Přemístění služby Azure Firewall do jiné oblasti

V tomto článku se dozvíte, jak přemístit bránu Azure Firewall, která chrání virtuální síť Azure.

Požadavky

• Důrazně doporučujeme používat skladovou položku Premium. Pokud používáte skladovou položku Standard, před přemístěním zvažte migraci z existující skladové položky Azure Firewall úrovně Standard na skladovou položku Premium.

• Aby bylo možné správně naplánovat a spustit přemístění služby Azure Firewall, je potřeba shromáždit následující informace:

  • Model nasazení Klasická pravidla brány firewall nebo zásady brány firewall
  • Název zásady brány firewall (Pokud Používá se model nasazení zásad brány firewall).
  • Nastavení diagnostiky na úrovni instance brány firewall (Pokud se používá pracovní prostor služby Log Analytics).
  • Konfigurace kontroly protokolu TLS (Transport Layer Security): (Pokud se používá Služba Azure Key Vault, certifikát a spravovaná identita.)
  • Řízení veřejných IP adres. Vyhodnoťte, že všechny externí identity závislé na veřejné IP adrese služby Azure Firewall zůstanou pevné a důvěryhodné.

• Úrovně Azure Firewall Standard a Premium mají následující závislosti, které může být potřeba nasadit v cílové oblasti:

  • Azure Virtual Network
  • (Pokud se používá) Pracovní prostor služby Log Analytics

• Pokud používáte funkci Kontroly protokolu TLS na úrovni Premium služby Azure Firewall, musí být v cílové oblasti nasazeny také následující závislosti:

  • Azure Key Vault
  • Spravovaná identita Azure

Odstávka

Informace o možných výpadkech najdete v tématu Architektura přechodu na cloud pro Azure: Výběr metody přemístění.

Příprava

Pokud se chcete připravit na přemístění, musíte nejprve exportovat a upravit šablonu ze zdrojové oblasti. Pokud chcete zobrazit ukázkovou šablonu ARM pro Azure Firewall, přečtěte si šablonu.

Export šablony

Portál

1. Přihlaste se k portálu Azure.

2. Vyberte Všechny prostředky a pak vyberte prostředek služby Azure Firewall.

3. Na stránce Azure Firewall vyberte v části Automatizace v nabídce vlevo možnost Exportovat šablonu.

4. Na stránce Exportovat šablonu zvolte Stáhnout.

5. Vyhledejte .zip soubor, který jste stáhli z portálu, a rozbalte ho do libovolné složky.

   Tento soubor ZIP obsahuje soubory .json, které obsahují šablonu a skripty pro nasazení šablony.

PowerShell

1. Přihlaste se ke svému předplatnému Azure pomocí Connect-AzAccount příkazu a postupujte podle pokynů na obrazovce:

Connect-AzAccount

2. Pokud je vaše identita přidružená k více než jednomu předplatnému, nastavte aktivní předplatné na předplatné prostředku služby Azure Firewall, který chcete přesunout.

$context = Get-AzSubscription -SubscriptionId <subscription-id>
Set-AzContext $context

3. Exportujte šablonu zdrojového prostředku služby Azure Firewall spuštěním následujících příkazů:

$resource = Get-AzResource `
  -ResourceGroupName <resource-group-name> `
  -ResourceName <resource-name> `
  -ResourceType <resource-type>

Export-AzResourceGroup `
  -ResourceGroupName <resource-group-name> `
  -Resource $resource.ResourceId

4. template.json Vyhledejte aktuální adresář.

Úprava šablony

V této části se dozvíte, jak upravit šablonu, kterou jste vygenerovali v předchozí části.

Pokud používáte klasická pravidla brány firewall bez zásad brány firewall, před pokračováním v krocích v této části proveďte migraci na zásady brány firewall. Informace o migraci z klasických pravidel brány firewall na zásady brány firewall najdete v tématu Migrace konfigurace služby Azure Firewall do zásad služby Azure Firewall pomocí PowerShellu.

