你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

快速入门：创建 Azure 虚拟网络

了解如何使用 Azure 门户、Azure CLI、Azure PowerShell、Azure 资源管理器（ARM）模板、Bicep 模板和 Terraform 创建 Azure 虚拟网络（VNet）。部署两个虚拟机和一个 Azure Bastion 主机，以测试同一虚拟网络中的虚拟机之间的连接。 Azure Bastion 主机通过 SSL 直接在 Azure 门户中促进与虚拟机的安全无缝 RDP 和 SSH 连接。

虚拟网络是 Azure 中专用网络的基本构建块。 Azure 虚拟网络使 Azure 资源（例如虚拟机）能够安全地相互通信和 Internet。

如果没有具有活动订阅的 Azure 帐户，请免费创建一个。

先决条件

拥有有效订阅的 Azure 帐户。可以免费创建帐户。

拥有有效订阅的 Azure 帐户。可以免费创建帐户。
Azure Cloud Shell 或 Azure PowerShell。

本快速入门中的步骤在 Azure Cloud Shell 中以交互方式运行 Azure PowerShell cmdlet。若要在 Cloud Shell 中运行命令，请选择代码块右上角的“打开 Cloudshell”。选择“复制”以复制代码，并将其粘贴到 Cloud Shell 以运行。也可以从 Azure 门户中运行 Cloud Shell。

还可以在本地安装 Azure PowerShell 以运行 cmdlet。本文中的示例需要版本 5.4.1 或更高版本的 Azure PowerShell 模块。运行 Get-Module -ListAvailable Az 来查找已安装的版本。如果需要升级，请参阅更新 Azure PowerShell 模块。

如果要在本地运行 PowerShell，请运行 Connect-AzAccount 以连接到 Azure。

创建资源组

使用 Azure 帐户登录到 Azure 门户。
在门户顶部的搜索框中输入“资源组”。在搜索结果中选择“资源组”。
选择+ 新建。
在“创建资源组”的“基本信息”选项卡中，输入或选择以下信息：

设置价值

订阅选择订阅。

资源组输入 test-rg。

区域选择“美国东部 2”。
选择“查看 + 创建”。
选择创建。

设置	价值
订阅	选择订阅。
资源组	输入 test-rg。
区域	选择“美国东部 2”。

创建虚拟网络

在门户顶部的搜索框中，输入“虚拟网络”。在搜索结果中，选择“虚拟网络”。
选择+ 新建。

在“创建虚拟网络”的“基本信息”选项卡上，输入或选择以下信息：

设置	价值
项目详细信息
订阅	选择订阅。
资源组	选择 test-rg。
实例详细信息
名称	输入“vnet-1”。
区域	选择“美国东部 2”。

选择 “下一步 ”以转到“ 安全 ”选项卡。
选择 “下一步 ”以转到“ IP 地址 ”选项卡。
在子网中的地址空间框中，选择默认子网。

在 “编辑子网”中，输入或选择以下信息：

设置	价值
子网详细信息
子网模板	保留默认值“默认”。
名称	输入 subnet-1。
起始地址	保留默认值 10.0.0.0。
子网大小	保留默认值“/24 (256 个地址)”。

选择“ 保存”。
选择屏幕底部的“查看 + 创建”，然后在验证通过时选择“创建”。

部署 Azure Bastion

Azure Bastion 使用浏览器通过安全外壳 (SSH) 或远程桌面协议 (RDP) 连接到虚拟网络中的虚拟机 (VM)（通过使用其专用 IP 地址）。虚拟机不需要公共 IP 地址、客户端软件或特殊配置。有关 Azure Bastion 的详细信息，请参阅 Azure Bastion。

注释

无论出站数据使用情况如何，按小时定价都从部署 Bastion 的时间开始算起。有关详细信息，请参阅定价和 SKU。如果要将 Bastion 部署为教程或测试的一部分，建议在使用完此资源后将其删除。

在门户顶部的搜索框中，输入“堡垒”。在搜索结果中选择 Bastions 。
选择+ 新建。

在“创建 Bastion”的“基本”选项卡中，输入或选择以下信息：

设置	价值
项目详细信息
订阅	选择订阅。
资源组	选择 test-rg。
实例详细信息
名称	输入堡垒。
区域	选择“美国东部 2”。
层	选择 “开发人员”。
配置虚拟网络
虚拟网络	选择“vnet-1”。

选择“查看 + 创建”。
选择创建。

创建虚拟机

以下过程在虚拟网络中创建两个 VM，名称分别为“vm-1”和“vm-2”：

在门户中，搜索并选择 虚拟机。
在“虚拟机”中，选择“+ 创建”，然后选择“Azure 虚拟机”。

在“创建虚拟机”的“基本信息”选项卡上，输入或选择以下信息：

设置	价值
项目详细信息
订阅	选择订阅。
资源组	选择 test-rg。
实例详细信息
虚拟机名称	输入“vm-1”。
区域	选择“美国东部 2”。
可用性选项	选择“无需基础结构冗余”。
安全类型	保留默认值 “标准”。
图像	选择“Ubuntu Server 22.04 LTS - x64 Gen2”。
VM 架构	保留默认值“x64”。
尺寸	请选择尺寸。
管理员帐户
身份验证类型	选择“SSH 公钥”。
用户名	输入“azureuser”。
SSH 公钥源	选择“生成新密钥对”。
密钥对名称	输入 vm-1-key。
入站端口规则
公共入站端口	选择 “无”。

