Microsoft.Network networkSecurityGroups 2023-05-01

Definição de recurso do Bicep

O tipo de recurso networkSecurityGroups pode ser implantado com operações de destino:

• Grupos de recursos - Consulte comandos de implantação do grupo de recursos

Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.

Observações

Para obter diretrizes sobre como criar grupos de segurança de rede, consulte Criar recursos de rede virtual usando o Bicep.

Formato de recurso

Para criar um recurso Microsoft.Network/networkSecurityGroups, adicione o Bicep a seguir ao seu modelo.

resource symbolicname 'Microsoft.Network/networkSecurityGroups@2023-05-01' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  properties: {
    flushConnection: bool
    securityRules: [
      {
        id: 'string'
        name: 'string'
        properties: {
          access: 'string'
          description: 'string'
          destinationAddressPrefix: 'string'
          destinationAddressPrefixes: [
            'string'
          ]
          destinationApplicationSecurityGroups: [
            {
              id: 'string'
              location: 'string'
              properties: {}
              tags: {}
            }
          ]
          destinationPortRange: 'string'
          destinationPortRanges: [
            'string'
          ]
          direction: 'string'
          priority: int
          protocol: 'string'
          sourceAddressPrefix: 'string'
          sourceAddressPrefixes: [
            'string'
          ]
          sourceApplicationSecurityGroups: [
            {
              id: 'string'
              location: 'string'
              properties: {}
              tags: {}
            }
          ]
          sourcePortRange: 'string'
          sourcePortRanges: [
            'string'
          ]
        }
        type: 'string'
      }
    ]
  }
}

Valores de propriedade

networkSecurityGroups

NetworkSecurityGroupPropertiesFormat

SecurityRule

SecurityRulePropertiesFormat

ApplicationSecurityGroup

ApplicationSecurityGroupPropertiesFormat

Esse objeto não contém nenhuma propriedade a ser definida durante a implantação. Todas as propriedades são ReadOnly.

Modelos de início rápido

Os modelos de início rápido a seguir implantam esse tipo de recurso.

