azure.azcollection.azure_rm_azurefirewall 模块 – 管理 Azure 防火墙实例

注意

此模块是 azure.azcollection 集合 (版本 3.1.0) 的一部分。

如果您使用的是 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install azure.azcollection。您需要其他要求才能使用此模块，有关详细信息，请参阅 要求。

要在 playbook 中使用它，请指定：azure.azcollection.azure_rm_azurefirewall。

azure.azcollection 0.1.2 中的新增功能

概要

• 创建、更新和删除 Azure 防火墙实例。

要求

在执行此模块的主机上需要以下要求。

• python >= 2.7

• 执行此模块的主机必须通过 galaxy 安装 azure.azcollection 集合

• 集合的 requirements.txt 中列出的所有 python 包都必须通过 pip 安装在执行 azure.azcollection 中模块的主机上

• 完整的安装说明可在 https://galaxy.ansible.com/azure/azcollection 找到

参数

参数	注释
ad_user 字符串	Active Directory 用户名。在使用 Active Directory 用户而不是服务主体进行身份验证时使用。
adfs_authority_url 字符串 azure.azcollection 0.0.1 中新增	Azure AD 授权 URL。在使用用户名/密码进行身份验证并且拥有自己的 ADFS 授权时使用。
api_profile 字符串 azure.azcollection 0.0.1 中新增	选择在与 Azure 服务通信时使用的 API 配置文件。latest 的默认值适用于公共云；未来的值将允许与 Azure Stack 一起使用。 默认值： "latest"
append_tags 布尔值	用于控制标签字段是规范的还是只是附加到现有标签。 如果规范，则 tags 参数中未找到的任何标签都将从对象的元数据中删除。 选项 false true ← (默认)
application_rule_collections 列表 / 元素=字典	Azure 防火墙使用的应用程序规则集合。
action 字符串	规则集合的操作类型。 选项 "allow" "deny"
name 字符串	获取资源组内唯一的资源名称。 此名称可用于访问资源。
priority 整数	应用程序规则集合资源的优先级。
rules 列表 / 元素=任意	应用程序规则集合使用的规则集合。
description 字符串	规则的描述。
fqdn_tags 列表 / 元素=任意	此规则的 FQDN 标签列表。
name 字符串	应用程序规则的名称。
protocols 列表 / 元素=字典	ApplicationRuleProtocols 数组。
port 字符串	协议的端口。
type 字符串	协议的类型。
source_addresses 列表 / 元素=字符串	此规则的源 IP 地址列表。
target_fqdns 列表 / 元素=任意	此规则的 FQDN 列表。
auth_source 字符串 azure.azcollection 0.0.1 中新增	控制用于身份验证的凭据来源。 也可以通过 ANSIBLE_AZURE_AUTH_SOURCE 环境变量设置。 当设置为 auto（默认值）时，优先级为模块参数 -> env -> credential_file -> cli。 当设置为 env 时，凭据将从环境变量中读取。 当设置为 credential_file 时，它将从 ~/.azure/credentials 读取配置文件。 当设置为 cli 时，凭据将来自 Azure CLI 配置文件。subscription_id 或环境变量 AZURE_SUBSCRIPTION_ID 可用于标识订阅 ID（如果存在多个），否则使用默认的 az cli 订阅。 当设置为msi时，主机必须是启用了 MSI 扩展的 Azure 资源。subscription_id或环境变量AZURE_SUBSCRIPTION_ID可用于标识订阅 ID（如果资源被授予对多个订阅的访问权限），否则将选择第一个订阅。 Ansible 2.6 中添加了msi。 选项 "auto" ← (默认) "cli" "credential_file" "env" "msi"
cert_validation_mode 字符串 azure.azcollection 0.0.1 中新增	控制 Azure 端点的证书验证行为。默认情况下，所有模块都将验证服务器证书，但在使用 HTTPS 代理或针对 Azure Stack 时，可能需要通过传递ignore来禁用此行为。也可以通过凭据文件配置文件或AZURE_CERT_VALIDATION环境变量来设置。 选项 "ignore" "validate"
client_id 字符串	Azure 客户端 ID。使用服务主体或托管标识 (msi) 进行身份验证时使用。 也可以通过AZURE_CLIENT_ID环境变量设置。
cloud_environment 字符串 azure.azcollection 0.0.1 中新增	对于美国公共云以外的云环境，环境名称（由 Azure Python SDK 定义，例如AzureChinaCloud，AzureUSGovernment）或元数据发现端点 URL（Azure Stack 所需）。也可以通过凭据文件配置文件或AZURE_CLOUD_ENVIRONMENT环境变量设置。 默认： "AzureCloud"
