Microsoft.Network networkSecurityGroups
Bicep リソース定義
networkSecurityGroups リソースの種類は、次をターゲットとする操作と共にデプロイできます。
- リソース グループの - リソース グループのデプロイ コマンド 参照
各 API バージョンで変更されたプロパティの一覧については、変更ログの
備考
ネットワーク セキュリティ グループの作成に関するガイダンスについては、「Bicepを使用した仮想ネットワーク リソースの作成」を参照してください。
リソースの形式
Microsoft.Network/networkSecurityGroups リソースを作成するには、次の Bicep をテンプレートに追加します。
resource symbolicname 'Microsoft.Network/networkSecurityGroups@2023-11-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
flushConnection: bool
securityRules: [
{
id: 'string'
name: 'string'
properties: {
access: 'string'
description: 'string'
destinationAddressPrefix: 'string'
destinationAddressPrefixes: [
'string'
]
destinationApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
destinationPortRange: 'string'
destinationPortRanges: [
'string'
]
direction: 'string'
priority: int
protocol: 'string'
sourceAddressPrefix: 'string'
sourceAddressPrefixes: [
'string'
]
sourceApplicationSecurityGroups: [
{
id: 'string'
location: 'string'
properties: {}
tags: {}
}
]
sourcePortRange: 'string'
sourcePortRanges: [
'string'
]
}
type: 'string'
}
]
}
}
プロパティ値
networkSecurityGroups
| 名前 | 形容 | 価値 |
|---|---|---|
| 名前 | リソース名 | string (必須) 文字制限: 1 ~ 80 有効な文字: 英数字、アンダースコア、ピリオド、ハイフン。 英数字から始めます。 英数字またはアンダースコアを終了します。 |
| 場所 | リソースの場所。 | 糸 |
| タグ | リソース タグ。 | タグ名と値のディクショナリ。 テンプレート の |
| プロパティ | ネットワーク セキュリティ グループのプロパティ。 | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| 名前 | 形容 | 価値 |
|---|---|---|
| flushConnection | 有効にすると、ルールが更新されると、ネットワーク セキュリティ グループ接続から作成されたフローが再評価されます。 初期有効化によって、再評価がトリガーされます。 | bool |
| securityRules | ネットワーク セキュリティ グループのセキュリティ規則のコレクション。 | SecurityRule[] |
SecurityRule
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | リソース ID。 | 糸 |
| 名前 | リソース グループ内で一意であるリソースの名前。 この名前は、リソースへのアクセスに使用できます。 | 糸 |
| プロパティ | セキュリティ規則のプロパティ。 | SecurityRulePropertiesFormat の |
| 種類 | リソースの種類。 | 糸 |
SecurityRulePropertiesFormat
| 名前 | 形容 | 価値 |
|---|---|---|
| アクセス | ネットワーク トラフィックは許可または拒否されます。 | 'Allow' 'Deny' (必須) |
| 形容 | このルールの説明。 140 文字に制限されます。 | 糸 |
| destinationAddressPrefix | 宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。 アスタリスク '*' を使用して、すべてのソース IP を照合することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。 | 糸 |
| destinationAddressPrefixes | 宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。 | string[] |
| destinationApplicationSecurityGroups | 宛先として指定されたアプリケーション セキュリティ グループ。 | ApplicationSecurityGroup[] |
| destinationPortRange | 宛先ポートまたは範囲。 整数または 0 ~ 65535 の範囲。 アスタリスク '*' は、すべてのポートとの照合にも使用できます。 | 糸 |
| destinationPortRanges | 宛先ポートの範囲。 | string[] |
| 方向 | ルールの方向。 方向は、受信トラフィックまたは送信トラフィックでルールを評価するかどうかを指定します。 | 'Inbound' 'Outbound' (必須) |
| 優先権 | ルールの優先順位。 値は 100 から 4096 の間で指定できます。 優先順位番号は、コレクション内の各ルールで一意である必要があります。 優先度の数値が小さいと、ルールの優先度が高くなります。 | int (必須) |
| 議定書 | この規則が適用されるネットワーク プロトコル。 | '*' 'Ah' 'Esp' 'Icmp' 'Tcp' 'Udp' (必須) |
| sourceAddressPrefix | CIDR またはソース IP 範囲。 アスタリスク '*' を使用して、すべてのソース IP を照合することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。 これがイングレス ルールの場合は、ネットワーク トラフィックの発信元を指定します。 | 糸 |