Modelo	Descrição
gerenciados do Azure Active Directory Domain Services	Este modelo implanta um Serviço de Domínio gerenciado do Azure Active Directory com configurações de VNet e NSG necessárias.
cluster do AKS com o Controlador de Entrada do Gateway de Aplicativo	Este exemplo mostra como implantar um cluster do AKS com o Gateway de Aplicativo, o Controlador de Entrada do Gateway de Aplicativo, o Registro de Contêiner do Azure, o Log Analytics e o Key Vault
Gateway de Aplicativo com de redirecionamento WAF, SSL, IIS e HTTPS	Esse modelo implanta um Gateway de Aplicativo com WAF, SSL de ponta a ponta e HTTP para redirecionamento HTTPS nos servidores IIS.
criar um gateway de aplicativo IPv6	Esse modelo cria um gateway de aplicativo com um front-end IPv6 em uma rede virtual de pilha dupla.
grupos de segurança de aplicativos	Este modelo mostra como reunir as peças para proteger cargas de trabalho usando NSGs com Grupos de Segurança de Aplicativo. Ele implantará uma VM linux executando o NGINX e, por meio do uso de Grupos de Segurança applicaton em grupos de segurança de rede, permitiremos o acesso às portas 22 e 80 a uma VM atribuída ao Grupo de Segurança de Aplicativos chamada webServersAsg.
o Azure Bastion como serviço com o NSG	Esse modelo provisiona o Azure Bastion em uma Rede Virtual
usar o Firewall do Azure como proxy DNS em uma topologia do Hub & Spoke	Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade com muitas redes virtuais spoke conectadas à rede virtual do hub por meio do emparelhamento de rede virtual.
Criar área restrita do Firewall do Azure, da VM do cliente e da VM do servidor	Esse modelo cria uma rede virtual com duas sub-redes (sub-rede de servidor e sub-rede do AzureFirewall), uma VM de servidor, uma VM cliente, um endereço IP público para cada VM e uma tabela de rotas para enviar tráfego entre VMs por meio do firewall.
criar um firewall, FirewallPolicy com de proxy explícito	Esse modelo cria um Firewall do Azure, FirewalllPolicy com Proxy Explícito e Regras de Rede com IpGroups. Além disso, inclui uma configuração de VM do Jumpbox do Linux
criar um firewall com FirewallPolicy e IpGroups	Este modelo cria um Firewall do Azure com FirewalllPolicy referenciando regras de rede com IpGroups. Além disso, inclui uma configuração de VM do Jumpbox do Linux
criar um Firewall do Azure com IpGroups	Esse modelo cria um Firewall do Azure com regras de aplicativo e de rede que se referem a grupos de IP. Além disso, inclui uma configuração de VM do Jumpbox do Linux
Criar uma área restrita do Firewall do Azure com de túnel forçado	Este modelo cria uma área restrita do Firewall do Azure (Linux) com uma força de firewall em túnel por meio de outro firewall em uma VNET emparelhada
Criar uma configuração de área restrita do Firewall do Azure com VMs linux	Este modelo cria uma rede virtual com três sub-redes (sub-rede do servidor, sub-rede jumpbox e sub-rede do AzureFirewall), uma VM jumpbox com IP público, VM de servidor A, rota UDR para apontar para o Firewall do Azure para a Sub-rede do Servidor e um Firewall do Azure com 1 ou mais endereços IP públicos, 1 regra de aplicativo de exemplo, 1 regra de rede de exemplo e intervalos privados padrão
Criar uma configuração de área restrita com a política de firewall	Esse modelo cria uma rede virtual com três sub-redes (sub-rede do servidor, subconjunto jumpbox e sub-rede do AzureFirewall), uma VM jumpbox com IP público, uma VM de servidor, uma rota UDR para apontar para o Firewall do Azure para a Sub-rede do Servidor e um Firewall do Azure com 1 ou mais endereços IP públicos. Também cria uma política de firewall com 1 regra de aplicativo de exemplo, 1 regra de rede de exemplo e intervalos privados padrão
Criar uma configuração de área restrita do Firewall do Azure com o Zones	Esse modelo cria uma rede virtual com três sub-redes (sub-rede do servidor, sub-rede jumpbox e sub-rede do Firewall do Azure), uma VM jumpbox com IP público, VM de servidor A, rota UDR para apontar para o Firewall do Azure para o ServerSubnet, um Firewall do Azure com um ou mais endereços IP públicos, uma regra de aplicativo de exemplo e uma regra de rede de exemplo e Firewall do Azure nas Zonas de Disponibilidade 1, 2 e 3.
circuito do ExpressRoute com emparelhamento privado e VNet do Azure	Este modelo configura o emparelhamento da Microsoft do ExpressRoute, implanta uma VNet do Azure com o gateway do Expressroute e vincula a VNet ao circuito do ExpressRoute
Criar uma máquina virtual em um de Zona Estendida	Este modelo cria uma máquina virtual em uma Zona Estendida
criar o Azure Front Door em frente ao Gerenciamento de API do Azure	Este exemplo demonstra como usar o Azure Front Door como um balanceador de carga global na frente do Gerenciamento de API do Azure.
criar um Firewall do Azure com vários endereços públicos IP	Esse modelo cria um Firewall do Azure com dois endereços IP públicos e dois servidores Windows Server 2019 para testar.
hubs virtuais protegidos	Esse modelo cria um hub virtual seguro usando o Firewall do Azure para proteger o tráfego de rede de nuvem destinado à Internet.
Criar um balanceador de carga entre regiões	Esse modelo cria um balanceador de carga entre regiões com um pool de back-end contendo dois balanceadores de carga regionais. Atualmente, o balanceador de carga entre regiões está disponível em regiões limitadas. Os balanceadores de carga regionais por trás do balanceador de carga entre regiões podem estar em qualquer região.
Standard Load Balancer com pool de back-end por endereços IP	Este modelo é usado para demonstrar como os modelos do ARM podem ser usados para configurar o pool de back-end de um Balanceador de Carga por Endereço IP, conforme descrito no documento de gerenciamento do pool de back-end .
Criar um balanceador de carga com um endereço IPv6 público	Esse modelo cria um balanceador de carga voltado para a Internet com um endereço IPv6 público, regras de balanceamento de carga e duas VMs para o pool de back-end.
Criar um de balanceador de carga padrão	Esse modelo cria um balanceador de carga voltado para a Internet, regras de balanceamento de carga e três VMs para o pool de back-end com cada VM em uma zona redundante.
NAT de Rede Virtual com de VM	Implantar um gateway nat e uma máquina virtual
Aplicar um NSG a uma sub-rede existente	Este modelo aplica um NSG recém-criado a uma sub-rede existente
Grupo de Segurança de Rede com logs de diagnóstico	Este modelo cria um Grupo de Segurança de Rede com logs de diagnóstico e um bloqueio de recursos
VNet de várias camadas com NSGs e DMZ	Este modelo implanta uma Rede Virtual com 3 sub-redes, 3 Grupos de Segurança de Rede e regras de segurança apropriadas para tornar a sub-rede FrontEnd uma DMZ
Servidor de Rotas do Azure no emparelhamento BGP com o Quagga	Este modelo implanta um Servidor roteador e uma VM do Ubuntu com Quagga. Duas sessões BGP externas são estabelecidas entre o Servidor roteador e o Quagga. A instalação e a configuração do Quagga são executadas pela extensão de script personalizado do Azure para linux
criar um grupo de segurança de rede	Este modelo cria um Grupo de Segurança de Rede
criar uma conexão VPN site a site com de VM	Este modelo permite que você crie uma Conexão VPN Site a Site usando Gateways de Rede Virtual
VPN site a site com Gateways de VPN ativos e ativos com BGP	Esse modelo permite implantar uma VPN site a site entre duas VNets com Gateways de VPN na configuração ativa-ativa com BGP. Cada Gateway de VPN do Azure resolve o FQDN dos pares remotos para determinar o IP público do Gateway de VPN remoto. O modelo é executado conforme o esperado nas regiões do Azure com zonas de disponibilidade.
exemplo de VM do Gerenciador de Tráfego do Azure	Este modelo mostra como criar um balanceamento de carga de perfil do Gerenciador de Tráfego do Azure em várias máquinas virtuais.
exemplo de VM do Gerenciador de Tráfego do Azure com Zonas de Disponibilidade	Este modelo mostra como criar um balanceamento de carga de perfil do Gerenciador de Tráfego do Azure em várias máquinas virtuais colocadas em Zonas de Disponibilidade.
rotas definidas pelo usuário e de dispositivo	Este modelo implanta uma Rede Virtual, VMs em respectivas sub-redes e rotas para direcionar o tráfego para o dispositivo
201-vnet-2subnets-service-endpoints-storage-integration	Cria duas novas VMs com uma NIC cada uma, em duas sub-redes diferentes dentro da mesma VNet. Define o ponto de extremidade de serviço em uma das sub-redes e protege a conta de armazenamento para essa sub-rede.
Adicionar um NSG com regras de segurança redis a uma sub-rede existente	Esse modelo permite que você adicione um NSG com regras de segurança pré-configuradas do Cache Redis do Azure a uma sub-rede existente em uma VNET. Implante no grupo de recursos da VNET existente.