选择“网络”选项卡。输入或选择以下信息：

设置	价值
网络接口
虚拟网络	选择“vnet-1”。
子网	选择“subnet-1 (10.0.0.0/24)”。
公网 IP	选择 “无”。
NIC 网络安全组	选择“高级”。
配置网络安全组	选择“新建”。在“名称”中输入“nsg-1”。将其余字段保留默认设置，然后选择“确定”。

将其余设置保留为默认值，然后选择“查看 + 创建”。
检查设置，然后选择“创建”。

等待第一台虚拟机部署，然后重复前面的步骤，以使用以下设置创建第二台虚拟机：

设置	价值
虚拟机名称	输入“vm-2”。
SSH 公钥源	选择“生成新密钥对”。
密钥对名称	输入 vm-2-key。
虚拟网络	选择“vnet-1”。
子网	选择“subnet-1 (10.0.0.0/24)”。
公网 IP	选择 “无”。
NIC 网络安全组	选择“高级”。
配置网络安全组	选择 nsg-1。

注释

虚拟网络中具有 Azure Bastion 主机的虚拟机不需要公共 IP 地址。 Bastion 提供公共 IP，虚拟机使用专用 IP 在网络中进行通信。可以从 Bastion 托管的虚拟网络的任何虚拟机中删除公共 IP。有关详细信息，请参阅解除 Azure VM 上的公共 IP 地址关联。

注释

Azure 会为未分配公共 IP 地址的 VM 或位于内部基本 Azure 负载均衡器的后端池中的 VM 提供默认出站访问 IP。默认出站访问 IP 机制会提供不可配置的出站 IP 地址。

发生以下事件之一时，将禁用默认出站访问 IP：

将公共 IP 地址分配给 VM。
虚拟机被放置在标准负载均衡器的后端池中，可以有出站规则，也可以没有。
Azure NAT 网关资源分配给 VM 的子网。

在灵活业务流程模式下通过使用虚拟机规模集创建的 VM 没有默认的出站访问权限。

有关 Azure 中的出站连接的详细信息，请参阅 Azure 中的默认出站访问，并使用源网络地址转换（SNAT）进行出站连接。

创建资源组

使用 New-AzResourceGroup 创建用于托管虚拟网络的资源组。运行以下代码，在 eastus2 Azure 区域中创建名为 test-rg 的资源组：

$rg = @{
    Name = 'test-rg'
    Location = 'eastus2'
}
New-AzResourceGroup @rg

创建虚拟网络

使用 New-AzVirtualNetwork 在 test-rg 资源组和 eastus2 位置创建名为 vnet-1 的虚拟网络，其 IP 地址前缀为 10.0.0.0/16：

$vnet = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Azure 将资源部署到虚拟网络中的子网。使用 Add-AzVirtualNetworkSubnetConfig 创建名为 subnet-1 的子网 配置，地址前缀 为 10.0.0.0/24：

$subnet = @{
    Name = 'subnet-1'
    VirtualNetwork = $virtualNetwork
    AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

使用 Set-AzVirtualNetwork 将子网配置关联到虚拟网络：
```
$virtualNetwork | Set-AzVirtualNetwork
```

部署 Azure Bastion

Azure Bastion 使用您的浏览器通过安全外壳（SSH）或远程桌面协议（RDP）通过其专用 IP 地址连接到虚拟网络中的虚拟机。虚拟机不需要公共 IP 地址、客户端软件或特殊配置。有关 Azure Bastion 的详细信息，请参阅什么是 Azure Bastion？。

为虚拟网络配置 Bastion 子网。此子网专用于 Bastion 资源，必须命名为 AzureBastionSubnet。

$subnet = @{
    Name = 'AzureBastionSubnet'
    VirtualNetwork = $virtualNetwork
    AddressPrefix = '10.0.1.0/26'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

设置配置：
```
$virtualNetwork | Set-AzVirtualNetwork
```

为 Bastion 创建一个公共 IP 地址。 Bastion 主机使用公共 IP 通过端口 443 访问 SSH 和 RDP。

$ip = @{
        ResourceGroupName = 'test-rg'
        Name = 'public-ip'
        Location = 'eastus2'
        AllocationMethod = 'Static'
        Sku = 'Standard'
        Zone = 1,2,3
}
New-AzPublicIpAddress @ip

使用 New-AzBastion 命令在 AzureBastionSubnet 中创建新的基本 SKU Bastion 主机：

$bastion = @{
    Name = 'bastion'
    ResourceGroupName = 'test-rg'
    PublicIpAddressRgName = 'test-rg'
    PublicIpAddressName = 'public-ip'
    VirtualNetworkRgName = 'test-rg'
    VirtualNetworkName = 'vnet-1'
    Sku = 'Basic'
}
New-AzBastion @bastion

