Microsoft.Network networkSecurityGroups
Bicep 資源定義
networkSecurityGroups 資源類型可以使用目標作業來部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄。
備註
如需建立網路安全組的指引,請參閱 使用 Bicep 建立虛擬網路資源。
資源格式
若要建立 Microsoft.Network/networkSecurityGroups 資源,請將下列 Bicep 新增至範本。
resource symbolicname 'Microsoft.Network/networkSecurityGroups@2023-04-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
flushConnection: bool
securityRules: [
{
id: 'string'
name: 'string'
properties: {
access: 'string'
description: 'string'
destinationAddressPrefix: 'string'
destinationAddressPrefixes: [
'string'
]
destinationApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
destinationPortRange: 'string'
destinationPortRanges: [
'string'
]
direction: 'string'
priority: int
protocol: 'string'
sourceAddressPrefix: 'string'
sourceAddressPrefixes: [
'string'
]
sourceApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
sourcePortRange: 'string'
sourcePortRanges: [
'string'
]
}
type: 'string'
}
]
}
}
屬性值
networkSecurityGroups
| 名稱 | 描述 | 值 |
|---|---|---|
| NAME | 資源名稱 | 字串 (必要) 字元限制:1-80 合法字元: 英數字元、底線、句號和連字號。 以英數字元開頭。 以英數字元或底線結尾。 |
| location | 資源位置。 | 字串 |
| tags | 資源標籤。 | 標記名稱和值的字典。 請參閱 範本中的標記 |
| properties | 網路安全組的屬性。 | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| 名稱 | 描述 | 值 |
|---|---|---|
| flushConnection | 啟用時,從網路安全組連線建立的流程會在更新規則時重新評估。 初始啟用將會觸發重新評估。 | bool |
| securityRules | 網路安全組的安全性規則集合。 | SecurityRule[] |
SecurityRule
| 名稱 | 描述 | 值 |
|---|---|---|
| id | 資源識別碼。 | 字串 |
| NAME | 資源群組內唯一的資源名稱。 此名稱可用來存取資源。 | 字串 |
| properties | 安全性規則的屬性。 | SecurityRulePropertiesFormat |
| 類型 | 資源類型。 | 字串 |
SecurityRulePropertiesFormat
| 名稱 | 描述 | 值 |
|---|---|---|
| access | 允許或拒絕網路流量。 | 'Allow' 必要) ('Deny' |
| description | 此規則的說明。 限制為140個字元。 | 字串 |
| destinationAddressPrefix | 目的地位址前置詞。 CIDR 或目的地IP範圍。 也可用星號 (*) 來比對所有的來源 IP。 您也可以使用默認標籤,例如 'VirtualNetwork'、'AzureLoadBalancer' 和 'Internet'。 | 字串 |
| destinationAddressPrefixes | 目的地位址前置詞。 CIDR 或目的地IP範圍。 | string[] |
| destinationApplicationSecurityGroups | 指定為目的地的應用程式安全組。 | ApplicationSecurityGroup[] |
| destinationPortRange | 目的地埠或範圍。 介於 0 到 65535 之間的整數或範圍。 星號 『*』 也可以用來比對所有埠。 | 字串 |