Definição de recurso de modelo do ARM

O tipo de recurso networkSecurityGroups pode ser implantado com operações de destino:

• Grupos de recursos - Consulte comandos de implantação do grupo de recursos

Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.

Observações

Para obter diretrizes sobre como criar grupos de segurança de rede, consulte Criar recursos de rede virtual usando o Bicep.

Formato de recurso

Para criar um recurso Microsoft.Network/networkSecurityGroups, adicione o JSON a seguir ao modelo.

{
  "type": "Microsoft.Network/networkSecurityGroups",
  "apiVersion": "2023-05-01",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "properties": {
    "flushConnection": "bool",
    "securityRules": [
      {
        "id": "string",
        "name": "string",
        "properties": {
          "access": "string",
          "description": "string",
          "destinationAddressPrefix": "string",
          "destinationAddressPrefixes": [ "string" ],
          "destinationApplicationSecurityGroups": [
            {
              "id": "string",
              "location": "string",
              "properties": {},
              "tags": {}
            }
          ],
          "destinationPortRange": "string",
          "destinationPortRanges": [ "string" ],
          "direction": "string",
          "priority": "int",
          "protocol": "string",
          "sourceAddressPrefix": "string",
          "sourceAddressPrefixes": [ "string" ],
          "sourceApplicationSecurityGroups": [
            {
              "id": "string",
              "location": "string",
              "properties": {},
              "tags": {}
            }
          ],
          "sourcePortRange": "string",
          "sourcePortRanges": [ "string" ]
        },
        "type": "string"
      }
    ]
  }
}

Valores de propriedade

networkSecurityGroups

NetworkSecurityGroupPropertiesFormat

SecurityRule

SecurityRulePropertiesFormat

ApplicationSecurityGroup

ApplicationSecurityGroupPropertiesFormat

Esse objeto não contém nenhuma propriedade a ser definida durante a implantação. Todas as propriedades são ReadOnly.

Modelos de início rápido

Os modelos de início rápido a seguir implantam esse tipo de recurso.

