Estou tentando criar duas máquinas centos 8 com terraform no azure.
Meus templates github link
Quando tento me inscrever, estou recebendo um erro abaixo relacionado à política. Você poderia por favor sugerir como corrigir isso?
> │ Error: creating Subnet: (Name "subnetforAutomation" / Virtual Network Name "vnetforAutomation" / Resource Group "automation_mart"):
> network.SubnetsClient#CreateOrUpdate: Failure sending request:
> StatusCode=0 -- Original Error: Code="RequestDisallowedByPolicy"
> Message="Resource 'subnetforAutomation' was disallowed by policy.
> Policy identifiers:
> '[{\"policyAssignment\":{\"name\":\"Deny-Subnet-Without-Nsg\",\"id\":\"/providers/Microsoft.Management/managementGroups/QSFT-landingzones/providers/Microsoft.Authorization/policyAssignments/Deny-Subnet-Without-Nsg\"},\"policyDefinition\":{\"name\":\"Subnets
> should have a Network Security Group
> \",\"id\":\"/providers/Microsoft.Management/managementGroups/QSFT/providers/Microsoft.Authorization/policyDefinitions/Deny-Subnet-Without-Nsg\"}}]'."
> Target="subnetforAutomation"
> AdditionalInfo=[{"info":{"evaluationDetails":{"evaluatedExpressions":[{"expression":"type","expressionKind":"Field","expressionValue":"Microsoft.Network/virtualNetworks/subnets","operator":"Equals","path":"type","result":"True","targetValue":"Microsoft.Network/virtualNetworks/subnets"},{"expression":"Microsoft.Network/virtualNetworks/subnets/networkSecurityGroup.id","expressionKind":"Field","operator":"Exists","path":"properties.networkSecurityGroup.id","result":"True","targetValue":"false"}]},"policyAssignmentDisplayName":"Deny-Subnet-Without-Nsg","policyAssignmentId":"/providers/Microsoft.Management/managementGroups/QSFT-landingzones/providers/Microsoft.Authorization/policyAssignments/Deny-Subnet-Without-Nsg","policyAssignmentName":"Deny-Subnet-Without-Nsg","policyAssignmentScope":"/providers/Microsoft.Management/managementGroups/QSFT-landingzones","policyDefinitionDisplayName":"Subnets
> should have a Network Security Group
> ","policyDefinitionEffect":"Deny","policyDefinitionId":"/providers/Microsoft.Management/managementGroups/QSFT/providers/Microsoft.Authorization/policyDefinitions/Deny-Subnet-Without-Nsg","policyDefinitionName":"Deny-Subnet-Without-Nsg"},"type":"PolicyViolation"}]
>
> │
> │ with azurerm_subnet.subnet,
> │ on main.tf line 24, in resource "azurerm_subnet" "subnet":
> │ 24: resource "azurerm_subnet" "subnet" {
> │
Eu tentei manter em linha, a sub-rede dentro da vnet. E o problema surge agora ao fazer referência à sub-rede do bloco de recursos da instância de VM no próprio estágio do plano.
Error: Unsupported attribute
│
│ on network.tf line 26, in resource "azurerm_network_interface" "example":
│ 26: subnet_id = azurerm_virtual_network.vnet.subnet.id #azurerm_subnet.subnet.id
│
│ Can't access attributes on a set of objects. Did you mean to access an attribute across all elements of the set?