| destinationPortRanges | 目的地埠範圍。 | string[] |
| direction | 規則的方向。 此方向指定是否根據連入或連出的流量評估規則。 | 'Inbound' 「輸出」 (必要) |
| priority | 規則的優先順序。 此值可以介於 100 到 4096 之間。 集合中每個規則的優先順序數字必須是唯一的。 優先順序號碼愈小,規則優先順序就愈高。 | 需要 int () |
| protocol | 此規則適用的網路通訊協定。 | '*' 'Ah' 'Esp' 'Icmp' 'Tcp' 必要 『Udp』 () |
| sourceAddressPrefix | CIDR 或來源IP範圍。 也可用星號 (*) 來比對所有的來源 IP。 您也可以使用默認標籤,例如 'VirtualNetwork'、'AzureLoadBalancer' 和 'Internet'。 如果這是輸入規則,請指定網路流量的來源。 | 字串 |
| sourceAddressPrefixes | CIDR 或來源IP範圍。 | string[] |
| sourceApplicationSecurityGroups | 指定為來源的應用程式安全組。 | ApplicationSecurityGroup[] |
| sourcePortRange | 來源埠或範圍。 介於 0 到 65535 之間的整數或範圍。 星號 『*』 也可以用來比對所有埠。 | 字串 |
| sourcePortRanges | 來源埠範圍。 | string[] |
ApplicationSecurityGroup
| 名稱 | 描述 | 值 |
|---|---|---|
| id | 資源識別碼。 | 字串 |
| location | 資源位置。 | 字串 |
| properties | 應用程式安全組的屬性。 | ApplicationSecurityGroupPropertiesFormat |
| tags | 資源標籤。 | 物件 (object) |
ApplicationSecurityGroupPropertiesFormat
此物件不包含部署期間要設定的任何屬性。 所有屬性都是 ReadOnly。
快速入門範本
下列快速入門範本會部署此資源類型。
| 範本 | 描述 |
|---|---|
受控 Azure Active Directory 網域服務 |
此範本會部署具有必要 VNet 和 NSG 設定的受控 Azure Active Directory 網域 服務。 |
| 具有 應用程式閘道 輸入控制器的 AKS 叢集 |
此範例示範如何使用 應用程式閘道、應用程式閘道 輸入控制器、Azure Container Registry、Log Analytics 和 金鑰保存庫 部署 AKS 叢集 |
| 具有 WAF、SSL、IIS 和 HTTPS 重新導向的應用程式閘道 |
此範本會使用 WAF、端對端 SSL 和 HTTP 部署至 IIS 伺服器上的 HTTPS 重新導向 應用程式閘道。 |
| 建立 IPv6 應用程式閘道 |
此範本會在雙堆疊虛擬網路中建立具有 IPv6 前端的應用程式閘道。 |
| 應用程式安全組 |
此範本示範如何使用 NSG 搭配應用程式安全組來組合使用 NSG 來保護工作負載。 它會部署執行 NGINX 的 Linux VM,並透過在網路安全組上使用應用程式安全組,我們將允許存取指派給名為 webServersAsg 之應用程式安全組的 VM 連接埠 22 和 80。 |
| 具有 NSG 的 Azure Bastion 即服務 |
此範本會在 虛擬網路 中布建 Azure Bastion |
| 使用 Azure 防火牆 作為中樞 & 輪輻拓撲中的 DNS Proxy |
此範例示範如何使用 Azure 防火牆 在 Azure 中部署中樞輪輻拓撲。 中樞虛擬網路可作為透過虛擬網路對等互連連線到中樞虛擬網路之許多輪輻虛擬網路的連線中心點。 |
| 建立 Azure 防火牆、用戶端 VM 和伺服器 VM 的沙箱 |
此範本會建立具有 2 個子網的虛擬網路, (伺服器子網和 AzureFirewall 子網) 、伺服器 VM、用戶端 VM、每個 VM 的公用 IP 位址,以及路由表以透過防火牆傳送 VM 之間的流量。 |
| 使用明確 Proxy 建立防火牆 FirewallPolicy |
此範本會使用 IpGroups 建立具有明確 Proxy 和網路規則的 Azure 防火牆 FirewalllPolicy。 此外,也包含Linux Jumpbox vm安裝程式 |
| 使用 FirewallPolicy 和 IpGroups 建立防火牆 |
此範本會建立具有 FirewalllPolicy 參考 IpGroups 網路規則的 Azure 防火牆。 此外,也包含Linux Jumpbox vm安裝程式 |
| 使用 IpGroups 建立 Azure 防火牆 |
