Migrace z protokolů toků skupin zabezpečení sítě na protokoly toku virtuální sítě

Důležité

30. září 2027 se protokoly toku skupiny zabezpečení sítě (NSG) vyřadí z provozu. V rámci tohoto vyřazení už nebudete moct vytvářet nové protokoly toku NSG od 30. června 2025. Doporučujeme migrovat na protokoly toku virtuální sítě, které překonat omezení protokolů toku NSG. Po datu vyřazení se už nebudou podporovat analýzy provozu s protokoly toků NSG a stávající prostředky protokolů toku NSG ve vašich předplatných se odstraní. Záznamy protokolů toku NSG se ale neodstraní a budou dál dodržovat příslušné zásady uchovávání informací. Další informace najdete v oficiálním oznámení.

V tomto článku se dozvíte, jak pomocí skriptu migrace migrovat stávající protokoly toku skupiny zabezpečení sítě do protokolů toku virtuální sítě. Protokoly toku virtuální sítě překonaly některá omezení protokolů toků skupin zabezpečení sítě. Další informace najdete v protokolech toku virtuální sítě.

Poznámka:

Použijte skript migrace:

• pokud nemáte povolené protokolování toku ve všech síťových rozhraních nebo podsítích ve virtuální síti a nechcete povolit protokolování toku virtuální sítě u všech z nich, nebo
• pokud protokoly toku skupiny zabezpečení sítě ve virtuální síti mají různé konfigurace a chcete vytvořit protokoly toku virtuální sítě s těmito různými konfiguracemi jako protokoly toku skupiny zabezpečení sítě.

Použití Služby Azure Policy:

• pokud máte stejnou skupinu zabezpečení sítě použitou pro všechna síťová rozhraní nebo podsítě ve virtuální síti,
• pokud máte stejné konfigurace protokolů toku skupiny zabezpečení sítě pro všechna síťová rozhraní nebo podsítě ve virtuální síti, nebo
• pokud chcete povolit protokolování toku virtuální sítě na úrovni virtuální sítě.

Další informace najdete v tématu Nasazení a konfigurace protokolů toku virtuální sítě pomocí předdefinovaných zásad.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma

• Na počítači je nainstalovaný PowerShell 7. Další informace najdete v tématu Instalace PowerShellu ve Windows, Linuxu a macOS. Tento článek vyžaduje modul Az PowerShell. Další informace najdete v tématu Postup instalace Azure PowerShellu. Nainstalovanou verzi zjistíte spuštěním rutiny Get-Module -ListAvailable Az.

• Nezbytná oprávnění RBAC pro předplatná protokolů toku a pracovních prostorů služby Log Analytics (pokud je povolená analýza provozu pro některý z protokolů toku skupiny zabezpečení sítě). Další informace najdete v tématu Oprávnění služby Network Watcher.

• Protokoly toku skupiny zabezpečení sítě v oblasti nebo více Další informace naleznete v tématu Vytvoření protokolů toku skupiny zabezpečení sítě.

Generování skriptu migrace

V této části se dozvíte, jak vygenerovat a stáhnout soubory migrace pro protokoly toku skupiny zabezpečení sítě, které chcete migrovat.

1. Do vyhledávacího pole v horní části portálu zadejte sledovací proces sítě. Ve výsledcích hledání vyberte Network Watcher .

   

2. V části Protokoly vyberte Migrovat protokoly toku.

   

3. Vyberte předplatná, která obsahují protokoly toku skupiny zabezpečení sítě, které chcete migrovat.

4. Pro každé předplatné vyberte oblasti, které obsahují protokoly toku, které chcete migrovat. Celkový počet protokolů toku NSG zobrazuje celkový počet protokolů toku, které jsou ve vybraných předplatných. Vybrané protokoly toku NSG zobrazují počet protokolů toku ve vybraných oblastech.

5. Po výběru předplatných a oblastí vyberte Stáhnout skript a soubor JSON a stáhněte si soubory migrace jako soubor ZIP.

   

6. Extrahujte MigrateFlowLogs.zip soubor na místním počítači. Soubor ZIP obsahuje tyto dva soubory:

   • soubor skriptu: MigrationFromNsgToAzureFlowLogging.ps1
   • soubor JSON: RegionSubscriptionConfig.json.

Spuštění skriptu migrace

V této části se dozvíte, jak pomocí souboru skriptu, který jste stáhli v předchozí části, migrovat protokoly toku skupiny zabezpečení sítě.