| sourceAddressPrefixes | CIDR またはソース IP 範囲。 | string[] |
| sourceApplicationSecurityGroups | ソースとして指定されたアプリケーション セキュリティ グループ。 | ApplicationSecurityGroup[] |
| sourcePortRange | ソース ポートまたは範囲。 整数または 0 ~ 65535 の範囲。 アスタリスク '*' は、すべてのポートとの照合にも使用できます。 | 糸 |
| sourcePortRanges | ソース ポートの範囲。 | string[] |
ApplicationSecurityGroup
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | リソース ID。 | 糸 |
| 場所 | リソースの場所。 | 糸 |
| プロパティ | アプリケーション セキュリティ グループのプロパティ。 | ApplicationSecurityGroupPropertiesFormat の |
| タグ | リソース タグ。 | オブジェクト |
ApplicationSecurityGroupPropertiesFormat
このオブジェクトには、配置時に設定するプロパティは含まれません。 すべてのプロパティは ReadOnly です。
クイック スタート テンプレート
次のクイック スタート テンプレートでは、このリソースの種類をデプロイします。
| テンプレート | 形容 |
|---|---|
| マネージド Azure Active Directory Domain Services の Azure |
このテンプレートは、必要な VNet と NSG の構成を使用して、マネージド Azure Active Directory Domain Service をデプロイします。 |
| Application Gateway イングレス コントローラー を使用して AKS クラスターを Azure |
このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vault を使用して AKS クラスターをデプロイする方法を示します |
| WAF、SSL、IIS、および HTTPS リダイレクト を使用した App Gateway の Azure |
このテンプレートは、WAF を使用して Application Gateway をデプロイし、エンド ツー エンド SSL と HTTP を IIS サーバー上の HTTPS リダイレクトにデプロイします。 |
| IPv6 Application Gateway を作成する Azure |
このテンプレートは、デュアルスタック仮想ネットワークに IPv6 フロントエンドを持つアプリケーション ゲートウェイを作成します。 |
|
アプリケーション セキュリティ グループの Azure にデプロイする |
このテンプレートでは、アプリケーション セキュリティ グループで NSG を使用してワークロードをセキュリティで保護する方法を示します。 NGINX を実行する Linux VM をデプロイし、ネットワーク セキュリティ グループ上の Applicaton セキュリティ グループを使用して、WebServersAsg というアプリケーション セキュリティ グループに割り当てられた VM へのポート 22 と 80 へのアクセスを許可します。 |
| NSG を使用して Azure Bastion as a Service を Azure |
このテンプレートは、仮想ネットワークで Azure Bastion をプロビジョニングします |
|
ハブ & スポーク トポロジで DNS プロキシとして Azure Firewall を使用する Azure にデプロイする |
このサンプルでは、Azure Firewall を使用して Azure にハブスポーク トポロジをデプロイする方法を示します。 ハブ仮想ネットワークは、仮想ネットワーク ピアリングを介してハブ仮想ネットワークに接続されている多くのスポーク仮想ネットワークへの接続の中心点として機能します。 |
|
Azure Firewall、クライアント VM、およびサーバー VM のサンドボックスを作成する Azure にデプロイする |
このテンプレートは、2 つのサブネット (サーバー サブネットと AzureFirewall サブネット)、サーバー VM、クライアント VM、各 VM のパブリック IP アドレス、およびファイアウォール経由で VM 間のトラフィックを送信するルート テーブルを含む仮想ネットワークを作成します。 |
| ファイアウォールの作成 、明示的なプロキシを使用した FirewallPolicy Azure にデプロイする |
このテンプレートでは、Azure Firewall、明示的なプロキシを使用する FirewalllPolicy、IpGroups を使用したネットワーク 規則を作成します。 また、Linux Jumpbox VM のセットアップも含まれます |
|
FirewallPolicy と IpGroups を使用してファイアウォールを作成する Azure にデプロイする |
このテンプレートでは、IpGroups でネットワークルールを参照する FirewalllPolicy を使用して Azure Firewall を作成します。 また、Linux Jumpbox VM のセットアップも含まれます |
| ipGroups を使用して Azure Firewall を作成する Azure |
このテンプレートでは、IP グループを参照するアプリケーションルールとネットワークルールを使用して Azure Firewall を作成します。 また、Linux Jumpbox VM のセットアップも含まれます |
|
強制トンネリング を使用して Azure Firewall サンドボックスを作成する Azure にデプロイする |
このテンプレートは、ピアリングされた VNET 内の別のファイアウォールをトンネリングされた 1 つのファイアウォール強制を含む Azure Firewall サンドボックス (Linux) を作成します。 |
|
Linux VM を使用して Azure Firewall のサンドボックスセットアップを作成する Azure にデプロイする |