此範本會使用參考IP群組的應用程式和網路規則建立 Azure 防火牆。 此外,也包含Linux Jumpbox vm安裝程式 |
| 使用強制通道建立 Azure 防火牆 沙箱 |
此範本會建立一個 Azure 防火牆 沙箱 (Linux) ,其中一個防火牆強制透過對等互連 VNET 中的另一個防火牆進行通道 |
| 使用 Linux VM 建立 Azure 防火牆 的沙箱設定 |
此範本會建立具有 3 個子網的虛擬網路, (伺服器子網、jumpbox 子集和 AzureFirewall 子網) 、具有公用 IP 的 jumpbox VM、伺服器 VM、UDR 路由,以指向伺服器子網的 Azure 防火牆,以及具有 1 或多個公用 IP 位址的 Azure 防火牆、1 個範例應用程式規則、1 個範例網路規則和預設私人範圍 |
| 使用防火牆原則建立沙箱設定 |
此範本會建立具有 3 個子網的虛擬網路, (伺服器子網、jumpbox 子集和 AzureFirewall 子網) 、具有公用 IP 的 jumpbox VM、伺服器 VM、UDR 路由,以指向伺服器子網的 Azure 防火牆,以及具有 1 或多個公用 IP 位址的 Azure 防火牆。 也會建立具有 1 個範例應用程式規則、1 個範例網路規則和預設私人範圍的防火牆原則 |
| 使用區域建立 Azure 防火牆的沙箱設定 |
此範本會建立具有三個子網的虛擬網路, (伺服器子網、jumpbox 子網和 Azure 防火牆 子網) 、具有公用 IP 的 jumpbox VM、伺服器 VM、UDR 路由,以指向 ServerSubnet 的 Azure 防火牆、具有一或多個公用 IP 位址的 Azure 防火牆、一個範例應用程式規則,以及一個範例網路規則,以及一個範例網路規則和 Azure 防火牆可用性區域 1、2 和 3。 |
| 具有私人對等互連和 Azure VNet 的 ExpressRoute 線路 |
此範本會設定 ExpressRoute Microsoft 對等互連、部署具有 Expressroute 閘道的 Azure VNet,並將 VNet 連結到 ExpressRoute 線路 |
| 在 Azure API 管理 前面建立 Azure Front Door |
此範例示範如何使用 Azure Front Door 作為 Azure API 管理 前面的全域負載平衡器。 |
| 建立具有多個公用 IP 位址的 Azure 防火牆 |
此範本會建立一個 Azure 防火牆,其中包含兩個公用IP位址和兩部 Windows Server 2019 伺服器進行測試。 |
| 安全虛擬中樞 |
此範本會使用 Azure 防火牆 建立安全的虛擬中樞,以保護目的地為因特網的雲端網路流量。 |
| 建立跨區域負載平衡器 |
此範本會建立具有包含兩個區域負載平衡器的後端集區跨區域負載平衡器。 跨區域負載平衡器目前可在有限的區域中使用。 跨區域負載平衡器背後的區域負載平衡器可以位於任何區域中。 |
| 依IP位址使用後端集區 Standard Load Balancer |
此範本用來示範如何使用 ARM 範本,依 IP 位址設定 Load Balancer 的後端集區,如後端集區管理檔中所述。 |
| 建立具有公用 IPv6 位址的負載平衡器 |
此範本會建立因特網面向的負載平衡器,其中包含公用 IPv6 位址、負載平衡規則,以及後端集區的兩部 VM。 |
| 建立標準負載平衡器 |
此範本會為後端集區建立因特網面向的負載平衡器、負載平衡規則和三個 VM,並在備援區域中具有每個 VM。 |
| 使用 VM 虛擬網路 NAT |
部署 NAT 閘道和虛擬機 |
| 將 NSG 套用至現有的子網 |
此範本會將新建立的 NSG 套用至現有的子網 |
| 具有診斷記錄的網路安全組 |
此範本會建立具有診斷記錄和資源鎖定的網路安全組 |
| 多層式 VNet 與 NSG 和 DMZ |
此範本會部署具有 3 個子網、3 個網路安全組和適當安全性規則的 虛擬網路,讓前端子網成為 DMZ |
| 使用 Quagga 進行 BGP 對等互連的 Azure 路由伺服器 |
此範本會部署具有Quagga的路由器伺服器和Ubuntu VM。 路由器伺服器與Quagga之間建立兩個外部 BGP 工作階段。 Quagga 的安裝和設定是由適用於Linux的 Azure 自定義腳本擴充功能執行 |
| 建立網路安全組 |
此範本會建立網路安全組 |
| 使用 VM 建立站對站 VPN 連線 |
此範本可讓您使用 虛擬網路 閘道建立站對站 VPN 連線 |
| 具有主動-主動 VPN 閘道與 BGP 的站對站 VPN |
此範本可讓您在具有 VPN 閘道的兩個 VNet 之間部署站對站 VPN,並使用 BGP 設定作用中。 每個 Azure VPN 閘道 都會解析遠端對等的 FQDN,以判斷遠端 VPN 閘道 的公用 IP。 範本會在具有可用性區域的 Azure 區域中如預期般執行。 |