╵
//main.tf
## <https://www.terraform.io/docs/providers/azurerm/r/windows_virtual_machine.html>
resource "azurerm_windows_virtual_machine" "example" {
name = var.machine_details.name
computer_name = var.machine_details.name
resource_group_name = azurerm_resource_group.rg.name
location = azurerm_resource_group.rg.location
size = var.machine_details.size
admin_username = var.machine_details.username
admin_password = var.machine_details.password
network_interface_ids = [
azurerm_network_interface.example.id,
]
os_disk {
caching = "ReadWrite"
storage_account_type = "Standard_LRS"
}
source_image_reference {
publisher = "MicrosoftWindowsServer"
offer = "WindowsServer"
sku = "2019-Datacenter"
version = "latest"
}
}
//rede.tf
## <https://www.terraform.io/docs/providers/azurerm/r/virtual_network.html>
resource "azurerm_virtual_network" "vnet" {
name = "vNet"
address_space = ["10.0.0.0/16"]
location = azurerm_resource_group.rg.location
resource_group_name = azurerm_resource_group.rg.name
subnet{
name = "internal"
address_prefix = "10.0.2.0/24"
security_group = azurerm_network_security_group.example.id
}
}
## <https://www.terraform.io/docs/providers/azurerm/r/network_interface.html>
resource "azurerm_network_interface" "example" {
name = "example-nic"
location = azurerm_resource_group.rg.location
resource_group_name = azurerm_resource_group.rg.name
ip_configuration {
name = "internal"
subnet_id = azurerm_virtual_network.vnet.subnet.id #azurerm_subnet.subnet.id
private_ip_address_allocation = "Dynamic"
public_ip_address_id = azurerm_public_ip.myvm1publicip.id
}
}
resource "azurerm_public_ip" "myvm1publicip" {
name = var.public_ip.name
location = azurerm_resource_group.rg.location
resource_group_name = azurerm_resource_group.rg.name
allocation_method = var.public_ip.allocation_method
sku = var.public_ip.sku
}
resource "azurerm_network_security_group" "example" {
name = var.nsg
location = azurerm_resource_group.rg.location
resource_group_name = azurerm_resource_group.rg.name
security_rule {
name = "test123"
priority = 100
direction = "Inbound"
access = "Allow"
protocol = "Tcp"
source_port_range = "*"
destination_port_range = "*"
source_address_prefix = "*"
destination_address_prefix = "*"
}
}
//provedor.tf
## <https://www.terraform.io/docs/providers/azurerm/index.html>
provider "azurerm" {
features {}
}
//rg.tf
## <https://www.terraform.io/docs/providers/azurerm/r/resource_group.html>
resource "azurerm_resource_group" "rg" {
name = "TerraformTesting2"
location = var.location
}
//variáveis.tf
variable "location" {
type = string
description = "Azure Region where all these resources will be provisioned"
default = "eastus2"
}
variable "public_ip" {
default = {
name = "pip1"
allocation_method = "Dynamic"
sku = "Basic"
}
}
variable "nsg" {
type = string
description = "Azure NSG"
default = "example-nsg"
}
variable "machine_details" {
default = {
name = "example-vm2"
size = "Standard_E2s_v3" #"Standard_F2"
username = "adminnasme"
password = "MyPaword!@3"
}
}
A sub-rede não está sendo criada porque não está em conformidade com uma política aplicada por seus administradores. Isso indica que a sub-rede deve ter um NSG aplicado a ela antes de ser criada. Infelizmente, a maneira como o Terraform cria os recursos é que você cria a sub-rede primeiro e depois associa o NSG a ela. São duas chamadas de API, e a primeira está falhando porque não tem um NSG associado a ela. A política não está ciente de que uma segunda chamada está chegando para associar o NSG à sub-rede.
Essa é a desvantagem da maneira como o Terraform se baseia na API ARM. Não há uma ótima solução para isso, além de fazer com que seus administradores relaxem essa política.
Editar:
Então, olhando para este problema, que é bastante semelhante ao que você está vendo, parece que você pode contornar isso definindo suas sub-redes dentro de seu
virtual_networkrecurso, em vez de como recursos de sub-rede separados. Usando isso, você pode definir a associação NSG inline e isso pode ser feito em uma única cale:Enfrentando o mesmo problema, reatribuímos a política com a ação 'Auditoria' em vez de 'Negar'. Se você tiver as permissões para fazê-lo.