このテンプレートでは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブセット、AzureFirewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、サーバー サブネットの Azure Firewall を指す UDR ルート、1 つ以上のパブリック IP アドレスを持つ Azure Firewall、1 つのサンプル アプリケーション ルール、1 つのサンプル ネットワーク 規則、および既定のプライベート範囲を持つ仮想ネットワークを作成します。 |
|
ファイアウォール ポリシー を使用してサンドボックスのセットアップを作成する Azure にデプロイする |
このテンプレートは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブセット、AzureFirewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、サーバー サブネットの Azure Firewall を指す UDR ルート、および 1 つ以上のパブリック IP アドレスを持つ Azure Firewall を含む仮想ネットワークを作成します。 また、1 つのサンプル アプリケーション規則、1 つのサンプル ネットワーク規則、および既定のプライベート範囲でファイアウォール ポリシーを作成します |
|
Zones を使用して Azure Firewall のサンドボックスセットアップを作成する Azure にデプロイする |
このテンプレートでは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブネット、Azure Firewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、ServerSubnet の Azure Firewall を指す UDR ルート、1 つ以上のパブリック IP アドレスを持つ Azure Firewall、1 つのサンプル アプリケーション 規則、および Availability Zones 1 の 1 つのサンプル ネットワーク規則と Azure Firewall を含む仮想ネットワークを作成します。 2、3。 |
| プライベート ピアリングと Azure VNet を使用した ExpressRoute 回線の Azure |
このテンプレートは、ExpressRoute Microsoft ピアリングを構成し、Expressroute ゲートウェイを使用して Azure VNet をデプロイし、VNet を ExpressRoute 回線にリンクします |
|
拡張ゾーン に仮想マシンを作成する Azure にデプロイする |
このテンプレートでは、拡張ゾーンに仮想マシンを作成します。 |
| Azure API Management の前に Azure Front Door を作成する Azure |
このサンプルでは、Azure API Management の前でグローバル ロード バランサーとして Azure Front Door を使用する方法を示します。 |
|
複数の IP パブリック アドレスを持つ Azure Firewall を作成 Azure にデプロイする |
このテンプレートは、2 つのパブリック IP アドレスと 2 つの Windows Server 2019 サーバーをテストする Azure Firewall を作成します。 |
| セキュリティで保護された仮想ハブ を Azure |
このテンプレートでは、Azure Firewall を使用してセキュリティで保護された仮想ハブを作成し、インターネット宛てのクラウド ネットワーク トラフィックをセキュリティで保護します。 |
|
リージョン間ロード バランサー を作成する Azure にデプロイする |
このテンプレートは、2 つのリージョン ロード バランサーを含むバックエンド プールを持つリージョン間ロード バランサーを作成します。 リージョン間ロード バランサーは現在、限られたリージョンで使用できます。 リージョン間ロード バランサーの背後にあるリージョン ロード バランサーは、任意のリージョンに存在できます。 |
| IP アドレス によるバックエンド プールを使用した Standard Load Balancer の Azure |
このテンプレートは、バックエンド プール管理 ドキュメントで説明されているように、ARM テンプレートを使用して、IP アドレスによってロード バランサーのバックエンド プールを構成する方法を示すために使用されます。 |
|
パブリック IPv6 アドレス を使用してロード バランサーを作成する Azure にデプロイする |
このテンプレートでは、パブリック IPv6 アドレス、負荷分散規則、およびバックエンド プール用の 2 つの VM を使用して、インターネットに接続するロード バランサーを作成します。 |
|
標準ロード バランサー を作成する Azure にデプロイする |
このテンプレートでは、インターネットに接続するロード バランサー、負荷分散規則、および冗長ゾーン内の各 VM を含むバックエンド プール用の 3 つの VM を作成します。 |
| VM を使用した仮想ネットワーク NAT の Azure |
NAT ゲートウェイと仮想マシンをデプロイする |
|
既存のサブネット に NSG を適用する Azure にデプロイする |
このテンプレートは、新しく作成された NSG を既存のサブネットに適用します |
| 診断ログが されたネットワーク セキュリティ グループの Azure |
このテンプレートは、診断ログとリソース ロックを含むネットワーク セキュリティ グループを作成します |
| NSG と DMZ を使用した多層 VNet の Azure |
このテンプレートでは、3 つのサブネット、3 つのネットワーク セキュリティ グループ、および適切なセキュリティ規則を含む仮想ネットワークをデプロイして、フロントエンド サブネットを DMZ にします。 |
| Quagga を使用した BGP ピアリングでの Azure Route Server の Azure |
このテンプレートは、Quagga を使用してルーター サーバーと Ubuntu VM をデプロイします。 ルーター サーバーと Quagga の間に 2 つの外部 BGP セッションが確立されます。 Quagga のインストールと構成は、Linux 用の Azure カスタム スクリプト拡張機能によって実行されます |
|
ネットワーク セキュリティ グループ を作成する Azure にデプロイする |
このテンプレートは、ネットワーク セキュリティ グループを作成します。 |
|
VM を使用してサイト間 VPN 接続を作成する Azure にデプロイする |