| Azure 流量管理員 VM 範例 |
此範本示範如何跨多部虛擬機建立 Azure 流量管理員配置檔負載平衡。 |
| 使用 可用性區域 的 Azure 流量管理員 VM 範例 |
此範本示範如何在放置於 可用性區域的多個虛擬機上建立 Azure 流量管理員配置檔負載平衡。 |
| 用戶定義的路由和設備 |
此範本會部署 虛擬網路、個別子網中的 VM 和路由,以將流量導向設備 |
| 201-vnet-2subnets-service-endpoints-storage-integration |
在相同 VNet 內的兩個不同子網中,建立 2 個具有 NIC 的新 VM。 在其中一個子網上設定服務端點,並將記憶體帳戶保護至該子網。 |
| 將具有 Redis 安全性規則的 NSG 新增至現有的子網 |
此範本可讓您將具有預先設定 Azure Redis 快取安全性規則的 NSG 新增至 VNET 內的現有子網。 部署至現有 VNET 的資源群組。 |
ARM 範本資源定義
networkSecurityGroups 資源類型可以使用目標作業來部署:
- 資源群組 - 請參閱 資源群組部署命令
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄。
備註
如需建立網路安全組的指引,請參閱 使用 Bicep 建立虛擬網路資源。
資源格式
若要建立 Microsoft.Network/networkSecurityGroups 資源,請將下列 JSON 新增至您的範本。
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2023-04-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"flushConnection": "bool",
"securityRules": [
{
"id": "string",
"name": "string",
"properties": {
"access": "string",
"description": "string",
"destinationAddressPrefix": "string",
"destinationAddressPrefixes": [ "string" ],
"destinationApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"destinationPortRange": "string",
"destinationPortRanges": [ "string" ],
"direction": "string",
"priority": "int",
"protocol": "string",
"sourceAddressPrefix": "string",
"sourceAddressPrefixes": [ "string" ],
"sourceApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"sourcePortRange": "string",
"sourcePortRanges": [ "string" ]
},
"type": "string"
}
]
}
}
屬性值
networkSecurityGroups
| 名稱 | 描述 | 值 |
|---|---|---|
| 類型 | 資源類型 | 'Microsoft.Network/networkSecurityGroups' |
| apiVersion | 資源 API 版本 | '2023-04-01' |
| NAME | 資源名稱 | 需要字串 () 字元限制:1-80 合法字元: 英數字元、底線、句號和連字號。 以英數字元開頭。 以英數字元或底線結尾。 |
| location | 資源位置。 | 字串 |
| tags | 資源標籤。 | 標記名稱和值的字典。 請參閱 範本中的標籤 |
| properties | 網路安全組的屬性。 | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| 名稱 | 描述 | 值 |
|---|---|---|
| flushConnection | 啟用時,從網路安全組連線建立的流程會在更新規則時重新評估。 初始啟用將會觸發重新評估。 | bool |
| securityRules | 網路安全組的安全性規則集合。 | SecurityRule[] |
SecurityRule
| 名稱 | 描述 | 值 |
|---|---|---|
| id | 資源識別碼。 | 字串 |
| NAME | 資源群組內唯一的資源名稱。 此名稱可用來存取資源。 | 字串 |