部署 Bastion 资源大约需要 10 分钟。在 Bastion 部署到虚拟网络时，可以在下一部分中创建虚拟机。

创建虚拟机

创建第一个虚拟机

使用 New-AzVM 创建虚拟机。以下示例在 vnet-1 虚拟网络中创建名为 vm-1 的虚拟机。

# Create a credential object
$cred = Get-Credential

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "eastus2"
    Name = "vm-1"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-1-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

创建第二个虚拟机

# Create a credential object
$cred = Get-Credential

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "eastus2"
    Name = "vm-2"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-2-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

Azure 创建虚拟机需要几分钟时间。 Azure 完成创建虚拟机后，会将输出返回到 PowerShell。

注释

具有 Bastion 主机的虚拟网络中的虚拟机不需要公共 IP 地址。 Bastion 提供公共 IP，虚拟机使用专用 IP 在网络中通信。可以从 Bastion 托管的虚拟网络中的任何虚拟机中删除公共 IP。有关详细信息，请参阅解除 Azure VM 上的公共 IP 地址关联。

注释

发生以下事件之一时，将禁用默认出站访问 IP：

将公共 IP 地址分配给 VM。
虚拟机被放置在标准负载均衡器的后端池中，可以有出站规则，也可以没有。
Azure NAT 网关资源分配给 VM 的子网。

在灵活业务流程模式下通过使用虚拟机规模集创建的 VM 没有默认的出站访问权限。

有关 Azure 中的出站连接的详细信息，请参阅 Azure 中的默认出站访问，并使用源网络地址转换（SNAT）进行出站连接。

创建资源组

使用 az group create 创建用于托管虚拟网络的资源组。使用以下代码在“eastus2”Azure 区域中创建名为“test-rg”的资源组：

az group create \
    --name test-rg \
    --location eastus2

创建虚拟网络和子网

使用 az network vnet create 创建名为 vnet-1 的虚拟网络，并在 test-rg 资源组中创建名为 subnet-1 的子网：

az network vnet create \
    --name vnet-1 \
    --resource-group test-rg \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

部署 Azure Bastion

Azure Bastion 使用您的浏览器通过安全外壳（SSH）或远程桌面协议（RDP）通过其专用 IP 地址连接到虚拟网络中的虚拟机。虚拟机不需要公共 IP 地址、客户端软件或特殊配置。

无论出站数据使用情况如何，按小时定价都从部署 Bastion 的时间开始算起。有关详细信息，请参阅定价和 SKU。如果要将 Bastion 部署为教程或测试的一部分，建议在使用完此资源后将其删除。有关 Azure Bastion 的详细信息，请参阅什么是 Azure Bastion？。

使用 az network vnet subnet create 为虚拟网络创建 Bastion 子网。此子网专用于 Bastion 资源，必须命名为 AzureBastionSubnet。

az network vnet subnet create \
    --name AzureBastionSubnet \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --address-prefix 10.0.1.0/26

为 Bastion 创建一个公共 IP 地址。此 IP 地址用于从 Internet 连接到 Bastion 主机。使用 az network public-ip create 在 test-rg 资源组中创建名为 public-ip 的公共 IP 地址：
```
az network public-ip create \
    --resource-group test-rg \
    --name public-ip \
    --sku Standard \
    --location eastus2 \
    --zone 1 2 3
```

使用 az network bastion create 在 AzureBastionSubnet 中为虚拟网络创建 Bastion 主机：

az network bastion create \
    --name bastion \
    --public-ip-address public-ip \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --location eastus2 \
    --sku Basic

部署 Bastion 资源大约需要 10 分钟。在 Bastion 部署到虚拟网络时，可以在下一部分中创建虚拟机。

创建虚拟机

创建第一个虚拟机

使用 az vm create 创建虚拟机。以下示例在 vnet-1 虚拟网络中创建名为 vm-1 的虚拟机。如果默认密钥位置中尚不存在 SSH 密钥，该命令会创建它们。该 --no-wait 选项在后台创建虚拟机，以便可以继续执行下一步。

az vm create \
    --resource-group test-rg \
    --name vm-1 \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --public-ip-address "" \
    --admin-username azureuser \
    --generate-ssh-keys \
    --no-wait

创建第二个虚拟机

在 vnet-1 虚拟网络中创建名为 vm-2 的虚拟机。

az vm create \
    --resource-group test-rg \
    --name vm-2 \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --public-ip-address "" \
    --admin-username azureuser \
    --generate-ssh-keys