このテンプレートを使用すると、仮想ネットワーク ゲートウェイを使用してサイト間 VPN 接続を作成できます。 |
| BGP を使用してアクティブ/アクティブ VPN ゲートウェイを使用してサイト間 VPN を Azure |
このテンプレートを使用すると、BGP を使用してアクティブ/アクティブ構成の VPN ゲートウェイを持つ 2 つの VNet 間にサイト間 VPN をデプロイできます。 各 Azure VPN Gateway は、リモート ピアの FQDN を解決して、リモート VPN ゲートウェイのパブリック IP を決定します。 テンプレートは、可用性ゾーンを持つ Azure リージョンで想定どおりに実行されます。 |
|
Azure Traffic Manager VM の例 Azure にデプロイする |
このテンプレートでは、複数の仮想マシン間で Azure Traffic Manager プロファイルの負荷分散を作成する方法を示します。 |
| Availability Zones を使用して Azure Traffic Manager VM の例を Azure |
このテンプレートでは、Availability Zones に配置された複数の仮想マシン間で Azure Traffic Manager プロファイルの負荷分散を作成する方法を示します。 |
|
ユーザー定義ルートとアプライアンス Azure にデプロイする |
このテンプレートは、仮想ネットワーク、各サブネット内の VM、およびトラフィックをアプライアンスに転送するルートをデプロイします。 |
|
201-vnet-2subnets-service-endpoints-storage-integration Azure にデプロイする |
同じ VNet 内の 2 つの異なるサブネットに、それぞれ NIC を持つ 2 つの新しい VM を作成します。 いずれかのサブネットにサービス エンドポイントを設定し、ストレージ アカウントをそのサブネットにセキュリティで保護します。 |
|
Redis セキュリティ規則を持つ NSG を既存のサブネット に追加する Azure にデプロイする |
このテンプレートを使用すると、構成済みの Azure Redis Cache セキュリティ規則を持つ NSG を VNET 内の既存のサブネットに追加できます。 既存の VNET のリソース グループにデプロイします。 |
ARM テンプレート リソース定義
networkSecurityGroups リソースの種類は、次をターゲットとする操作と共にデプロイできます。
- リソース グループの - リソース グループのデプロイ コマンド 参照
各 API バージョンで変更されたプロパティの一覧については、変更ログの
備考
ネットワーク セキュリティ グループの作成に関するガイダンスについては、「Bicepを使用した仮想ネットワーク リソースの作成」を参照してください。
リソースの形式
Microsoft.Network/networkSecurityGroups リソースを作成するには、次の JSON をテンプレートに追加します。
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2023-11-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"flushConnection": "bool",
"securityRules": [
{
"id": "string",
"name": "string",
"properties": {
"access": "string",
"description": "string",
"destinationAddressPrefix": "string",
"destinationAddressPrefixes": [ "string" ],
"destinationApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"destinationPortRange": "string",
"destinationPortRanges": [ "string" ],
"direction": "string",
"priority": "int",
"protocol": "string",
"sourceAddressPrefix": "string",
"sourceAddressPrefixes": [ "string" ],
"sourceApplicationSecurityGroups": [
{
"id": "string",
"location": "string",
"properties": {},
"tags": {}
}
],
"sourcePortRange": "string",
"sourcePortRanges": [ "string" ]
},
"type": "string"
}
]
}
}
プロパティ値
networkSecurityGroups
| 名前 | 形容 | 価値 |
|---|---|---|
| 種類 | リソースの種類 | 'Microsoft.Network/networkSecurityGroups' |
| apiVersion | リソース API のバージョン | '2023-11-01' |
| 名前 | リソース名 | string (必須) 文字制限: 1 ~ 80 有効な文字: 英数字、アンダースコア、ピリオド、ハイフン。 英数字から始めます。 英数字またはアンダースコアを終了します。 |
| 場所 | リソースの場所。 | 糸 |
| タグ | リソース タグ。 | タグ名と値のディクショナリ。 テンプレート の |
| プロパティ | ネットワーク セキュリティ グループのプロパティ。 | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| 名前 | 形容 | 価値 |
|---|---|---|
| flushConnection | 有効にすると、ルールが更新されると、ネットワーク セキュリティ グループ接続から作成されたフローが再評価されます。 初期有効化によって、再評価がトリガーされます。 | bool |
| securityRules | ネットワーク セキュリティ グループのセキュリティ規則のコレクション。 | SecurityRule[] |
SecurityRule
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | リソース ID。 | 糸 |
| 名前 | リソース グループ内で一意であるリソースの名前。 この名前は、リソースへのアクセスに使用できます。 | 糸 |
