本文介绍如何使用Terraform创建互联网防火墙访问控制策略。
当前示例代码支持一键运行,您可以直接运行代码。一键运行
前提条件
由于阿里云账号(主账号)具有资源的所有权限,一旦发生泄露将面临重大风险。建议您使用RAM用户,并为该RAM用户创建AccessKey,具体操作方式请参见创建RAM用户和创建AccessKey。
为RAM用户授予最小权限时,请使用以下示例。需要为该RAM用户授予云防火墙CloudFirewall的相关权限。具体操作方式请参见为RAM用户授权。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "yundun-cloudfirewall:*", "yundun-ndr:*" ], "Resource": "*" } ] }准备Terraform运行环境,您可以选择以下任一方式来使用Terraform。
在Explorer中使用Terraform:阿里云提供了Terraform的在线运行环境,您无需安装Terraform,登录后即可在线使用和体验Terraform。适用于零成本、快速、便捷地体验和调试Terraform的场景。
Cloud Shell:阿里云Cloud Shell中预装了Terraform的组件,并已配置好身份凭证,您可直接在Cloud Shell中运行Terraform的命令。适用于低成本、快速、便捷地访问和使用Terraform的场景。
在本地安装和配置Terraform:适用于网络连接较差或需要自定义开发环境的场景。
重要请确保Terraform版本不低于v0.12.28。如需检查现有版本,请运行
terraform --version命令。
使用的资源
alicloud_cloud_firewall_control_policy:云防火墙访问控制策略。
通过Terraform配置互联网访问控制策略
本示例将配置互联网访问控制策略。
创建一个工作目录,并且在工作目录中创建以下名为
main.tf的配置文件。main.tfTerraform主文件,定义了将要部署的资源。resource "alicloud_cloud_firewall_control_policy" "example" { # 访问控制策略支持的应用类型。有效值:ANY, HTTP, HTTPS, MQTT, Memcache, MongoDB, MySQL, RDP, Redis, SMTP, SMTPS, SSH, SSL, VNC。 application_name = "ANY" # 云防火墙对流量执行的操作。有效值:accept, drop, log。 acl_action = "accept" # 描述 description = "Created_by_terraform" # 访问控制策略中的目标地址类型。有效值:net, group, domain, location。 destination_type = "net" # 访问控制策略中的目标地址。 destination = "100.1.1.0/24" # 访问控制策略适用的流量方向。有效值:in, out。 direction = "out" # 访问控制策略支持的协议类型。有效值:ANY, TCP, UDP, ICMP。 proto = "ANY" # 访问控制策略中的源地址。 source = "1.2.3.0/24" # 访问控制策略中的源地址类型。有效值:net, group, location。 source_type = "net" }执行以下命令,初始化
Terraform运行环境。terraform init返回如下信息,表示Terraform初始化成功。
Initializing the backend... Initializing provider plugins... - Checking for available provider plugins... - Downloading plugin for provider "alicloud" (hashicorp/alicloud) 1.203.0... Warning: registry.terraform.io: For users on Terraform 0.13 or greater, this provider has moved to aliyun/alicloud. Please update your source in required_providers. Terraform has been successfully initialized! You may now begin working with Terraform. Try running "terraform plan" to see any changes that are required for your infrastructure. All Terraform commands should now work. If you ever set or change modules or backend configuration for Terraform, rerun this command to reinitialize your working directory. If you forget, other commands will detect it and remind you to do so if necessary.创建执行计划,并预览变更。
terraform plan执行以下命令,配置互联网访问控制策略。
terraform apply在执行过程中,根据提示输入
yes并按下Enter键,等待命令执行完成,若出现以下信息,则表示配置互联网访问控制策略成功。Do you want to perform these actions? Terraform will perform the actions described above. Only 'yes' will be accepted to approve. Enter a value: yes alicloud_cloud_firewall_control_policy.example: Creating... alicloud_cloud_firewall_control_policy.example: Creation complete after 1s [id=ef9bdf22-07d4-4080-8ec0-824ec3****:out] Apply complete! Resources: 1 added, 0 changed, 0 destroyed.验证结果
您可以使用以下命令查询Terraform已创建的资源详细信息。
terraform show# alicloud_cloud_firewall_control_policy.example: resource "alicloud_cloud_firewall_control_policy" "example" { acl_action = "accept" acl_uuid = "ef9bdf22-07d4-4080-8ec0-824ec3f0****" application_name = "ANY" description = "Created_by_terraform" dest_port = "0/0" dest_port_type = "port" destination = "100.X.X.X/24" destination_type = "net" direction = "out" id = "ef9bdf22-07d4-4080-8ec0-824ec****:out" ip_version = "4" proto = "ANY" release = "true" source = "1.X.X.X/24" source_type = "net" }登录云防火墙控制台,搜索策略ID查看访问控制策略。
清理资源
当您不再需要上述通过Terraform创建或管理的资源时,请运行以下命令以释放资源。关于terraform destroy的更多信息,请参见Terraform常用命令。
terraform destroy完整示例
当前示例代码支持一键运行,您可以直接运行代码。一键运行