创建虚拟机需要几分钟时间。

注释

发生以下事件之一时，将禁用默认出站访问 IP：

将公共 IP 地址分配给 VM。
虚拟机被放置在标准负载均衡器的后端池中，可以有出站规则，也可以没有。
Azure NAT 网关资源分配给 VM 的子网。

在灵活业务流程模式下通过使用虚拟机规模集创建的 VM 没有默认的出站访问权限。

有关 Azure 中的出站连接的详细信息，请参阅 Azure 中的默认出站访问，并使用源网络地址转换（SNAT）进行出站连接。

查看模板

在本快速入门中使用的模板来自 Azure 快速入门模板。

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.6.18.56646",
      "templateHash": "10806234693722113459"
    }
  },
  "parameters": {
    "vnetName": {
      "type": "string",
      "defaultValue": "VNet1",
      "metadata": {
        "description": "VNet name"
      }
    },
    "vnetAddressPrefix": {
      "type": "string",
      "defaultValue": "10.0.0.0/16",
      "metadata": {
        "description": "Address prefix"
      }
    },
    "subnet1Prefix": {
      "type": "string",
      "defaultValue": "10.0.0.0/24",
      "metadata": {
        "description": "Subnet 1 Prefix"
      }
    },
    "subnet1Name": {
      "type": "string",
      "defaultValue": "Subnet1",
      "metadata": {
        "description": "Subnet 1 Name"
      }
    },
    "subnet2Prefix": {
      "type": "string",
      "defaultValue": "10.0.1.0/24",
      "metadata": {
        "description": "Subnet 2 Prefix"
      }
    },
    "subnet2Name": {
      "type": "string",
      "defaultValue": "Subnet2",
      "metadata": {
        "description": "Subnet 2 Name"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2021-08-01",
      "name": "[parameters('vnetName')]",
      "location": "[parameters('location')]",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('subnet1Name')]",
            "properties": {
              "addressPrefix": "[parameters('subnet1Prefix')]"
            }
          },
          {
            "name": "[parameters('subnet2Name')]",
            "properties": {
              "addressPrefix": "[parameters('subnet2Prefix')]"
            }
          }
        ]
      }
    }
  ]
}

该模板定义以下 Azure 资源：

Microsoft.Network/virtualNetworks：创建虚拟网络。
Microsoft.Network/virtualNetworks/subnets：创建子网。

部署模板

将资源管理器模板部署到 Azure：

选择“部署到 Azure”，登录到 Azure 并打开模板。该模板创建包含两个子网的虚拟网络。
在门户中的“创建具有两个子网的虚拟网络”页上，输入或选择以下值：
- 资源组：选择“新建”，输入资源组名称“CreateVNetQS-rg”，然后选择“确定”。
- 虚拟网络名称：输入新虚拟网络的名称。
选择“查看 + 创建”，然后选择“创建”。
部署完成后，选择“转到资源”按钮，查看已部署的资源。

查看已部署的资源

浏览“VNet1”的设置面板，探索您使用虚拟网络创建的资源。

“概述”选项卡显示了定义的地址空间“10.0.0.0/16”。
“子网”选项卡显示了已部署子网“Subnet1”和“Subnet2”，以及模板中的相应值。

若要了解模板中虚拟网络的 JSON 语法和属性，请参阅 Microsoft.Network/virtualNetworks。

创建虚拟网络和虚拟机

本快速入门使用 Azure 资源管理器快速入门模板中的 VNET 中的两个虚拟机 Bicep 模板来创建虚拟网络、资源子网和虚拟机。 Bicep 模板定义以下 Azure 资源：

Microsoft.Network virtualNetworks：创建 Azure 虚拟网络。
Microsoft.Network virtualNetworks/subnets：为虚拟机创建子网。
Microsoft.Compute virtualMachines：创建虚拟机。
Microsoft.Compute availabilitySets：创建可用性集。
Microsoft.NetworkInterfaces：创建网络接口。
Microsoft.Network loadBalancers：创建内部负载均衡器。
Microsoft.StorageAccounts：创建存储帐户。

查阅 Bicep 文件：

@description('Admin username')
param adminUsername string

@description('Admin password')
@secure()
param adminPassword string

@description('Prefix to use for VM names')
param vmNamePrefix string = 'BackendVM'

@description('Location for all resources.')
param location string = resourceGroup().location

@description('Size of the virtual machines')
param vmSize string = 'Standard_D2s_v3'

var availabilitySetName = 'AvSet'
var storageAccountType = 'Standard_LRS'
var storageAccountName = uniqueString(resourceGroup().id)
var virtualNetworkName = 'vNet'
var subnetName = 'backendSubnet'
var loadBalancerName = 'ilb'
var networkInterfaceName = 'nic'
var subnetRef = resourceId('Microsoft.Network/virtualNetworks/subnets', virtualNetworkName, subnetName)
var numberOfInstances = 2

resource storageAccount 'Microsoft.Storage/storageAccounts@2023-01-01' = {
  name: storageAccountName
  location: location
  sku: {
    name: storageAccountType
  }
  kind: 'StorageV2'
}

resource availabilitySet 'Microsoft.Compute/availabilitySets@2023-09-01' = {
  name: availabilitySetName
  location: location
  sku: {
    name: 'Aligned'
  }
  properties: {
    platformUpdateDomainCount: 2
    platformFaultDomainCount: 2
  }
}