| プロパティ | セキュリティ規則のプロパティ。 | SecurityRulePropertiesFormat の |
| 種類 | リソースの種類。 | 糸 |
SecurityRulePropertiesFormat
| 名前 | 形容 | 価値 |
|---|---|---|
| アクセス | ネットワーク トラフィックは許可または拒否されます。 | 'Allow' 'Deny' (必須) |
| 形容 | このルールの説明。 140 文字に制限されます。 | 糸 |
| destinationAddressPrefix | 宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。 アスタリスク '*' を使用して、すべてのソース IP を照合することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。 | 糸 |
| destinationAddressPrefixes | 宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。 | string[] |
| destinationApplicationSecurityGroups | 宛先として指定されたアプリケーション セキュリティ グループ。 | ApplicationSecurityGroup[] |
| destinationPortRange | 宛先ポートまたは範囲。 整数または 0 ~ 65535 の範囲。 アスタリスク '*' は、すべてのポートとの照合にも使用できます。 | 糸 |
| destinationPortRanges | 宛先ポートの範囲。 | string[] |
| 方向 | ルールの方向。 方向は、受信トラフィックまたは送信トラフィックでルールを評価するかどうかを指定します。 | 'Inbound' 'Outbound' (必須) |
| 優先権 | ルールの優先順位。 値は 100 から 4096 の間で指定できます。 優先順位番号は、コレクション内の各ルールで一意である必要があります。 優先度の数値が小さいと、ルールの優先度が高くなります。 | int (必須) |
| 議定書 | この規則が適用されるネットワーク プロトコル。 | '*' 'Ah' 'Esp' 'Icmp' 'Tcp' 'Udp' (必須) |
| sourceAddressPrefix | CIDR またはソース IP 範囲。 アスタリスク '*' を使用して、すべてのソース IP を照合することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。 これがイングレス ルールの場合は、ネットワーク トラフィックの発信元を指定します。 | 糸 |
| sourceAddressPrefixes | CIDR またはソース IP 範囲。 | string[] |
| sourceApplicationSecurityGroups | ソースとして指定されたアプリケーション セキュリティ グループ。 | ApplicationSecurityGroup[] |
| sourcePortRange | ソース ポートまたは範囲。 整数または 0 ~ 65535 の範囲。 アスタリスク '*' は、すべてのポートとの照合にも使用できます。 | 糸 |
| sourcePortRanges | ソース ポートの範囲。 | string[] |
ApplicationSecurityGroup
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | リソース ID。 | 糸 |
| 場所 | リソースの場所。 | 糸 |
| プロパティ | アプリケーション セキュリティ グループのプロパティ。 | ApplicationSecurityGroupPropertiesFormat の |
| タグ | リソース タグ。 | オブジェクト |
ApplicationSecurityGroupPropertiesFormat
このオブジェクトには、配置時に設定するプロパティは含まれません。 すべてのプロパティは ReadOnly です。
クイック スタート テンプレート
次のクイック スタート テンプレートでは、このリソースの種類をデプロイします。
| テンプレート | 形容 |
|---|---|
| マネージド Azure Active Directory Domain Services の Azure |
このテンプレートは、必要な VNet と NSG の構成を使用して、マネージド Azure Active Directory Domain Service をデプロイします。 |
| Application Gateway イングレス コントローラー を使用して AKS クラスターを Azure |
このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vault を使用して AKS クラスターをデプロイする方法を示します |
| WAF、SSL、IIS、および HTTPS リダイレクト を使用した App Gateway の Azure |
このテンプレートは、WAF を使用して Application Gateway をデプロイし、エンド ツー エンド SSL と HTTP を IIS サーバー上の HTTPS リダイレクトにデプロイします。 |
| IPv6 Application Gateway を作成する Azure |
このテンプレートは、デュアルスタック仮想ネットワークに IPv6 フロントエンドを持つアプリケーション ゲートウェイを作成します。 |
|
アプリケーション セキュリティ グループの Azure にデプロイする |
このテンプレートでは、アプリケーション セキュリティ グループで NSG を使用してワークロードをセキュリティで保護する方法を示します。 NGINX を実行する Linux VM をデプロイし、ネットワーク セキュリティ グループ上の Applicaton セキュリティ グループを使用して、WebServersAsg というアプリケーション セキュリティ グループに割り当てられた VM へのポート 22 と 80 へのアクセスを許可します。 |
| NSG を使用して Azure Bastion as a Service を Azure |
このテンプレートは、仮想ネットワークで Azure Bastion をプロビジョニングします |
|
ハブ & スポーク トポロジで DNS プロキシとして Azure Firewall を使用する Azure にデプロイする |