| properties | 安全性規則的屬性。 | SecurityRulePropertiesFormat |
| 類型 | 資源類型。 | 字串 |
SecurityRulePropertiesFormat
| 名稱 | 描述 | 值 |
|---|---|---|
| access | 允許或拒絕網路流量。 | 'Allow' 需要 『Deny』 () |
| description | 此規則的說明。 限制為140個字元。 | 字串 |
| destinationAddressPrefix | 目的地地址前綴。 CIDR 或目的地IP範圍。 也可用星號 (*) 來比對所有的來源 IP。 您也可以使用默認標籤,例如 'VirtualNetwork'、'AzureLoadBalancer' 和 'Internet'。 | 字串 |
| destinationAddressPrefixes | 目的地位址前置詞。 CIDR 或目的地IP範圍。 | string[] |
| destinationApplicationSecurityGroups | 指定為目的地的應用程式安全組。 | ApplicationSecurityGroup[] |
| destinationPortRange | 目的地埠或範圍。 介於 0 到 65535 之間的整數或範圍。 星號 『*』 也可以用來比對所有埠。 | 字串 |
| destinationPortRanges | 目的地埠範圍。 | string[] |
| direction | 規則的方向。 此方向指定是否根據連入或連出的流量評估規則。 | 'Inbound' 「輸出」 (必要) |
| priority | 規則的優先順序。 此值可以介於 100 到 4096 之間。 集合中每個規則的優先順序數字必須是唯一的。 優先順序號碼愈小,規則優先順序就愈高。 | int (必要) |
| protocol | 此規則適用的網路通訊協定。 | '*' 'Ah' 'Esp' 'Icmp' 'Tcp' 需要 『Udp』 () |
| sourceAddressPrefix | CIDR 或來源IP範圍。 也可用星號 (*) 來比對所有的來源 IP。 您也可以使用默認標籤,例如 'VirtualNetwork'、'AzureLoadBalancer' 和 'Internet'。 如果這是輸入規則,請指定網路流量的來源。 | 字串 |
| sourceAddressPrefixes | CIDR 或來源IP範圍。 | string[] |
| sourceApplicationSecurityGroups | 指定為來源的應用程式安全組。 | ApplicationSecurityGroup[] |
| sourcePortRange | 來源埠或範圍。 介於 0 到 65535 之間的整數或範圍。 星號 『*』 也可以用來比對所有埠。 | 字串 |
| sourcePortRanges | 來源埠範圍。 | string[] |
ApplicationSecurityGroup
| 名稱 | 描述 | 值 |
|---|---|---|
| id | 資源識別碼。 | 字串 |
| location | 資源位置。 | 字串 |
| properties | 應用程式安全組的屬性。 | ApplicationSecurityGroupPropertiesFormat |
| tags | 資源標籤。 | 物件 (object) |
ApplicationSecurityGroupPropertiesFormat
此物件不包含部署期間要設定的任何屬性。 所有屬性都是 ReadOnly。
快速入門範本
下列快速入門範本會部署此資源類型。
| 範本 | 描述 |
|---|---|
| 受控 Azure Active Directory 網域服務 |
此範本會部署具有必要 VNet 和 NSG 設定的受控 Azure Active Directory 網域 服務。 |
| 具有 應用程式閘道 輸入控制器的 AKS 叢集 |
此範例示範如何使用 應用程式閘道、應用程式閘道 輸入控制器、Azure Container Registry、Log Analytics 和 金鑰保存庫 部署 AKS 叢集 |
| 具有 WAF、SSL、IIS 和 HTTPS 重新導向的應用程式閘道 |
此範本會部署具有 WAF 的 應用程式閘道、端對端 SSL 和 HTTP 至 IIS 伺服器上的 HTTPS 重新導向。 |
| 建立 IPv6 應用程式閘道 |
此範本會在雙堆疊虛擬網路中建立具有 IPv6 前端的應用程式閘道。 |
| 應用程式安全組 |
此範本示範如何使用 NSG 搭配應用程式安全組來組合使用 NSG 來保護工作負載。 它會部署執行 NGINX 的 Linux VM,以及透過在網路安全組上使用應用程式安全組,我們允許存取指派給名為 webServersAsg 的應用程式安全組的 VM 連接埠 22 和 80。 |