resource virtualNetwork 'Microsoft.Network/virtualNetworks@2023-09-01' = {
  name: virtualNetworkName
  location: location
  properties: {
    addressSpace: {
      addressPrefixes: [
        '10.0.0.0/16'
      ]
    }
    subnets: [
      {
        name: subnetName
        properties: {
          addressPrefix: '10.0.2.0/24'
        }
      }
    ]
  }
}

resource networkInterface 'Microsoft.Network/networkInterfaces@2023-09-01' = [for i in range(0, numberOfInstances): {
  name: '${networkInterfaceName}${i}'
  location: location
  properties: {
    ipConfigurations: [
      {
        name: 'ipconfig1'
        properties: {
          privateIPAllocationMethod: 'Dynamic'
          subnet: {
            id: subnetRef
          }
          loadBalancerBackendAddressPools: [
            {
              id: resourceId('Microsoft.Network/loadBalancers/backendAddressPools', loadBalancerName, 'BackendPool1')
            }
          ]
        }
      }
    ]
  }
  dependsOn: [
    virtualNetwork
    loadBalancer
  ]
}]

resource loadBalancer 'Microsoft.Network/loadBalancers@2023-09-01' = {
  name: loadBalancerName
  location: location
  sku: {
    name: 'Standard'
  }
  properties: {
    frontendIPConfigurations: [
      {
        properties: {
          subnet: {
            id: subnetRef
          }
          privateIPAddress: '10.0.2.6'
          privateIPAllocationMethod: 'Static'
        }
        name: 'LoadBalancerFrontend'
      }
    ]
    backendAddressPools: [
      {
        name: 'BackendPool1'
      }
    ]
    loadBalancingRules: [
      {
        properties: {
          frontendIPConfiguration: {
            id: resourceId('Microsoft.Network/loadBalancers/frontendIpConfigurations', loadBalancerName, 'LoadBalancerFrontend')
          }
          backendAddressPool: {
            id: resourceId('Microsoft.Network/loadBalancers/backendAddressPools', loadBalancerName, 'BackendPool1')
          }
          probe: {
            id: resourceId('Microsoft.Network/loadBalancers/probes', loadBalancerName, 'lbprobe')
          }
          protocol: 'Tcp'
          frontendPort: 80
          backendPort: 80
          idleTimeoutInMinutes: 15
        }
        name: 'lbrule'
      }
    ]
    probes: [
      {
        properties: {
          protocol: 'Tcp'
          port: 80
          intervalInSeconds: 15
          numberOfProbes: 2
        }
        name: 'lbprobe'
      }
    ]
  }
  dependsOn: [
    virtualNetwork
  ]
}

resource vm 'Microsoft.Compute/virtualMachines@2023-09-01' = [for i in range(0, numberOfInstances): {
  name: '${vmNamePrefix}${i}'
  location: location
  properties: {
    availabilitySet: {
      id: availabilitySet.id
    }
    hardwareProfile: {
      vmSize: vmSize
    }
    osProfile: {
      computerName: '${vmNamePrefix}${i}'
      adminUsername: adminUsername
      adminPassword: adminPassword
    }
    storageProfile: {
      imageReference: {
        publisher: 'MicrosoftWindowsServer'
        offer: 'WindowsServer'
        sku: '2019-Datacenter'
        version: 'latest'
      }
      osDisk: {
        createOption: 'FromImage'
      }
    }
    networkProfile: {
      networkInterfaces: [
        {
          id: networkInterface[i].id
        }
      ]
    }
    diagnosticsProfile: {
      bootDiagnostics: {
        enabled: true
        storageUri: storageAccount.properties.primaryEndpoints.blob
      }
    }
  }
}]

output location string = location
output name string = loadBalancer.name
output resourceGroupName string = resourceGroup().name
output resourceId string = loadBalancer.id

部署 Bicep 模板

将 Bicep 文件保存到本地计算机作为 main.bicep。

使用 Azure CLI 或 Azure PowerShell 来部署 Bicep 文件：

CLI

az group create \
    --name TestRG \
    --location eastus

az deployment group create \
    --resource-group TestRG \
    --template-file main.bicep

PowerShell

 $rgParams = @{
     Name     = 'TestRG'
     Location = 'eastus'
 }
 New-AzResourceGroup @rgParams

 $deploymentParams = @{
     ResourceGroupName = 'TestRG'
     TemplateFile      = 'main.bicep'
 }
 New-AzResourceGroupDeployment @deploymentParams

部署完成后，一条消息指示部署成功。

部署 Azure Bastion

Bastion 使用浏览器通过安全外壳 (SSH) 或远程桌面协议 (RDP) 连接到虚拟网络中的虚拟机（通过使用其专用 IP 地址）。虚拟机不需要公共 IP 地址、客户端软件或特殊配置。有关 Azure Bastion 的详细信息，请参阅什么是 Azure Bastion？