このサンプルでは、Azure Firewall を使用して Azure にハブスポーク トポロジをデプロイする方法を示します。 ハブ仮想ネットワークは、仮想ネットワーク ピアリングを介してハブ仮想ネットワークに接続されている多くのスポーク仮想ネットワークへの接続の中心点として機能します。 |
|
Azure Firewall、クライアント VM、およびサーバー VM のサンドボックスを作成する Azure にデプロイする |
このテンプレートは、2 つのサブネット (サーバー サブネットと AzureFirewall サブネット)、サーバー VM、クライアント VM、各 VM のパブリック IP アドレス、およびファイアウォール経由で VM 間のトラフィックを送信するルート テーブルを含む仮想ネットワークを作成します。 |
| ファイアウォールの作成 、明示的なプロキシを使用した FirewallPolicy Azure にデプロイする |
このテンプレートでは、Azure Firewall、明示的なプロキシを使用する FirewalllPolicy、IpGroups を使用したネットワーク 規則を作成します。 また、Linux Jumpbox VM のセットアップも含まれます |
|
FirewallPolicy と IpGroups を使用してファイアウォールを作成する Azure にデプロイする |
このテンプレートでは、IpGroups でネットワークルールを参照する FirewalllPolicy を使用して Azure Firewall を作成します。 また、Linux Jumpbox VM のセットアップも含まれます |
| ipGroups を使用して Azure Firewall を作成する Azure |
このテンプレートでは、IP グループを参照するアプリケーションルールとネットワークルールを使用して Azure Firewall を作成します。 また、Linux Jumpbox VM のセットアップも含まれます |
|
強制トンネリング を使用して Azure Firewall サンドボックスを作成する Azure にデプロイする |
このテンプレートは、ピアリングされた VNET 内の別のファイアウォールをトンネリングされた 1 つのファイアウォール強制を含む Azure Firewall サンドボックス (Linux) を作成します。 |
|
Linux VM を使用して Azure Firewall のサンドボックスセットアップを作成する Azure にデプロイする |
このテンプレートでは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブセット、AzureFirewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、サーバー サブネットの Azure Firewall を指す UDR ルート、1 つ以上のパブリック IP アドレスを持つ Azure Firewall、1 つのサンプル アプリケーション ルール、1 つのサンプル ネットワーク 規則、および既定のプライベート範囲を持つ仮想ネットワークを作成します。 |
|
ファイアウォール ポリシー を使用してサンドボックスのセットアップを作成する Azure にデプロイする |
このテンプレートは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブセット、AzureFirewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、サーバー サブネットの Azure Firewall を指す UDR ルート、および 1 つ以上のパブリック IP アドレスを持つ Azure Firewall を含む仮想ネットワークを作成します。 また、1 つのサンプル アプリケーション規則、1 つのサンプル ネットワーク規則、および既定のプライベート範囲でファイアウォール ポリシーを作成します |
|
Zones を使用して Azure Firewall のサンドボックスセットアップを作成する Azure にデプロイする |
このテンプレートでは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブネット、Azure Firewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、ServerSubnet の Azure Firewall を指す UDR ルート、1 つ以上のパブリック IP アドレスを持つ Azure Firewall、1 つのサンプル アプリケーション 規則、および Availability Zones 1 の 1 つのサンプル ネットワーク規則と Azure Firewall を含む仮想ネットワークを作成します。 2、3。 |
| プライベート ピアリングと Azure VNet を使用した ExpressRoute 回線の Azure |
このテンプレートは、ExpressRoute Microsoft ピアリングを構成し、Expressroute ゲートウェイを使用して Azure VNet をデプロイし、VNet を ExpressRoute 回線にリンクします |
|
拡張ゾーン に仮想マシンを作成する Azure にデプロイする |
このテンプレートでは、拡張ゾーンに仮想マシンを作成します。 |
| Azure API Management の前に Azure Front Door を作成する Azure |
このサンプルでは、Azure API Management の前でグローバル ロード バランサーとして Azure Front Door を使用する方法を示します。 |
|
複数の IP パブリック アドレスを持つ Azure Firewall を作成 Azure にデプロイする |
このテンプレートは、2 つのパブリック IP アドレスと 2 つの Windows Server 2019 サーバーをテストする Azure Firewall を作成します。 |
| セキュリティで保護された仮想ハブ を Azure |
このテンプレートでは、Azure Firewall を使用してセキュリティで保護された仮想ハブを作成し、インターネット宛てのクラウド ネットワーク トラフィックをセキュリティで保護します。 |
|
リージョン間ロード バランサー を作成する Azure にデプロイする |
このテンプレートは、2 つのリージョン ロード バランサーを含むバックエンド プールを持つリージョン間ロード バランサーを作成します。 リージョン間ロード バランサーは現在、限られたリージョンで使用できます。 リージョン間ロード バランサーの背後にあるリージョン ロード バランサーは、任意のリージョンに存在できます。 |