Modelo	Descrição
gerenciados do Azure Active Directory Domain Services	Este modelo implanta um Serviço de Domínio gerenciado do Azure Active Directory com configurações de VNet e NSG necessárias.
cluster do AKS com o Controlador de Entrada do Gateway de Aplicativo	Este exemplo mostra como implantar um cluster do AKS com o Gateway de Aplicativo, o Controlador de Entrada do Gateway de Aplicativo, o Registro de Contêiner do Azure, o Log Analytics e o Key Vault
Gateway de Aplicativo com de redirecionamento WAF, SSL, IIS e HTTPS	Esse modelo implanta um Gateway de Aplicativo com WAF, SSL de ponta a ponta e HTTP para redirecionamento HTTPS nos servidores IIS.
criar um gateway de aplicativo IPv6	Esse modelo cria um gateway de aplicativo com um front-end IPv6 em uma rede virtual de pilha dupla.
grupos de segurança de aplicativos	Este modelo mostra como reunir as peças para proteger cargas de trabalho usando NSGs com Grupos de Segurança de Aplicativo. Ele implantará uma VM linux executando o NGINX e, por meio do uso de Grupos de Segurança applicaton em grupos de segurança de rede, permitiremos o acesso às portas 22 e 80 a uma VM atribuída ao Grupo de Segurança de Aplicativos chamada webServersAsg.
o Azure Bastion como serviço com o NSG	Esse modelo provisiona o Azure Bastion em uma Rede Virtual
usar o Firewall do Azure como proxy DNS em uma topologia do Hub & Spoke	Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade com muitas redes virtuais spoke conectadas à rede virtual do hub por meio do emparelhamento de rede virtual.
Criar área restrita do Firewall do Azure, da VM do cliente e da VM do servidor	Esse modelo cria uma rede virtual com duas sub-redes (sub-rede de servidor e sub-rede do AzureFirewall), uma VM de servidor, uma VM cliente, um endereço IP público para cada VM e uma tabela de rotas para enviar tráfego entre VMs por meio do firewall.
criar um firewall, FirewallPolicy com de proxy explícito	Esse modelo cria um Firewall do Azure, FirewalllPolicy com Proxy Explícito e Regras de Rede com IpGroups. Além disso, inclui uma configuração de VM do Jumpbox do Linux
criar um firewall com FirewallPolicy e IpGroups	Este modelo cria um Firewall do Azure com FirewalllPolicy referenciando regras de rede com IpGroups. Além disso, inclui uma configuração de VM do Jumpbox do Linux
criar um Firewall do Azure com IpGroups	Esse modelo cria um Firewall do Azure com regras de aplicativo e de rede que se referem a grupos de IP. Além disso, inclui uma configuração de VM do Jumpbox do Linux
Criar uma área restrita do Firewall do Azure com de túnel forçado	Este modelo cria uma área restrita do Firewall do Azure (Linux) com uma força de firewall em túnel por meio de outro firewall em uma VNET emparelhada
Criar uma configuração de área restrita do Firewall do Azure com VMs linux	Este modelo cria uma rede virtual com três sub-redes (sub-rede do servidor, sub-rede jumpbox e sub-rede do AzureFirewall), uma VM jumpbox com IP público, VM de servidor A, rota UDR para apontar para o Firewall do Azure para a Sub-rede do Servidor e um Firewall do Azure com 1 ou mais endereços IP públicos, 1 regra de aplicativo de exemplo, 1 regra de rede de exemplo e intervalos privados padrão
Criar uma configuração de área restrita com a política de firewall	Esse modelo cria uma rede virtual com três sub-redes (sub-rede do servidor, subconjunto jumpbox e sub-rede do AzureFirewall), uma VM jumpbox com IP público, uma VM de servidor, uma rota UDR para apontar para o Firewall do Azure para a Sub-rede do Servidor e um Firewall do Azure com 1 ou mais endereços IP públicos. Também cria uma política de firewall com 1 regra de aplicativo de exemplo, 1 regra de rede de exemplo e intervalos privados padrão
Criar uma configuração de área restrita do Firewall do Azure com o Zones	Esse modelo cria uma rede virtual com três sub-redes (sub-rede do servidor, sub-rede jumpbox e sub-rede do Firewall do Azure), uma VM jumpbox com IP público, VM de servidor A, rota UDR para apontar para o Firewall do Azure para o ServerSubnet, um Firewall do Azure com um ou mais endereços IP públicos, uma regra de aplicativo de exemplo e uma regra de rede de exemplo e Firewall do Azure nas Zonas de Disponibilidade 1, 2 e 3.
circuito do ExpressRoute com emparelhamento privado e VNet do Azure	Este modelo configura o emparelhamento da Microsoft do ExpressRoute, implanta uma VNet do Azure com o gateway do Expressroute e vincula a VNet ao circuito do ExpressRoute