disable_instance_discovery 布尔值 在 azure.azcollection 2.3.0 中添加	确定尝试进行身份验证时是否执行实例发现。将其设置为 true 将完全禁用实例发现和权限验证。此功能旨在用于无法访问元数据端点的场景，例如私有云或 Azure Stack。实例发现过程需要从https://login.microsoft.com/检索权限元数据以验证权限。将其设置为**True**将禁用权限验证。因此，务必确保已配置的权限主机有效且值得信赖。 通过凭据文件配置文件或AZURE_DISABLE_INSTANCE_DISCOVERY环境变量设置。 选项 false ← (默认) true
ip_configurations 列表 / 元素=字典	Azure 防火墙资源的 IP 配置。
name 字符串	在资源组内唯一的资源名称。 此名称可用于访问资源。
public_ip_address any	现有的公共 IP 地址。 它可以是包含资源 ID 的字符串。 它可以是包含当前资源组中名称的字符串。 它可以是包含*name*和可选*resource_group*的字典。
subnet any	现有子网。 它可以是包含子网资源 ID 的字符串。 它可以是包含*name*、*virtual_network_name*和可选*resource_group*的字典。
location 字符串	资源位置。
log_mode 字符串	父参数。
log_path 字符串	父参数。
name 字符串 / 必需	Azure 防火墙的名称。
nat_rule_collections 列表 / 元素=字典	Azure 防火墙使用的 NAT 规则集合。
action 字符串	NAT 规则集合的操作类型 选项 "snat" "dnat"
name 字符串	获取资源组内唯一的资源名称。 此名称可用于访问资源。
priority 整数	NAT 规则集合资源的优先级。
rules 列表 / 元素=字典	NAT 规则集合使用的规则集合。
description 字符串	规则的描述。
destination_addresses 列表 / 元素=字符串	此规则的目标 IP 地址列表。
destination_ports 列表 / 元素=字符串	目标端口列表。
name 字符串	NAT 规则的名称。
protocols 列表 / 元素=任意	适用于此 NAT 规则的 AzureFirewallNetworkRuleProtocols 数组。
source_addresses 列表 / 元素=字符串	此规则的源 IP 地址列表。
translated_address 字符串	此 NAT 规则的转换地址。
translated_port 字符串	此 NAT 规则的转换端口。
network_rule_collections 列表 / 元素=字典	Azure 防火墙使用的网络规则集合。
action 字符串	规则集合的操作类型。 选项 "allow" "deny"
name 字符串	获取资源组内唯一的资源名称。 此名称可用于访问资源。
priority 整数	网络规则集合资源的优先级。
rules 列表 / 元素=字典	网络规则集合使用的规则集合。
description 字符串	规则的描述。
destination_addresses 列表 / 元素=字符串	目标 IP 地址列表。
destination_ports 列表 / 元素=字符串	目标端口列表。
name 字符串	网络规则的名称。
protocols 列表 / 元素=任意	AzureFirewallNetworkRuleProtocols 数组。
source_addresses 列表 / 元素=字符串	此规则的源 IP 地址列表。
password 字符串	Active Directory 用户密码。使用 Active Directory 用户而不是服务主体进行身份验证时使用。
profile 字符串	在 ~/.azure/credentials 文件中找到的安全配置文件。
resource_group 字符串 / 必需	资源组的名称。
secret 字符串	Azure 客户端密钥。使用服务主体进行身份验证时使用。
state 字符串	声明 AzureFirewall 的状态。 使用present创建或更新 AzureFirewall，使用absent删除它。 选项 "absent" "present" ← (默认)
subscription_id 字符串	您的 Azure 订阅 ID。
tags 字典	字符串：字符串对的字典，作为元数据分配给对象。 对象的元数据标签将使用任何提供的数值进行更新。 要删除标签，请将 append_tags 选项设置为 false。 目前，Azure DNS 区域和流量管理器服务也不允许在标签中使用空格。 Azure 前端门户不支持使用 Azure 自动化和 Azure CDN 仅支持资源上的 15 个标签。
tenant 字符串	Azure 租户 ID。使用服务主体进行身份验证时使用。
thumbprint 字符串 在 azure.azcollection 1.14.0 中添加	在*x509_certificate_path*中指定的私钥的指纹。 使用服务主体进行身份验证时使用。 如果定义了*x509_certificate_path*，则需要此项。
x509_certificate_path 路径 在 azure.azcollection 1.14.0 中添加	用于创建 PEM 格式的服务主体的 X509 证书的路径。 证书必须附加到私钥。 使用服务主体进行身份验证时使用。