| IP アドレス によるバックエンド プールを使用した Standard Load Balancer の Azure |
このテンプレートは、バックエンド プール管理 ドキュメントで説明されているように、ARM テンプレートを使用して、IP アドレスによってロード バランサーのバックエンド プールを構成する方法を示すために使用されます。 |
|
パブリック IPv6 アドレス を使用してロード バランサーを作成する Azure にデプロイする |
このテンプレートでは、パブリック IPv6 アドレス、負荷分散規則、およびバックエンド プール用の 2 つの VM を使用して、インターネットに接続するロード バランサーを作成します。 |
|
標準ロード バランサー を作成する Azure にデプロイする |
このテンプレートでは、インターネットに接続するロード バランサー、負荷分散規則、および冗長ゾーン内の各 VM を含むバックエンド プール用の 3 つの VM を作成します。 |
| VM を使用した仮想ネットワーク NAT の Azure |
NAT ゲートウェイと仮想マシンをデプロイする |
|
既存のサブネット に NSG を適用する Azure にデプロイする |
このテンプレートは、新しく作成された NSG を既存のサブネットに適用します |
| 診断ログが されたネットワーク セキュリティ グループの Azure |
このテンプレートは、診断ログとリソース ロックを含むネットワーク セキュリティ グループを作成します |
| NSG と DMZ を使用した多層 VNet の Azure |
このテンプレートでは、3 つのサブネット、3 つのネットワーク セキュリティ グループ、および適切なセキュリティ規則を含む仮想ネットワークをデプロイして、フロントエンド サブネットを DMZ にします。 |
| Quagga を使用した BGP ピアリングでの Azure Route Server の Azure |
このテンプレートは、Quagga を使用してルーター サーバーと Ubuntu VM をデプロイします。 ルーター サーバーと Quagga の間に 2 つの外部 BGP セッションが確立されます。 Quagga のインストールと構成は、Linux 用の Azure カスタム スクリプト拡張機能によって実行されます |
|
ネットワーク セキュリティ グループ を作成する Azure にデプロイする |
このテンプレートは、ネットワーク セキュリティ グループを作成します。 |
|
VM を使用してサイト間 VPN 接続を作成する Azure にデプロイする |
このテンプレートを使用すると、仮想ネットワーク ゲートウェイを使用してサイト間 VPN 接続を作成できます。 |
| BGP を使用してアクティブ/アクティブ VPN ゲートウェイを使用してサイト間 VPN を Azure |
このテンプレートを使用すると、BGP を使用してアクティブ/アクティブ構成の VPN ゲートウェイを持つ 2 つの VNet 間にサイト間 VPN をデプロイできます。 各 Azure VPN Gateway は、リモート ピアの FQDN を解決して、リモート VPN ゲートウェイのパブリック IP を決定します。 テンプレートは、可用性ゾーンを持つ Azure リージョンで想定どおりに実行されます。 |
|
Azure Traffic Manager VM の例 Azure にデプロイする |
このテンプレートでは、複数の仮想マシン間で Azure Traffic Manager プロファイルの負荷分散を作成する方法を示します。 |
| Availability Zones を使用して Azure Traffic Manager VM の例を Azure |
このテンプレートでは、Availability Zones に配置された複数の仮想マシン間で Azure Traffic Manager プロファイルの負荷分散を作成する方法を示します。 |
|
ユーザー定義ルートとアプライアンス Azure にデプロイする |
このテンプレートは、仮想ネットワーク、各サブネット内の VM、およびトラフィックをアプライアンスに転送するルートをデプロイします。 |
|
201-vnet-2subnets-service-endpoints-storage-integration Azure にデプロイする |
同じ VNet 内の 2 つの異なるサブネットに、それぞれ NIC を持つ 2 つの新しい VM を作成します。 いずれかのサブネットにサービス エンドポイントを設定し、ストレージ アカウントをそのサブネットにセキュリティで保護します。 |
|
Redis セキュリティ規則を持つ NSG を既存のサブネット に追加する Azure にデプロイする |
このテンプレートを使用すると、構成済みの Azure Redis Cache セキュリティ規則を持つ NSG を VNET 内の既存のサブネットに追加できます。 既存の VNET のリソース グループにデプロイします。 |
Terraform (AzAPI プロバイダー) リソース定義
networkSecurityGroups リソースの種類は、次をターゲットとする操作と共にデプロイできます。
- リソース グループの
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.Network/networkSecurityGroups リソースを作成するには、次の Terraform をテンプレートに追加します。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/networkSecurityGroups@2023-11-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
flushConnection = bool
securityRules = [
{
id = "string"
name = "string"
properties = {
access = "string"
description = "string"
destinationAddressPrefix = "string"
destinationAddressPrefixes = [
"string"
]
destinationApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
destinationPortRange = "string"
destinationPortRanges = [
"string"
]
direction = "string"
priority = int