注释

使用 Azure 资源管理器快速入门模板中的 Azure Bastion 即服务 Bicep 模板在虚拟网络中部署和配置 Bastion。该 Bicep 模板定义以下 Azure 资源：

Microsoft.Network virtualNetworks/subnets：创建 AzureBastionSubnet 子网。
Microsoft.Network bastionHosts：创建 Bastion 主机。
Microsoft.Network publicIPAddresses：为 Bastion 主机创建公共 IP 地址。
Microsoft.NetworkSecurityGroups：控制网络安全组的设置。

查阅 Bicep 文件：

@description('Name of new or existing vnet to which Azure Bastion should be deployed')
param vnetName string = 'vnet01'

@description('IP prefix for available addresses in vnet address space')
param vnetIpPrefix string = '10.1.0.0/16'

@description('Specify whether to provision new vnet or deploy to existing vnet')
@allowed([
  'new'
  'existing'
])
param vnetNewOrExisting string = 'new'

@description('Bastion subnet IP prefix MUST be within vnet IP prefix address space')
param bastionSubnetIpPrefix string = '10.1.1.0/26'

@description('Name of Azure Bastion resource')
param bastionHostName string

@description('Azure region for Bastion and virtual network')
param location string = resourceGroup().location

var publicIpAddressName = '${bastionHostName}-pip'
var bastionSubnetName = 'AzureBastionSubnet'

resource publicIp 'Microsoft.Network/publicIPAddresses@2022-01-01' = {
  name: publicIpAddressName
  location: location
  sku: {
    name: 'Standard'
  }
  properties: {
    publicIPAllocationMethod: 'Static'
  }
}

// if vnetNewOrExisting == 'new', create a new vnet and subnet
resource newVirtualNetwork 'Microsoft.Network/virtualNetworks@2022-01-01' = if (vnetNewOrExisting == 'new') {
  name: vnetName
  location: location
  properties: {
    addressSpace: {
      addressPrefixes: [
        vnetIpPrefix
      ]
    }
    subnets: [
      {
        name: bastionSubnetName
        properties: {
          addressPrefix: bastionSubnetIpPrefix
        }
      }
    ]
  }
}

// if vnetNewOrExisting == 'existing', reference an existing vnet and create a new subnet under it
resource existingVirtualNetwork 'Microsoft.Network/virtualNetworks@2022-01-01' existing = if (vnetNewOrExisting == 'existing') {
  name: vnetName
}
resource subnet 'Microsoft.Network/virtualNetworks/subnets@2022-01-01' = if (vnetNewOrExisting == 'existing') {
  parent: existingVirtualNetwork
  name: bastionSubnetName
  properties: {
    addressPrefix: bastionSubnetIpPrefix
  }
}

resource bastionHost 'Microsoft.Network/bastionHosts@2022-01-01' = {
  name: bastionHostName
  location: location
  dependsOn: [
    newVirtualNetwork
    existingVirtualNetwork
  ]
  properties: {
    ipConfigurations: [
      {
        name: 'IpConf'
        properties: {
          subnet: {
            id: subnet.id
          }
          publicIPAddress: {
            id: publicIp.id
          }
        }
      }
    ]
  }
}

部署 Bicep 模板

将 Bicep 文件保存到本地计算机作为 bastion.bicep。

使用文本或代码编辑器在文件中进行以下更改：

第 2 行：将 param vnetName string 从 'vnet01' 更改为 'VNet'。
第 5 行：将 param vnetIpPrefix string 从 '10.1.0.0/16' 更改为 '10.0.0.0/16'。
第 12 行：将 param vnetNewOrExisting string 从 'new' 更改为 'existing'。
第 15 行：将 param bastionSubnetIpPrefix string 从 '10.1.1.0/26' 更改为 '10.0.1.0/26'。
第 18 行：将 param bastionHostName string 更改为 param bastionHostName = 'VNet-bastion'。

更改后，Bicep 文件的前 18 行应如下示例所示：

@description('Name of new or existing vnet to which Azure Bastion should be deployed')
param vnetName string = 'VNet'

@description('IP prefix for available addresses in vnet address space')
param vnetIpPrefix string = '10.0.0.0/16'

@description('Specify whether to provision new vnet or deploy to existing vnet')
@allowed([
  'new'
  'existing'
])
param vnetNewOrExisting string = 'existing'

@description('Bastion subnet IP prefix MUST be within vnet IP prefix address space')
param bastionSubnetIpPrefix string = '10.0.1.0/26'

@description('Name of Azure Bastion resource')
param bastionHostName = 'VNet-bastion'

保存 bastion.bicep 文件。

使用 Azure CLI 或 Azure PowerShell 来部署 Bicep 文件：

CLI

az deployment group create \
     --resource-group TestRG \
     --template-file bastion.bicep

PowerShell

$deploymentParams = @{
    ResourceGroupName = 'TestRG'
    TemplateFile      = 'bastion.bicep'
}
New-AzResourceGroupDeployment @deploymentParams

