的沙盒设置 |
此模板创建一个虚拟网络,其中包含 3 个子网 (服务器子网、jumpbox 子集和 AzureFirewall 子网) 、一个具有公共 IP 的 jumpbox VM、一个服务器 VM、用于指向服务器子网Azure 防火墙的 UDR 路由,以及一个具有 1 个或多个公共 IP 地址、1 个示例应用程序规则、1 个示例网络规则和默认专用范围的Azure 防火墙 |
使用防火墙策略Create沙盒设置 |
此模板创建包含 3 个子网的虚拟网络, (服务器子网、jumpbox 子集和 AzureFirewall 子网) 、具有公共 IP 的 jumpbox VM、服务器 VM、UDR 路由(指向服务器子网的Azure 防火墙)以及一个具有 1 个或更多公共 IP 地址的Azure 防火墙。 还创建包含 1 个示例应用程序规则、1 个示例网络规则和默认专用范围的防火墙策略 |
创建具有区域的 Azure 防火墙的沙盒设置 |
此模板创建一个虚拟网络,其中包含三个子网 (服务器子网、jumpbox 子网和Azure 防火墙子网) 、具有公共 IP 的 jumpbox VM、服务器 VM、指向 ServerSubnet Azure 防火墙的 UDR 路由、具有一个或多个公共 IP 地址的Azure 防火墙、一个示例应用程序规则和一个示例网络规则和Azure 防火墙可用性区域 1、2 和 3。 |
具有专用对等互连和 Azure VNet 的 ExpressRoute 线路 |
此模板配置 ExpressRoute Microsoft 对等互连,使用 Expressroute 网关部署 Azure VNet,并将 VNet 链接到 ExpressRoute 线路 |
在 Azure API 管理 前面Create Azure Front Door |
此示例演示如何在 Azure API 管理前面使用 Azure Front Door 作为全局负载均衡器。 |
创建具有多个 IP 公共地址的 Azure 防火墙 |
此模板创建一个Azure 防火墙,其中包含两个公共 IP 地址和两个要测试的 Windows Server 2019 服务器。 |
安全虚拟中心 |
此模板使用 Azure 防火墙 创建安全的虚拟中心,以保护发往 Internet 的云网络流量。 |
创建跨区域负载均衡器 |
此模板创建一个跨区域负载均衡器,其后端池包含两个区域负载均衡器。 跨区域负载均衡器目前在受限区域中可用。 跨区域负载均衡器后面的区域负载均衡器可以位于任何区域中。 |
使用后端池按 IP 地址标准负载均衡器 |
此模板用于演示如何使用 ARM 模板按 IP 地址配置负载均衡器的后端池,如后端池管理文档中所述。 |
Create具有公共 IPv6 地址的负载均衡器 |
此模板为后端池创建一个面向 Internet 的负载均衡器,其中包含一个公共 IPv6 地址、负载均衡规则和两个 VM。 |
创建标准负载均衡器 |
此模板为后端池创建面向 Internet 的负载均衡器、负载均衡规则和三个 VM,每个 VM 位于冗余区域中。 |
使用 VM 虚拟网络 NAT |
部署 NAT 网关和虚拟机 |
将 NSG 应用于现有子网 |
此模板将新创建的 NSG 应用于现有子网 |
包含诊断日志的网络安全组 |
此模板创建包含诊断日志和资源锁的网络安全组 |
具有 NSG 和外围网络的多层 VNet |
此模板部署一个虚拟网络,其中包含 3 个子网、3 个网络安全组和适当的安全规则,使前端子网成为外围网络 |
BGP 中的 Azure 路由服务器与 Quagga 对等互连 |
此模板使用 Quagga 部署路由器服务器和 Ubuntu VM。 路由器服务器和 Quagga 之间建立了两个外部 BGP 会话。 Quagga 的安装和配置由适用于 linux 的 Azure 自定义脚本扩展执行 |
Create网络安全组 |
此模板创建网络安全组 |
Create VM 的站点到站点 VPN 连接 |
此模板允许使用 虚拟网络 网关创建站点到站点 VPN 连接 |
具有 BGP 的主动-主动 VPN 网关的站点到站点 VPN |
此模板允许在两个 VNet 之间部署站点到站点 VPN VPN,这些 VNet 采用 BGP 的主动-主动配置。 每个 Azure VPN 网关解析远程对等方的 FQDN,以确定远程VPN 网关的公共 IP。 模板在具有可用性区域的 Azure 区域中按预期运行。 |
Azure 流量管理器 VM 示例 |
此模板演示如何跨多个虚拟机创建 Azure 流量管理器配置文件负载均衡。 |
包含 可用性区域 的 Azure 流量管理器 VM 示例 |
此模板演示如何在放置在 可用性区域 中的多个虚拟机之间创建 Azure 流量管理器配置文件负载均衡。 |
用户定义的路由和设备 |
此模板在相应的子网中部署虚拟网络、VM 和路由,以将流量定向到设备 |
201-vnet-2subnets-service-endpoints-storage-integration |
在同一 VNet 中的两个不同子网中创建 2 个具有 NIC 的新 VM。 在其中一个子网上设置服务终结点,并保护该子网的存储帐户。 |
将具有 Redis 安全规则的 NSG 添加到现有子网 |
此模板允许将具有预配置的 Azure Redis 缓存安全规则的 NSG 添加到 VNET 中的现有子网。 部署到现有 VNET 的资源组中。 |
Terraform (AzAPI 提供程序) 资源定义
networkSecurityGroups 资源类型可以通过针对以下操作进行部署:
- 资源组
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.Network/networkSecurityGroups 资源,请将以下 Terraform 添加到模板。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/networkSecurityGroups@2023-06-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
flushConnection = bool
securityRules = [
{
id = "string"