Criar uma máquina virtual em um de Zona Estendida	Este modelo cria uma máquina virtual em uma Zona Estendida
criar o Azure Front Door em frente ao Gerenciamento de API do Azure	Este exemplo demonstra como usar o Azure Front Door como um balanceador de carga global na frente do Gerenciamento de API do Azure.
criar um Firewall do Azure com vários endereços públicos IP	Esse modelo cria um Firewall do Azure com dois endereços IP públicos e dois servidores Windows Server 2019 para testar.
hubs virtuais protegidos	Esse modelo cria um hub virtual seguro usando o Firewall do Azure para proteger o tráfego de rede de nuvem destinado à Internet.
Criar um balanceador de carga entre regiões	Esse modelo cria um balanceador de carga entre regiões com um pool de back-end contendo dois balanceadores de carga regionais. Atualmente, o balanceador de carga entre regiões está disponível em regiões limitadas. Os balanceadores de carga regionais por trás do balanceador de carga entre regiões podem estar em qualquer região.
Standard Load Balancer com pool de back-end por endereços IP	Este modelo é usado para demonstrar como os modelos do ARM podem ser usados para configurar o pool de back-end de um Balanceador de Carga por Endereço IP, conforme descrito no documento de gerenciamento do pool de back-end .
Criar um balanceador de carga com um endereço IPv6 público	Esse modelo cria um balanceador de carga voltado para a Internet com um endereço IPv6 público, regras de balanceamento de carga e duas VMs para o pool de back-end.
Criar um de balanceador de carga padrão	Esse modelo cria um balanceador de carga voltado para a Internet, regras de balanceamento de carga e três VMs para o pool de back-end com cada VM em uma zona redundante.
NAT de Rede Virtual com de VM	Implantar um gateway nat e uma máquina virtual
Aplicar um NSG a uma sub-rede existente	Este modelo aplica um NSG recém-criado a uma sub-rede existente
Grupo de Segurança de Rede com logs de diagnóstico	Este modelo cria um Grupo de Segurança de Rede com logs de diagnóstico e um bloqueio de recursos
VNet de várias camadas com NSGs e DMZ	Este modelo implanta uma Rede Virtual com 3 sub-redes, 3 Grupos de Segurança de Rede e regras de segurança apropriadas para tornar a sub-rede FrontEnd uma DMZ
Servidor de Rotas do Azure no emparelhamento BGP com o Quagga	Este modelo implanta um Servidor roteador e uma VM do Ubuntu com Quagga. Duas sessões BGP externas são estabelecidas entre o Servidor roteador e o Quagga. A instalação e a configuração do Quagga são executadas pela extensão de script personalizado do Azure para linux
criar um grupo de segurança de rede	Este modelo cria um Grupo de Segurança de Rede
criar uma conexão VPN site a site com de VM	Este modelo permite que você crie uma Conexão VPN Site a Site usando Gateways de Rede Virtual
VPN site a site com Gateways de VPN ativos e ativos com BGP	Esse modelo permite implantar uma VPN site a site entre duas VNets com Gateways de VPN na configuração ativa-ativa com BGP. Cada Gateway de VPN do Azure resolve o FQDN dos pares remotos para determinar o IP público do Gateway de VPN remoto. O modelo é executado conforme o esperado nas regiões do Azure com zonas de disponibilidade.
exemplo de VM do Gerenciador de Tráfego do Azure	Este modelo mostra como criar um balanceamento de carga de perfil do Gerenciador de Tráfego do Azure em várias máquinas virtuais.
exemplo de VM do Gerenciador de Tráfego do Azure com Zonas de Disponibilidade	Este modelo mostra como criar um balanceamento de carga de perfil do Gerenciador de Tráfego do Azure em várias máquinas virtuais colocadas em Zonas de Disponibilidade.
rotas definidas pelo usuário e de dispositivo	Este modelo implanta uma Rede Virtual, VMs em respectivas sub-redes e rotas para direcionar o tráfego para o dispositivo
201-vnet-2subnets-service-endpoints-storage-integration	Cria duas novas VMs com uma NIC cada uma, em duas sub-redes diferentes dentro da mesma VNet. Define o ponto de extremidade de serviço em uma das sub-redes e protege a conta de armazenamento para essa sub-rede.
Adicionar um NSG com regras de segurança redis a uma sub-rede existente	Esse modelo permite que você adicione um NSG com regras de segurança pré-configuradas do Cache Redis do Azure a uma sub-rede existente em uma VNET. Implante no grupo de recursos da VNET existente.