部署完成后，一条消息指示部署成功。

注释

查看已部署的资源

使用 Azure CLI、Azure PowerShell 或 Azure 门户来查看部署的资源。

CLI

az resource list --resource-group TestRG

PowerShell

Get-AzResource -ResourceGroupName TestRG

Portal

在 Azure 门户中，搜索并选择 资源组。在“资源组”页面上，从资源组列表中选择“TestRG”。
在 TestRG的“概述”页上，查看创建的所有资源，包括虚拟网络、两个虚拟机和 Bastion 主机。
选择“VNet”虚拟网络。在 VNet 的“概述”页上，留意所定义的地址空间“10.0.0.0/16”。
在左侧菜单中选择“子网”。在“子网”页上，留意所部署的子网“backendSubnet”和“AzureBastionSubnet”，以及 Bicep 文件中分配的值。

该脚本将使用 Azure 资源管理器 (azurerm) 提供程序来与 Azure 资源进行交互。它将使用 Random (random) 提供程序为资源生成随机宠物名称。

此脚本会创建以下资源：

资源组：用于保存 Azure 解决方案的相关资源的容器。
虚拟网络：Azure 中专用网络的基本构建块。
两个子网：虚拟网络 IP 地址范围的段，可在其中放置隔离资源组。

Terraform 支持云基础结构的定义、预览和部署。使用 Terraform，可以使用 HCL 语法创建配置文件。利用 HCL 语法，可指定 Azure 这样的云提供程序和构成云基础结构的元素。创建配置文件后，请创建一个执行计划，利用该计划，可在部署基础结构更改之前先预览这些更改。验证了更改后，请应用该执行计划以部署基础结构。

实现 Terraform 代码

注释

本文的示例代码位于 Azure Terraform GitHub 存储库中。可以查看包含当前版本和早期版本的 Terraform 的测试结果的日志文件。

有关演示如何使用 Terraform 管理 Azure 资源的详细信息文章和示例代码，请参阅 Azure 上的 Terraform 的文档页。

创建用于测试和运行示例 Terraform 代码的目录，并将其设为当前目录。

创建名为“main.tf”的文件并插入以下代码：

# Resource Group
resource "azurerm_resource_group" "rg" {
  location = var.resource_group_location
  name     = "${random_pet.prefix.id}-rg"
}

# Virtual Network
resource "azurerm_virtual_network" "my_terraform_network" {
  name                = "${random_pet.prefix.id}-vnet"
  address_space       = ["10.0.0.0/16"]
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name
}

# Subnet 1
resource "azurerm_subnet" "my_terraform_subnet_1" {
  name                 = "subnet-1"
  resource_group_name  = azurerm_resource_group.rg.name
  virtual_network_name = azurerm_virtual_network.my_terraform_network.name
  address_prefixes     = ["10.0.0.0/24"]
}

# Subnet 2
resource "azurerm_subnet" "my_terraform_subnet_2" {
  name                 = "subnet-2"
  resource_group_name  = azurerm_resource_group.rg.name
  virtual_network_name = azurerm_virtual_network.my_terraform_network.name
  address_prefixes     = ["10.0.1.0/24"]
}

resource "random_pet" "prefix" {
  prefix = var.resource_group_name_prefix
  length = 1
}

创建名为“outputs.tf”的文件并插入以下代码：

output "resource_group_name" {
  description = "The name of the created resource group."
  value       = azurerm_resource_group.rg.name
}

output "virtual_network_name" {
  description = "The name of the created virtual network."
  value       = azurerm_virtual_network.my_terraform_network.name
}

output "subnet_name_1" {
  description = "The name of the created subnet 1."
  value       = azurerm_subnet.my_terraform_subnet_1.name
}

output "subnet_name_2" {
  description = "The name of the created subnet 2."
  value       = azurerm_subnet.my_terraform_subnet_2.name
}

创建名为“providers.tf”的文件并插入以下代码：

terraform {
  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~>3.0"
    }
    random = {
      source  = "hashicorp/random"
      version = "~>3.0"
    }
  }
}

provider "azurerm" {
  features {}
}

创建名为“variables.tf”的文件并插入以下代码：

variable "resource_group_location" {
  type        = string
  default     = "eastus"
  description = "Location of the resource group."
}

variable "resource_group_name_prefix" {
  type        = string
  default     = "rg"
  description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
}

初始化 Terraform

运行 terraform init 以初始化 Terraform 部署。此命令将下载管理 Azure 资源所需的 Azure 提供程序。

terraform init -upgrade

要点：

参数 -upgrade 可将必要的提供程序插件升级到符合配置版本约束的最新版本。

创建 Terraform 执行计划

运行 terraform 计划以创建执行计划。

terraform plan -out main.tfplan

要点：

terraform plan 命令将创建一个执行计划，但不会执行它。相反，它会确定需要执行哪些操作，以创建配置文件中指定的配置。此模式允许你在对实际资源进行任何更改之前验证执行计划是否符合预期。
使用可选 -out 参数可以为计划指定输出文件。使用 -out 参数可以确保所查看的计划与所应用的计划完全一致。