Důležité

Po spuštění skriptu byste neměli provádět žádné změny topologie v oblastech a předplatných protokolů toku, které migrujete.

1. Spusťte soubor MigrationFromNsgToAzureFlowLogging.ps1skriptu .

2. Jako možnost Analýza spuštění zadejte 1.

   .\MigrationFromNsgToAzureFlowLogging.ps1
   
   Select one of the following options for flowlog migration:
   1. Run analysis
   2. Delete NSG flowlogs
   3. Quit
   

3. Zadejte název souboru JSON.

   Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json
   

4. Zadejte počet vláken nebo ponechte prázdné, pokud chcete použít výchozí hodnotu 16.

   Please enter the number of threads you would like to use, press enter for using default value of 16:    
   

   Po dokončení analýzy uvidíte sestavu analýzy na obrazovce a v souboru HTML ve stejném adresáři souborů migrace. Sestava uvádí počet protokolů toku skupiny zabezpečení sítě, které budou zakázány, a počet protokolů toku virtuální sítě, které jsou vytvořeny k jejich nahrazení. Počet vytvořených protokolů toku virtuální sítě závisí na typu migrace, kterou zvolíte. Pokud je například skupina zabezpečení sítě, kterou migrujete, přidružená ke třem síťovým rozhraním ve stejné virtuální síti, můžete zvolit migraci s agregací , aby se na virtuální síť použil jeden prostředek protokolu toku virtuální sítě. Pokud chcete mít tři protokoly toku virtuální sítě (jeden prostředek protokolu toku virtuální sítě na síťové rozhraní), můžete zvolit migraci bez agregace .

   Poznámka:

   Podívejte se AnalysisReport-<subscriptionId>-<region>-<time>.html na soubor s úplnou sestavou analýzy, kterou jste provedli. Soubor je k dispozici ve stejném adresáři skriptu.

5. Zadejte 2 nebo 3 a zvolte typ migrace, kterou chcete provést.

   Select one of the following options for flowlog migration:
   1. Re-Run analysis
   2. Proceed with migration with aggregation
   3. Proceed with migration without aggregation
   4. Quit
   

6. Po zobrazení souhrnu migrace na obrazovce můžete migraci zrušit a vrátit zpět změny. Pokud chcete přijmout migraci a pokračovat v migraci, zadejte n, jinak zadejte y. Jakmile změny přijmete, nemůžete je vrátit zpět.

   Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n
   

   Poznámka:

   Pokud máte problémy s migrací, udržujte soubory sestav skriptů a analýz pro referenci.

7. Na webu Azure Portal ověřte, že se zakázal stav protokolů toku skupiny zabezpečení sítě, které jste migrovali. Zkontrolujte také nově vytvořené protokoly toku virtuální sítě v důsledku procesu migrace.

   

8. Přidejte filtr, který zobrazí jenom protokoly toku skupiny zabezpečení sítě z předplatných a oblastí, které zvolíte. Tento krok můžete přeskočit, pokud jste migrovali jenom několik protokolů toku skupiny zabezpečení sítě.

   

9. Vyberte protokoly toku, které chcete odstranit, a pak vyberte Odstranit.

   

10. Zadejte delete a pak odstranění potvrďte výběrem možnosti Odstranit .

    

Důležité informace

• Škálovací sada s nástrojem pro vyrovnávání zatížení: Skript migrace umožňuje protokolování toku virtuální sítě v podsíti s virtuálními počítači škálovací sady.

  Poznámka:

  Pokud protokolování toku skupiny zabezpečení sítě není povolené ve všech síťových rozhraních škálovací sady nebo síťová rozhraní nesdílí stejný protokol toku skupiny zabezpečení sítě, vytvoří se v podsíti protokol toku virtuální sítě se stejnými konfiguracemi jako jedno ze síťových rozhraní škálovací sady.

• PaaS: Skript migrace nepodporuje prostředí s řešeními PaaS, která mají protokoly toku skupin zabezpečení sítě v předplatném uživatele, ale cílové prostředky jsou v různých předplatných. Pro taková prostředí byste měli ručně povolit protokolování toku virtuální sítě ve virtuální síti nebo podsíti řešení PaaS.

Související obsah

• Protokoly toků skupin zabezpečení sítě
• Protokoly toku virtuální sítě
• Správa protokolů toku virtuální sítě pomocí Služby Azure Policy