protocol = "string"
sourceAddressPrefix = "string"
sourceAddressPrefixes = [
"string"
]
sourceApplicationSecurityGroups = [
{
id = "string"
location = "string"
properties = {}
tags = {}
}
]
sourcePortRange = "string"
sourcePortRanges = [
"string"
]
}
type = "string"
}
]
}
})
}
プロパティ値
networkSecurityGroups
| 名前 | 形容 | 価値 |
|---|---|---|
| 種類 | リソースの種類 | "Microsoft.Network/networkSecurityGroups@2023-11-01" |
| 名前 | リソース名 | string (必須) 文字制限: 1 ~ 80 有効な文字: 英数字、アンダースコア、ピリオド、ハイフン。 英数字から始めます。 英数字またはアンダースコアを終了します。 |
| 場所 | リソースの場所。 | 糸 |
| parent_id | リソース グループにデプロイするには、そのリソース グループの ID を使用します。 | string (必須) |
| タグ | リソース タグ。 | タグ名と値のディクショナリ。 |
| プロパティ | ネットワーク セキュリティ グループのプロパティ。 | NetworkSecurityGroupPropertiesFormat |
NetworkSecurityGroupPropertiesFormat
| 名前 | 形容 | 価値 |
|---|---|---|
| flushConnection | 有効にすると、ルールが更新されると、ネットワーク セキュリティ グループ接続から作成されたフローが再評価されます。 初期有効化によって、再評価がトリガーされます。 | bool |
| securityRules | ネットワーク セキュリティ グループのセキュリティ規則のコレクション。 | SecurityRule[] |
SecurityRule
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | リソース ID。 | 糸 |
| 名前 | リソース グループ内で一意であるリソースの名前。 この名前は、リソースへのアクセスに使用できます。 | 糸 |
| プロパティ | セキュリティ規則のプロパティ。 | SecurityRulePropertiesFormat の |
| 種類 | リソースの種類。 | 糸 |
SecurityRulePropertiesFormat
| 名前 | 形容 | 価値 |
|---|---|---|
| アクセス | ネットワーク トラフィックは許可または拒否されます。 | "許可" "拒否" (必須) |
| 形容 | このルールの説明。 140 文字に制限されます。 | 糸 |
| destinationAddressPrefix | 宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。 アスタリスク '*' を使用して、すべてのソース IP を照合することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。 | 糸 |
| destinationAddressPrefixes | 宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。 | string[] |
| destinationApplicationSecurityGroups | 宛先として指定されたアプリケーション セキュリティ グループ。 | ApplicationSecurityGroup[] |
| destinationPortRange | 宛先ポートまたは範囲。 整数または 0 ~ 65535 の範囲。 アスタリスク '*' は、すべてのポートとの照合にも使用できます。 | 糸 |
| destinationPortRanges | 宛先ポートの範囲。 | string[] |
| 方向 | ルールの方向。 方向は、受信トラフィックまたは送信トラフィックでルールを評価するかどうかを指定します。 | "Inbound" "送信" (必須) |
| 優先権 | ルールの優先順位。 値は 100 から 4096 の間で指定できます。 優先順位番号は、コレクション内の各ルールで一意である必要があります。 優先度の数値が小さいと、ルールの優先度が高くなります。 | int (必須) |
| 議定書 | この規則が適用されるネットワーク プロトコル。 | "*" "Ah" "Esp" "Icmp" "Tcp" "Udp" (必須) |
| sourceAddressPrefix | CIDR またはソース IP 範囲。 アスタリスク '*' を使用して、すべてのソース IP を照合することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。 これがイングレス ルールの場合は、ネットワーク トラフィックの発信元を指定します。 | 糸 |
| sourceAddressPrefixes | CIDR またはソース IP 範囲。 | string[] |
| sourceApplicationSecurityGroups | ソースとして指定されたアプリケーション セキュリティ グループ。 | ApplicationSecurityGroup[] |
| sourcePortRange | ソース ポートまたは範囲。 整数または 0 ~ 65535 の範囲。 アスタリスク '*' は、すべてのポートとの照合にも使用できます。 | 糸 |
| sourcePortRanges | ソース ポートの範囲。 | string[] |
ApplicationSecurityGroup
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | リソース ID。 | 糸 |
| 場所 | リソースの場所。 | 糸 |
| プロパティ | アプリケーション セキュリティ グループのプロパティ。 | ApplicationSecurityGroupPropertiesFormat の |
| タグ | リソース タグ。 | オブジェクト |
ApplicationSecurityGroupPropertiesFormat
このオブジェクトには、配置時に設定するプロパティは含まれません。 すべてのプロパティは ReadOnly です。