| 具有 NSG 的 Azure Bastion 即服務 |
此範本會在 虛擬網路 中布建 Azure Bastion |
| 使用 Azure 防火牆 作為中樞 & 輪輻拓撲中的 DNS Proxy |
此範例示範如何使用 Azure 防火牆 在 Azure 中部署中樞輪輻拓撲。 中樞虛擬網路可作為透過虛擬網路對等互連連線到中樞虛擬網路的許多輪輻虛擬網路的中央點。 |
| 建立 Azure 防火牆、用戶端 VM 和伺服器 VM 的沙箱 |
此範本會建立具有 2 個子網的虛擬網路, (伺服器子網和 AzureFirewall 子網) 、伺服器 VM、用戶端 VM、每個 VM 的公用 IP 位址,以及透過防火牆傳送 VM 之間的流量路由表。 |
| 使用明確 Proxy 建立防火牆 FirewallPolicy |
此範本會使用 IpGroups 建立具有明確 Proxy 和網路規則的 Azure 防火牆 FirewalllPolicy。 此外,也包含Linux Jumpbox vm安裝程式 |
| 使用 FirewallPolicy 和 IpGroups 建立防火牆 |
此範本會建立具有 FirewalllPolicy 參考 IpGroups 網路規則的 Azure 防火牆。 此外,也包含Linux Jumpbox vm安裝程式 |
| 使用 IpGroups 建立 Azure 防火牆 |
此範本會使用參考IP群組的應用程式和網路規則建立 Azure 防火牆。 此外,也包含Linux Jumpbox vm安裝程式 |
| 使用強制通道建立 Azure 防火牆 沙箱 |
此範本會建立 Azure 防火牆 沙箱 (Linux) ,其中一個防火牆強制透過對等互連 VNET 中的另一個防火牆進行通道 |
| 使用 Linux VM 建立 Azure 防火牆 的沙箱設定 |
此範本會建立具有 3 個子網的虛擬網路, (伺服器子網、jumpbox 子集和 AzureFirewall 子網) 、具有公用 IP 的 jumpbox VM、伺服器 VM、UDR 路由,以指向伺服器子網的 Azure 防火牆,以及具有 1 或多個公用 IP 位址的 Azure 防火牆、1 個範例應用程式規則、1 個範例網路規則和預設私人範圍 |
| 使用防火牆原則建立沙箱設定 |
此範本會建立具有 3 個子網的虛擬網路, (伺服器子網、jumpbox 子集和 AzureFirewall 子網) 、具有公用 IP 的 jumpbox VM、伺服器 VM、UDR 路由,以指向伺服器子網的 Azure 防火牆,以及具有 1 或多個公用 IP 位址的 Azure 防火牆。 也會建立具有 1 個範例應用程式規則、1 個範例網路規則和預設私人範圍的防火牆原則 |
| 使用區域建立 Azure 防火牆的沙箱設定 |
此範本會建立具有三個子網的虛擬網路, (伺服器子網、jumpbox 子網和 Azure 防火牆 子網) 、具有公用 IP 的 jumpbox VM、伺服器 VM、UDR 路由,以指向 ServerSubnet 的 Azure 防火牆、具有一或多個公用 IP 位址的 Azure 防火牆、一個範例應用程式規則,以及一個範例網路規則和 Azure 防火牆可用性區域 1、2 和 3。 |
| 具有私人對等互連和 Azure VNet 的 ExpressRoute 線路 |
此範本會設定 ExpressRoute Microsoft 對等互連、使用 Expressroute 閘道部署 Azure VNet,並將 VNet 連結到 ExpressRoute 線路 |
| 在 Azure API 管理 前面建立 Azure Front Door |
此範例示範如何使用 Azure Front Door 作為 Azure API 管理 前面的全域負載平衡器。 |
| 建立具有多個公用 IP 位址的 Azure 防火牆 |
此範本會建立具有兩個公用IP位址和兩部 Windows Server 2019 伺服器的 Azure 防火牆,以進行測試。 |
| 安全虛擬中樞 |
此範本會使用 Azure 防火牆 建立安全的虛擬中樞,以保護目的地為因特網的雲端網路流量。 |
| 建立跨區域負載平衡器 |
此範本會建立具有包含兩個區域負載平衡器的後端集區跨區域負載平衡器。 跨區域負載平衡器目前可在有限的區域中使用。 跨區域負載平衡器背後的區域負載平衡器可以位於任何區域中。 |
| 依IP位址使用後端集區 Standard Load Balancer |
此範本可用來示範如何使用ARM樣本,依IP位址設定 Load Balancer的後端集區,如後端集區管理檔中所述。 |
| 建立具有公用 IPv6 位址的負載平衡器 |
此範本會建立因特網面向的負載平衡器,其中包含公用 IPv6 位址、負載平衡規則,以及後端集區的兩個 VM。 |
| 建立標準負載平衡器 |
此範本會為後端集區建立因特網面向的負載平衡器、負載平衡規則,以及三個 VM,且每個 VM 都位於備援區域中。 |