应用 Terraform 执行计划

运行 terraform apply 命令将执行计划应用到你的云基础设施。

terraform apply main.tfplan

要点：

示例 terraform apply 命令假设你先前运行了 terraform plan -out main.tfplan。
如果为 -out 参数指定了不同的文件名，请在对 terraform apply 的调用中使用该相同文件名。
如果未使用 -out 参数，请调用不带任何参数的 terraform apply。

验证结果

获取 Azure 资源组名称：

resource_group_name=$(terraform output -raw resource_group_name)

获取虚拟网络名称：

virtual_network_name=$(terraform output -raw virtual_network_name)

用于 az network vnet show 显示新创建的虚拟网络的详细信息：

az network vnet show \
    --resource-group $resource_group_name \
    --name $virtual_network_name

Azure 上的 Terraform 故障排除

有关 Terraform 故障排除的信息，请参阅在 Azure 上使用 Terraform 时排查常见问题。

连接到虚拟机

在门户顶部的搜索框中，输入 虚拟机。在搜索结果中，选择“虚拟机”。
在 虚拟机中，选择 vm-1。
在“概述”部分中选择“连接”，然后选择“通过 Bastion 连接”。

在 Bastion 连接页中，输入或选择以下信息：

设置	价值
身份验证类型	从本地文件选择 SSH 私钥。
用户名	输入“azureuser”。
本地文件	选择下载或创建的私钥文件。

选择连接。

启动虚拟机之间的通信

在 vm-1 的 bash 提示符下，输入 ping -c 4 vm-2。

你会收到类似于以下消息的回复：

azureuser@vm-1:~$ ping -c 4 vm-2
PING vm-2.3bnkevn3313ujpr5l1kqop4n4d.cx.internal.cloudapp.net (10.0.0.5) 56(84) bytes of data.
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=1 ttl=64 time=1.83 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=2 ttl=64 time=0.987 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=3 ttl=64 time=0.864 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=4 ttl=64 time=0.890 ms

关闭 Bastion 会话。
在门户顶部的搜索框中，输入 虚拟机。在搜索结果中，选择“虚拟机”。
在 虚拟机中，选择 vm-2。
在“概述”部分中选择“连接”，然后选择“通过 Bastion 连接”。

在 Bastion 连接页中，输入或选择以下信息：

设置	价值
身份验证类型	从本地文件选择 SSH 私钥。
用户名	输入“azureuser”。
本地文件	选择下载或创建的私钥文件。

选择连接。

在“vm-2”的 bash 提示符下，输入。ping -c 4 vm-1

你会收到类似于以下消息的回复：

azureuser@vm-2:~$ ping -c 4 vm-1
PING vm-1.3bnkevn3313ujpr5l1kqop4n4d.cx.internal.cloudapp.net (10.0.0.4) 56(84) bytes of data.
64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=1 ttl=64 time=0.695 ms
64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=2 ttl=64 time=0.896 ms
64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=3 ttl=64 time=3.43 ms
64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=4 ttl=64 time=0.780 ms

关闭 Bastion 会话。

清理资源

使用完创建的资源之后，可以删除资源组及其所有资源。

在 Azure 门户中，搜索并选择“资源组”。
在“资源组”页上，选择“test-rg”资源组。
在“test-rg”页上，选择“删除资源组”。
在“输入资源组名称以确认删除”中输入“test-rg”，然后选择“删除”。

使用完虚拟网络和虚拟机后，请使用 Remove-AzResourceGroup 删除资源组及其所有资源：

$rgParams = @{
    Name = 'test-rg'
    Force = $true
}
Remove-AzResourceGroup @rgParams

使用完虚拟网络和虚拟机后，请使用 az group delete 删除资源组及其所有资源。

az group delete \
    --name test-rg \
    --yes

如果不再需要使用虚拟网络创建的资源，请删除资源组。该操作会删除该虚拟网络和所有相关资源。

若要删除资源组，请调用 Remove-AzResourceGroup cmdlet：

Remove-AzResourceGroup -Name <your resource group name>

不再需要通过 Terraform 创建的资源时，请执行以下步骤：

运行 terraform 计划并指定 destroy 标志。
```
terraform plan -destroy -out main.destroy.tfplan
```
要点：
- terraform plan 命令将创建一个执行计划，但不会执行它。相反，它会确定需要执行哪些操作，以创建配置文件中指定的配置。此模式允许你在对实际资源进行任何更改之前验证执行计划是否符合预期。
- 使用可选 -out 参数可以为计划指定输出文件。使用 -out 参数可以确保所查看的计划与所应用的计划完全一致。
运行 terraform apply 来应用执行计划。
```
terraform apply main.destroy.tfplan
```

反馈

此页面是否有帮助？

Last updated on 2026-02-22

通过

快速入门：创建 Azure 虚拟网络

先决条件

创建资源组

创建虚拟网络

部署 Azure Bastion

创建虚拟机

连接到虚拟机

启动虚拟机之间的通信

清理资源

相关内容

反馈

其他资源