注释

注意

• 对于使用 Azure 进行身份验证，您可以传递参数、设置环境变量、使用存储在 ~/.azure/credentials 中的配置文件，或者在运行任务或剧本之前使用az login登录。

• 也可以使用服务主体或 Active Directory 用户进行身份验证。

• 要通过服务主体进行身份验证，请传递 subscription_id、client_id、secret 和 tenant，或设置环境变量 AZURE_SUBSCRIPTION_ID、AZURE_CLIENT_ID、AZURE_SECRET 和 AZURE_TENANT。

• 要通过 Active Directory 用户进行身份验证，请传递 ad_user 和 password，或在环境中设置 AZURE_AD_USER 和 AZURE_PASSWORD。

• 或者，凭据可以存储在 ~/.azure/credentials 中。这是一个包含 [default] 部分和以下密钥的 ini 文件：subscription_id、client_id、secret 和 tenant 或 subscription_id、ad_user 和 password。也可以添加其他配置文件。通过传递 profile 或在环境中设置 AZURE_PROFILE 来指定配置文件。

另请参阅

另请参阅

使用 Azure CLI 登录

如何使用az login命令进行身份验证。

示例

- name: Create Azure Firewall
  azure_rm_azurefirewall:
    resource_group: myResourceGroup
    name: myAzureFirewall
    tags:
      key1: value1
    application_rule_collections:
      - priority: 110
        action: deny
        rules:
          - name: rule1
            description: Deny inbound rule
            source_addresses:
              - 216.58.216.164
              - 10.0.0.0/24
            protocols:
              - type: https
                port: '443'
            target_fqdns:
              - www.test.com
        name: apprulecoll
    nat_rule_collections:
      - priority: 112
        action: dnat
        rules:
          - name: DNAT-HTTPS-traffic
            description: D-NAT all outbound web traffic for inspection
            source_addresses:
              - '*'
            destination_addresses:
              - 1.2.3.4
            destination_ports:
              - '443'
            protocols:
              - tcp
            translated_address: 1.2.3.5
            translated_port: '8443'
        name: natrulecoll
    network_rule_collections:
      - priority: 112
        action: deny
        rules:
          - name: L4-traffic
            description: Block traffic based on source IPs and ports
            protocols:
              - tcp
            source_addresses:
              - 192.168.1.1-192.168.1.12
              - 10.1.4.12-10.1.4.255
            destination_addresses:
              - '*'
            destination_ports:
              - 443-444
              - '8443'
        name: netrulecoll
    ip_configurations:
      - subnet: >-
          /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup
          /providers/Microsoft.Network/virtualNetworks/myVirtualNetwork
          /subnets/AzureFirewallSubnet
        public_ip_address: >-
          /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup
          /providers/Microsoft.Network/publicIPAddresses/
          myPublicIpAddress
        name: azureFirewallIpConfiguration
- name: Delete Azure Firewall
  azure_rm_azurefirewall:
    resource_group: myResourceGroup
    name: myAzureFirewall
    state: absent

返回值

常见的返回值已在此处记录，以下是此模块特有的字段

键	描述
id 字符串	资源 ID。 返回：始终 示例： "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/azureFirewalls/myAzureFirewall"

作者

• Zim Kalinowski (@zikalino)

• Jurijs Fadejevs (@needgithubid)

集合链接

• 问题跟踪器
• 主页
• 存储库（源代码）