Azure Portal

1. Přihlaste se k portálu Azure.

2. Pokud používáte skladovou položku Premium s povolenou kontrolou protokolu TLS,

   1. Přemísťujte trezor klíčů, který se používá k kontrole protokolu TLS, do nové cílové oblasti. Potom podle pokynů přesuňte certifikáty nebo vygenerujte nové certifikáty pro kontrolu protokolu TLS do nového trezoru klíčů v cílové oblasti.
   2. Přemístění spravované identity do nové cílové oblasti Znovu přiřaďte odpovídající role trezoru klíčů v cílové oblasti a předplatném.

3. Na webu Azure Portal vyberte Vytvořit prostředek.

4. Do pole Hledat na Marketplace zadejte template deploymenta stiskněte Enter.

5. Vyberte Nasazení šablony a vyberte Vytvořit.

6. Vyberte Vytvořit vlastní šablonu v editoru.

7. Vyberte Načíst soubor a pak podle pokynů načtěte template.json soubor, který jste stáhli v předchozí části.

8. template.json V souboru nahraďte:

   • firewallName s výchozí hodnotou vašeho názvu služby Azure Firewall.
   • azureFirewallPublicIpId s ID vaší veřejné IP adresy v cílové oblasti.
   • virtualNetworkName s názvem virtuální sítě v cílové oblasti.
   • firewallPolicy.id s ID vaší zásady.

9. Vytvořte novou zásadu brány firewall pomocí konfigurace zdrojové oblasti a reflektujte změny zavedené novou cílovou oblastí (rozsahy IP adres, veřejná IP adresa, kolekce pravidel).

10. Pokud používáte skladovou položku Premium a chcete povolit kontrolu protokolu TLS, aktualizujte nově vytvořené zásady brány firewall a podle zde uvedených pokynů povolte kontrolu protokolu TLS.

11. Zkontrolujte a aktualizujte konfiguraci níže uvedených témat, aby odrážely změny požadované pro cílovou oblast.

    • Skupiny IP adres. Pokud chcete zahrnout IP adresy z cílové oblasti, měly by se zkontrolovat skupiny IP adres, pokud se liší od zdroje. IP adresy zahrnuté ve skupinách musí být změněny.
    • Zóny. Nakonfigurujte zóny dostupnosti (AZ) v cílové oblasti.
    • Vynucené tunelování.Před přemístěním brány Azure Firewall se ujistěte, že jste přemístili virtuální síť a že podsíť pro správu brány firewall existuje. Aktualizujte IP adresu v cílové oblasti síťového virtuálního zařízení( NVA), na kterou by měla brána Azure Firewall přesměrovat provoz v trasách definovaných uživatelem.
    • DNS. Zkontrolujte IP adresy pro vlastní servery DNS tak, aby odrážely vaši cílovou oblast. Pokud je povolená funkce proxy serveru DNS, nezapomeňte nakonfigurovat nastavení serveru DNS virtuální sítě a nastavit privátní IP adresu služby Azure Firewall jako vlastní server DNS.
    • Rozsahy privátních IP adres (SNAT). – Pokud jsou pro SNAT definované vlastní rozsahy, doporučujeme zkontrolovat a nakonec upravit adresní prostor cílové oblasti.
    • Značky – Ověřte a nakonec aktualizujte všechny značky, které můžou odrážet nebo odkazovat na nové umístění brány firewall.
    • Nastavení diagnostiky Při opětovném vytvoření služby Azure Firewall v cílové oblasti zkontrolujte nastavení diagnostiky a nakonfigurujte ji tak, aby odrážela cílovou oblast (pracovní prostor služby Log Analytics, účet úložiště, centrum událostí nebo partnerské řešení třetích stran).

12. location Upravte vlastnost v template.json souboru do cílové oblasti (následující příklad nastaví cílovou oblast na centralushodnotu .):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Pokud chcete najít kód umístění pro cílovou oblast, přečtěte si téma Rezidence dat v Azure.

1. Uložte soubor template.json.

PowerShell

1. Přihlaste se k portálu Azure.

2. Pokud používáte skladovou položku Premium s povolenou kontrolou protokolu TLS,

   1. Přemísťujte trezor klíčů používaný pro kontrolu protokolu TLS do nové cílové oblasti a podle pokynů přesuňte certifikáty nebo vygenerujte nové certifikáty pro kontrolu protokolu TLS v novém trezoru klíčů v cílové oblasti.
   2. Přemísťujte spravovanou identitu do nové cílové oblasti a znovu přiřaďte odpovídající role trezoru klíčů v cílové oblasti a předplatném.