Definição de recurso do Terraform (provedor de AzAPI)

O tipo de recurso networkSecurityGroups pode ser implantado com operações de destino:

• grupos de recursos

Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.

Formato de recurso

Para criar um recurso Microsoft.Network/networkSecurityGroups, adicione o Terraform a seguir ao seu modelo.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/networkSecurityGroups@2023-05-01"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  body = jsonencode({
    properties = {
      flushConnection = bool
      securityRules = [
        {
          id = "string"
          name = "string"
          properties = {
            access = "string"
            description = "string"
            destinationAddressPrefix = "string"
            destinationAddressPrefixes = [
              "string"
            ]
            destinationApplicationSecurityGroups = [
              {
                id = "string"
                location = "string"
                properties = {}
                tags = {}
              }
            ]
            destinationPortRange = "string"
            destinationPortRanges = [
              "string"
            ]
            direction = "string"
            priority = int
            protocol = "string"
            sourceAddressPrefix = "string"
            sourceAddressPrefixes = [
              "string"
            ]
            sourceApplicationSecurityGroups = [
              {
                id = "string"
                location = "string"
                properties = {}
                tags = {}
              }
            ]
            sourcePortRange = "string"
            sourcePortRanges = [
              "string"
            ]
          }
          type = "string"
        }
      ]
    }
  })
}

Valores de propriedade

networkSecurityGroups

NetworkSecurityGroupPropertiesFormat

SecurityRule

SecurityRulePropertiesFormat

ApplicationSecurityGroup

ApplicationSecurityGroupPropertiesFormat

Esse objeto não contém nenhuma propriedade a ser definida durante a implantação. Todas as propriedades são ReadOnly.