快速入门：使用 Terraform 部署 Azure Bastion

2025-06-09

本快速入门介绍如何使用 Terraform 在 Azure 门户中自动部署 Azure Bastion。为此，请创建 Azure Bastion 主机及其相应的 Azure 资源，其中包括资源组、虚拟网络、Azure Bastion 子网和公共 IP。此设置可确保为 Azure 服务提供一个安全的专用网络环境。下图概述了 Azure Bastion 部署：

通过部署 Azure Bastion，你可以使用 RDP 和 SSH 访问 Azure 门户中的虚拟机。该服务直接在虚拟网络中进行预配，支持那里的所有虚拟机，减少了暴露给公用网络连接的机会。自动部署 Bastion 时，Bastion 通过标准 SKU 进行部署。请参阅 Azure Bastion 部署指南，以详细了解如何自定义 Azure Bastion 部署。

使用 Terraform 可以定义、预览和部署云基础结构。使用 Terraform 时，请使用 HCL 语法来创建配置文件。利用 HCL 语法，可指定 Azure 这样的云提供程序和构成云基础结构的元素。创建配置文件后，请创建一个执行计划，利用该计划，可在部署基础结构更改之前先预览这些更改。验证了更改后，请应用该执行计划以部署基础结构。

创建具有唯一名称的 Azure 资源组。
建立具有指定名称和地址的虚拟网络。
在创建的虚拟网络中专门为 Azure Bastion 设置子网。
在资源组内为 Azure Bastion 分配静态的标准公共 IP。
在资源组内构建具有指定 IP 配置的 Azure Bastion 主机。
输出资源组的名称和 IP 地址以及 Azure Bastion 主机。

先决条件

创建具有活动订阅的 Azure 帐户。可以创建一个试用订阅。
安装和配置Terraform。

实现 Terraform 代码

注释

本文中的示例代码位于 Azure Terraform GitHub 存储库中。你可以查看包含当前和以前 Terraform 版本的测试结果的日志文件。

创建用于测试和运行示例 Terraform 代码的目录，并将其设为当前目录。

创建名为 main.tf 的文件并插入以下代码：

# Create Resource Group
resource "random_pet" "rg_name" {
  prefix = var.resource_group_name_prefix
}

resource "azurerm_resource_group" "rg" {
  location = var.resource_group_location
  name     = random_pet.rg_name.id
}

# Create Virtual Network
resource "azurerm_virtual_network" "vnet" {
  name                = "example-network"
  address_space       = ["10.0.0.0/16"]
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name
}

# Create Subnet for Azure Bastion
resource "azurerm_subnet" "bastion_subnet" {
  name                 = "AzureBastionSubnet"
  resource_group_name  = azurerm_resource_group.rg.name
  virtual_network_name = azurerm_virtual_network.vnet.name
  address_prefixes     = ["10.0.1.0/24"]
}

# Create Public IP for Azure Bastion
resource "azurerm_public_ip" "bastion_pip" {
  name                = "example-pip"
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name
  allocation_method   = "Static"
  sku                 = "Standard"
}

# Create Azure Bastion Host
resource "azurerm_bastion_host" "bastion" {
  name                = "example-bastion"
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name

  ip_configuration {
    name                 = "configuration"
    subnet_id            = azurerm_subnet.bastion_subnet.id
    public_ip_address_id = azurerm_public_ip.bastion_pip.id
  }
}

创建名为 outputs.tf 的文件并插入以下代码：

output "resource_group_name" {
  value = azurerm_resource_group.rg.name
}

output "bastion_host_name" {
  value = azurerm_bastion_host.bastion.name
}

output "bastion_host_ip" {
  value = azurerm_public_ip.bastion_pip.ip_address
}

创建名为 providers.tf 的文件并插入以下代码：

terraform {
  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~>3.0"
    }
    random = {
      source  = "hashicorp/random"
      version = "~>3.0"
    }
  }
}

provider "azurerm" {
  features {}
}

创建名为 variables.tf 的文件并插入以下代码：

variable "resource_group_location" {
  type        = string
  default     = "chinaeast2"
  description = "Location of the resource group."
}

variable "resource_group_name_prefix" {
  type        = string
  default     = "rg"
  description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
}

初始化 Terraform

运行 terraform init，将 Terraform 部署进行初始化。此命令将下载管理 Azure 资源所需的 Azure 提供程序。

terraform init -upgrade

要点：

参数 -upgrade 可将必要的提供程序插件升级到符合配置版本约束的最新版本。

创建 Terraform 执行计划

运行 terraform plan 以创建执行计划。

terraform plan -out main.tfplan

要点：

terraform plan 命令将创建一个执行计划，但不会执行它。相反，它会确定需要执行哪些操作，以创建配置文件中指定的配置。此模式允许你在对实际资源进行任何更改之前验证执行计划是否符合预期。
使用可选 -out 参数可以为计划指定输出文件。使用 -out 参数可以确保所查看的计划与所应用的计划完全一致。

应用 Terraform 执行计划

运行 terraform apply 以将执行计划应用到您的云基础架构。

terraform apply main.tfplan

要点：

示例 terraform apply 命令假设你先前运行了 terraform plan -out main.tfplan。
如果为 -out 参数指定了不同的文件名，请在对 terraform apply 的调用中使用该相同文件名。
如果未使用 -out 参数，请调用不带任何参数的 terraform apply。

获取 Azure 资源组名称。

resource_group_name=$(terraform output -raw resource_group_name)

获取 Azure Bastion 主机名。

bastion_host_name=$(terraform output -raw bastion_host_name)

获取 Azure Bastion 主机 IP 地址。

bastion_host_ip=$(terraform output -raw bastion_host_ip)

运行 az network bastion show 以查看 Azure Bastion 主机。

az network bastion show --name $bastion_host_name --resource-group $resource_group_name

获取 Azure 资源组名称。

$resource_group_name=$(terraform output -raw resource_group_name)

获取 Azure Bastion 主机名。

$bastion_host_name=$(terraform output -raw bastion_host_name)

获取 Azure Bastion 主机 IP 地址。

$bastion_host_ip=$(terraform output -raw bastion_host_ip)

运行 Get-AzBastionHost 以查看 Azure Bastion 主机。

Get-AzBastionHost -ResourceGroupName $resource_group_name -Name $bastion_host_name

清理资源

不再需要通过 Terraform 创建的资源时，请执行以下步骤：

运行 terraform plan 并指定 destroy 标志。
```
terraform plan -destroy -out main.destroy.tfplan
```
要点：
- terraform plan 命令将创建一个执行计划，但不会执行它。相反，它会确定需要执行哪些操作，以创建配置文件中指定的配置。此模式允许你在对实际资源进行任何更改之前验证执行计划是否符合预期。
- 使用可选 -out 参数可以为计划指定输出文件。使用 -out 参数可以确保所查看的计划与所应用的计划完全一致。
运行 terraform apply 来应用执行计划。
```
terraform apply main.destroy.tfplan
```

Azure 上的 Terraform 故障排除

排查在 Azure 上使用 Terraform 时遇到的常见问题。

后续步骤

在本快速入门中，你使用了 Terraform 创建 Azure 资源组和其他免费 Azure 资源，以设置 Azure Bastion 主机。接下来，你可以探索以下资源来详细了解 Azure Bastion 和 Terraform。

Azure Bastion 和 Terraform 文章

通过