3. template.json V souboru nahraďte:

   • firewallName s výchozí hodnotou vašeho názvu služby Azure Firewall.
   • azureFirewallPublicIpId s ID vaší veřejné IP adresy v cílové oblasti.
   • virtualNetworkName s názvem virtuální sítě v cílové oblasti.
   • firewallPolicy.id s ID vaší zásady.

4. Vytvořte novou zásadu brány firewall pomocí konfigurace zdrojové oblasti a reflektujte změny zavedené novou cílovou oblastí (rozsahy IP adres, veřejná IP adresa, kolekce pravidel).

5. Zkontrolujte a aktualizujte konfiguraci níže uvedených témat, aby odrážely změny požadované pro cílovou oblast.

   • Skupiny IP adres. Pokud chcete zahrnout IP adresy z cílové oblasti, měly by se zkontrolovat skupiny IP adres, pokud se liší od zdroje. IP adresy zahrnuté ve skupinách musí být změněny.
   • Zóny. Nakonfigurujte zóny dostupnosti (AZ) v cílové oblasti.
   • Vynucené tunelování.Před přemístěním brány Azure Firewall se ujistěte, že jste přemístili virtuální síť a že podsíť pro správu brány firewall existuje. Aktualizujte IP adresu v cílové oblasti síťového virtuálního zařízení( NVA), na kterou by měla brána Azure Firewall přesměrovat provoz v trasách definovaných uživatelem.
   • DNS. Zkontrolujte IP adresy pro vlastní servery DNS tak, aby odrážely vaši cílovou oblast. Pokud je povolená funkce proxy serveru DNS, nezapomeňte nakonfigurovat nastavení serveru DNS virtuální sítě a nastavit privátní IP adresu služby Azure Firewall jako vlastní server DNS.
   • Rozsahy privátních IP adres (SNAT). – Pokud jsou pro SNAT definované vlastní rozsahy, doporučujeme zkontrolovat a nakonec upravit adresní prostor cílové oblasti.
   • Značky – Ověřte a nakonec aktualizujte všechny značky, které můžou odrážet nebo odkazovat na nové umístění brány firewall.
   • Nastavení diagnostiky Při opětovném vytvoření služby Azure Firewall v cílové oblasti zkontrolujte nastavení diagnostiky a nakonfigurujte ji tak, aby odrážela cílovou oblast (pracovní prostor služby Log Analytics, účet úložiště, centrum událostí nebo partnerské řešení třetích stran).

6. location Upravte vlastnost v template.json souboru do cílové oblasti (následující příklad nastaví cílovou oblast na centralushodnotu .):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Pokud chcete najít kód umístění pro cílovou oblast, přečtěte si téma Rezidence dat v Azure.

Opětovné nasazení

Nasaďte šablonu pro vytvoření nové brány Azure Firewall v cílové oblasti.

Azure Portal

1. Zadejte nebo vyberte hodnoty těchto vlastností:

   • Předplatné: Vyberte předplatné Azure.

   • Skupina prostředků: Vyberte Vytvořit novou a zadejte název nové skupiny prostředků.

   • Umístění: Vyberte umístění Azure.

2. Služba Azure Firewall se teď nasadí s přijatou konfigurací, aby odrážela potřebné změny v cílové oblasti.

3. Ověřte konfiguraci a funkčnost.

PowerShell

1. Získejte ID předplatného, do kterého chcete nasadit cílovou veřejnou IP adresu, spuštěním následujícího příkazu:

Get-AzSubscription

2. Spuštěním následujících příkazů nasaďte šablonu:

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. eastus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"

1. The Azure Firewall is now deployed with the adopted configuration to reflect the needed changes in the target region. 
1. Verify configuration and functionality.

Související obsah

• Přesunutí prostředků do nové skupiny prostředků nebo předplatného
• Přesun virtuálních počítačů Azure do jiné oblasti