| 使用 VM 虛擬網路 NAT |
部署 NAT 閘道和虛擬機 |
| 將 NSG 套用至現有的子網 |
此範本會將新建立的 NSG 套用至現有的子網 |
| 具有診斷記錄的網路安全組 |
此範本會建立具有診斷記錄和資源鎖定的網路安全組 |
| 多層式 VNet 與 NSG 和 DMZ |
此範本會部署具有 3 個子網、3 個網路安全組和適當安全性規則的 虛擬網路,讓前端子網成為 DMZ |
| 使用 Quagga 進行 BGP 對等互連的 Azure 路由伺服器 |
此範本會使用Quagga部署路由器伺服器和Ubuntu VM。 路由器伺服器與Quagga之間建立兩個外部 BGP 工作階段。 Quagga 的安裝和設定是由適用於Linux的 Azure 自定義腳本擴充功能執行 |
| 建立網路安全組 |
此範本會建立網路安全組 |
| 使用 VM 建立站對站 VPN 連線 |
此範本可讓您使用 虛擬網路 閘道建立站對站 VPN 連線 |
| 具有主動-主動 VPN 閘道與 BGP 的站對站 VPN |
此範本可讓您在具有 VPN 閘道的兩個 VNet 之間部署站對站 VPN,並使用 BGP 設定主動-主動。 每個 Azure VPN 閘道 都會解析遠端對等的 FQDN,以判斷遠端 VPN 閘道 的公用 IP。 範本會在具有可用性區域的 Azure 區域中如預期般執行。 |
| Azure 流量管理員 VM 範例 |
此範本示範如何跨多部虛擬機建立 Azure 流量管理員配置檔負載平衡。 |
| 使用 可用性區域 的 Azure 流量管理員 VM 範例 |
此範本示範如何在放置於 可用性區域的多個虛擬機之間建立 Azure 流量管理員配置檔負載平衡。 |
| 用戶定義的路由和設備 |
此範本會部署 虛擬網路、個別子網中的 VM 和路由,以將流量導向設備 |
| 201-vnet-2subnets-service-endpoints-storage-integration |
在相同 VNet 內的兩個不同子網中,建立 2 個具有 NIC 的新 VM。 設定其中一個子網上的服務端點,並將記憶體帳戶保護至該子網。 |
| 將具有 Redis 安全性規則的 NSG 新增至現有的子網 |
此範本可讓您將具有預先設定 Azure Redis 快取安全性規則的 NSG 新增至 VNET 內現有的子網。 部署至現有 VNET 的資源群組。 |
Terraform (AzAPI 提供者) 資源定義
networkSecurityGroups 資源類型可以使用目標作業進行部署:
- 資源群組
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.Network/networkSecurityGroups 資源,請將下列 Terraform 新增至範本。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/networkSecurityGroups@2023-04-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
flushConnection = bool
securityRules = [
{
id = "string"
name = "string"
properties = {
access = "string"
description = "string"
destinationAddressPrefix = "string"
destinationAddressPrefixes = [
"string"
]
destinationApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
destinationPortRange = "string"
destinationPortRanges = [
"string"
]
direction = "string"
priority = int
protocol = "string"
sourceAddressPrefix = "string"
sourceAddressPrefixes = [
"string"
]
sourceApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
sourcePortRange = "string"
sourcePortRanges = [
"string"
]
}
type = "string"
}
]
}
})
}
屬性值
networkSecurityGroups
| 名稱 | 描述 | 值 |
|---|---|---|
| 類型 | 資源類型 | “Microsoft.Network/networkSecurityGroups@2023-04-01” |