name = "string"
properties = {
access = "string"
description = "string"
destinationAddressPrefix = "string"
destinationAddressPrefixes = [
"string"
]
destinationApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
destinationPortRange = "string"
destinationPortRanges = [
"string"
]
direction = "string"
priority = int
protocol = "string"
sourceAddressPrefix = "string"
sourceAddressPrefixes = [
"string"
]
sourceApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
sourcePortRange = "string"
sourcePortRanges = [
"string"
]
}
type = "string"
}
]
}
})
}
属性值
networkSecurityGroups
名称 | 说明 | Value |
---|---|---|
type | 资源类型 | “Microsoft.Network/networkSecurityGroups@2023-06-01” |
name | 资源名称 | 字符串 (必需) 字符限制:1-80 有效字符: 字母数字、下划线字符、句点和连字符。 以字母数字开头。 以字母数字或下划线结尾。 |
location | 资源位置。 | 字符串 |
parent_id | 若要部署到资源组,请使用该资源组的 ID。 | 字符串 (必需) |
标记 | 资源标记。 | 标记名称和值的字典。 |
properties | 网络安全组的属性。 | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
名称 | 说明 | 值 |
---|---|---|
flushConnection | 启用后,将在规则更新时重新评估从网络安全组连接创建的流。 初始启用将触发重新评估。 | bool |
securityRules | 网络安全组的安全规则集合。 | SecurityRule[] |
SecurityRule
名称 | 说明 | Value |
---|---|---|
id | 资源 ID。 | 字符串 |
name | 资源组中唯一的资源的名称。 此名称可用于访问资源。 | string |
properties | 安全规则的属性。 | SecurityRulePropertiesFormat |
类型 | 资源类型。 | 字符串 |
SecurityRulePropertiesFormat
名称 | 说明 | 值 |
---|---|---|
access | 允许或拒绝网络流量。 | “允许” 需要“拒绝” () |
description | 此规则的说明。 限制为 140 个字符。 | 字符串 |
destinationAddressPrefix | 目标地址前缀。 CIDR 或目标 IP 范围。 也可以使用星号“*”来匹配所有源 IP。 也可以使用“VirtualNetwork”、“AzureLoadBalancer”和“Internet”等默认标记。 | 字符串 |
destinationAddressPrefixes | 目标地址前缀。 CIDR 或目标 IP 范围。 | string[] |
destinationApplicationSecurityGroups | 指定为目标的应用程序安全组。 | ApplicationSecurityGroup[] |
destinationPortRange | 目标端口或范围。 介于 0 和 65535 之间的整数或范围。 星号“*”也可用于匹配所有端口。 | 字符串 |
destinationPortRanges | 目标端口范围。 | string[] |
direction | 规则的方向。 direction 指定是要针对传入流量还是传出流量评估该规则。 | “入站” “出站” (必需) |
priority | 规则的优先级。 该值可以介于 100 和 4096 之间。 集合中每个规则的优先级编号必须是唯一的。 优先级编号越低,规则优先级越高。 | int (必需) |
protocol | 此规则应用到的网络协议。 | "*" “啊” “Esp” “Icmp” “Tcp” “Udp” (必需) |
sourceAddressPrefix | CIDR 或源 IP 范围。 也可以使用星号“*”来匹配所有源 IP。 也可以使用“VirtualNetwork”、“AzureLoadBalancer”和“Internet”等默认标记。 如果这是入口规则,则指定网络流量的来源。 | 字符串 |
sourceAddressPrefixes | CIDR 或源 IP 范围。 | string[] |
sourceApplicationSecurityGroups | 指定为源的应用程序安全组。 | ApplicationSecurityGroup[] |
sourcePortRange | 源端口或范围。 介于 0 和 65535 之间的整数或范围。 星号“*”也可用于匹配所有端口。 | 字符串 |
sourcePortRanges | 源端口范围。 | string[] |
ApplicationSecurityGroup
名称 | 说明 | Value |
---|---|---|
id | 资源 ID。 | 字符串 |
location | 资源位置。 | string |
properties | 应用程序安全组的属性。 | ApplicationSecurityGroupPropertiesFormat |
标记 | 资源标记。 | 对象 (object) |
ApplicationSecurityGroupPropertiesFormat
此对象不包含在部署期间要设置的任何属性。 所有属性均为 ReadOnly。