| NAME | 資源名稱 | 需要字串 () 字元限制:1-80 合法字元: 英數字元、底線、句號和連字號。 以英數字元開頭。 以英數字元或底線結尾。 |
| location | 資源位置。 | 字串 |
| parent_id | 若要部署至資源群組,請使用該資源群組的標識碼。 | 需要字串 () |
| tags | 資源標籤。 | 標記名稱和值的字典。 |
| properties | 網路安全組的屬性。 | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| 名稱 | 描述 | 值 |
|---|---|---|
| flushConnection | 啟用時,從網路安全組連線建立的流程會在更新規則時重新評估。 初始啟用將會觸發重新評估。 | bool |
| securityRules | 網路安全組的安全性規則集合。 | SecurityRule[] |
SecurityRule
| 名稱 | 描述 | 值 |
|---|---|---|
| id | 資源識別碼。 | 字串 |
| NAME | 資源群組內唯一的資源名稱。 此名稱可用來存取資源。 | 字串 |
| properties | 安全性規則的屬性。 | SecurityRulePropertiesFormat |
| 類型 | 資源類型。 | 字串 |
SecurityRulePropertiesFormat
| 名稱 | 描述 | 值 |
|---|---|---|
| access | 允許或拒絕網路流量。 | “允許” “Deny” (必要) |
| description | 此規則的說明。 限制為140個字元。 | 字串 |
| destinationAddressPrefix | 目的地地址前綴。 CIDR 或目的地IP範圍。 也可用星號 (*) 來比對所有的來源 IP。 您也可以使用默認標籤,例如 'VirtualNetwork'、'AzureLoadBalancer' 和 'Internet'。 | 字串 |
| destinationAddressPrefixes | 目的地位址前置詞。 CIDR 或目的地IP範圍。 | string[] |
| destinationApplicationSecurityGroups | 指定為目的地的應用程式安全組。 | ApplicationSecurityGroup[] |
| destinationPortRange | 目的地埠或範圍。 介於 0 到 65535 之間的整數或範圍。 星號 『*』 也可以用來比對所有埠。 | 字串 |
| destinationPortRanges | 目的地埠範圍。 | string[] |
| direction | 規則的方向。 此方向指定是否根據連入或連出的流量評估規則。 | “Inbound” 「輸出」 (必要) |
| priority | 規則的優先順序。 此值可以介於 100 到 4096 之間。 集合中每個規則的優先順序數字必須是唯一的。 優先順序號碼愈小,規則優先順序就愈高。 | 需要 int () |
| protocol | 此規則適用的網路通訊協定。 | "*" “Ah” “Esp” “Icmp” “Tcp” 必要 “Udp” () |
| sourceAddressPrefix | CIDR 或來源IP範圍。 也可用星號 (*) 來比對所有的來源 IP。 您也可以使用默認標籤,例如 'VirtualNetwork'、'AzureLoadBalancer' 和 'Internet'。 如果這是輸入規則,請指定網路流量的來源。 | 字串 |
| sourceAddressPrefixes | CIDR 或來源IP範圍。 | string[] |
| sourceApplicationSecurityGroups | 指定為來源的應用程式安全組。 | ApplicationSecurityGroup[] |
| sourcePortRange | 來源埠或範圍。 介於 0 到 65535 之間的整數或範圍。 星號 『*』 也可以用來比對所有埠。 | 字串 |
| sourcePortRanges | 來源埠範圍。 | string[] |
ApplicationSecurityGroup
| 名稱 | 描述 | 值 |
|---|---|---|
| id | 資源識別碼。 | 字串 |
| location | 資源位置。 | 字串 |
| properties | 應用程式安全組的屬性。 | ApplicationSecurityGroupPropertiesFormat |
| tags | 資源標籤。 | 物件 (object) |
ApplicationSecurityGroupPropertiesFormat
此物件不包含部署期間要設定的任何屬性。 所有屬性都是 ReadOnly。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應