Partager via

Déplacer le Pare-feu Azure vers une autre région

  • Article

Cet article explique comment déplacer un Pare-feu Azure qui protège un réseau virtuel Azure.

Prérequis

  • Nous vous recommandons vivement d’utiliser la référence SKU Premium. Si vous utilisez la référence SKU Standard, envisagez de migrer d’un Pare-feu Azure de référence SKU Standard existant vers une référence SKU Premium avant d’effectuer un déplacement.

  • Les informations suivantes doivent être collectées pour planifier et exécuter correctement le déplacement d’un Pare-feu Azure :

    • Modèle de déploiement. Règles de pare-feu classiques ou Stratégie de pare-feu.
    • Nom de la stratégie de pare-feu. (Si le modèle de déploiement Stratégie de pare-feu est utilisé).
    • Paramètre de diagnostic au niveau de l’instance de pare-feu. (Si un espace de travail Log Analytics est utilisé).
    • Configuration de l’inspection TLS (Transport Layer Security) : (Si Azure Key Vault, une certificat et une identité managée sont utilisés.)
    • Contrôle IP publique. Évaluez si toute identité externe s’appuyant sur l’adresse IP publique du Pare-feu Azure reste fixe et approuvée.

  • Les niveaux Standard et Premium du Pare-feu Azure ont les dépendances suivantes, que vous devrez peut-être déployer dans la région cible :

  • Si vous utilisez la fonctionnalité d’inspection TLS du niveau Premium du Pare-feu Azure, les dépendances suivantes doivent également être déployées dans la région cible :

Temps d’arrêt

Pour comprendre les temps d’arrêt possibles impliqués, consultez Cloud Adoption Framework pour Azure : sélectionnez une méthode de relocalisation.

Préparer

Pour préparer le déplacement, vous devez d’abord exporter et modifier le modèle de la région source. Pour afficher un exemple de modèle ARM pour le Pare-feu Azure, consultez Vérifier le modèle.

Exportation du modèle

  1. Connectez-vous au portail Azure.

  2. Sélectionnez Toutes les ressources, puis sélectionnez votre ressource Pare-feu Azure.

  3. Dans la page Pare-feu Azure, sélectionnez Modèle d’exportation sous Automation dans le menu de gauche.

  4. Choisissez Télécharger dans le panneau Exporter le modèle.

  5. Localisez le fichier .zip que vous avez téléchargé à partir du portail, puis décompressez-le dans le dossier de votre choix.

    Ce fichier zip contient les fichiers .json qui incluent le modèle et des scripts pour le déployer.

Modifier un modèle

Dans cette section, vous apprenez à modifier le modèle que vous avez généré dans la section précédente.

Si vous exécutez des règles de pare-feu classiques sans Stratégie de pare-feu, migrez vers Stratégie de pare-feu avant d’effectuer les étapes décrites dans cette section. Pour savoir comment migrer des règles de pare-feu classiques vers Stratégie de pare-feu, consultez Migrer la configuration du Pare-feu Azure vers la Stratégie de pare-feu en utilisant PowerShell.

  1. Connectez-vous au portail Azure.

  2. Si vous utilisez la référence SKU Premium avec inspection TLS activée,

    1. Déplacez le coffre de clés utilisé pour l’inspection TLS dans la nouvelle région cible. Ensuite, suivez les procédures pour déplacer les certificats ou générer de nouveaux certificats pour l’inspection TLS dans le nouveau coffre de clés dans la région cible.
    2. Déplacez l’identité managée dans la nouvelle région cible. Réaffectez les rôles correspondants pour le coffre de clés dans la région cible et l’abonnement.

  3. Dans le portail Azure, sélectionnez Créer une ressource.

  4. Dans Rechercher sur la Place de marché, tapez template deployment, puis appuyez sur Entrée.

  5. Sélectionnez Déploiement de modèle et sélectionnez Créer.

  6. Sélectionnez Générer votre propre modèle dans l’éditeur.

  7. Sélectionnez Charger le fichier, puis suivez les instructions pour charger le fichier template.json que vous avez téléchargé dans la section précédente

  8. Dans le fichier template.json, remplacez :

    • firewallName par la valeur par défaut du nom de votre Pare-feu Azure.
    • azureFirewallPublicIpId par l’ID de votre adresse IP publique dans la région cible.
    • virtualNetworkName par le nom du réseau virtuel dans la région cible.
    • firewallPolicy.id par votre ID de stratégie.

  9. Créer une nouvelle stratégie de pare-feu en utilisant la configuration de la région source et refléter les modifications introduites par la nouvelle région cible (plages d’adresses IP, adresse IP publique, collections de règles).

  10. Si vous utilisez la référence SKU Premium et que vous souhaitez activer l’inspection TLS, mettez à jour la stratégie de pare-feu nouvellement créée et activez l’inspection TLS en suivant les instructions fournies ici.

  11. Passez en revue et mettez à jour pour que la configuration des rubriques ci-dessous reflète les modifications requises pour la région cible.

    • Groupes IP. Pour inclure des adresses IP de la région cible, si elles sont différentes de la source, Groupes IP doit être revu. Les adresses IP incluses dans les groupes doivent être modifiées.
    • Zones. Configurez les zones de disponibilité (AZ) dans la région cible.
    • Tunneling forcé. Vérifiez que vous avez relocalisé le réseau virtuel et que le pare-feu Sous-réseau de gestion est présent avant la relocalisation de Pare-feu Azure. Mettez à jour l’adresse IP dans la région cible de l’appliance virtuelle réseau (NVA) vers laquelle le Pare-feu Azure doit rediriger le trafic, dans l’itinéraire défini par l’utilisateur (UDR).
    • DNS. Passez en revue les adresses IP de vos serveurs DNS personnalisés pour refléter votre région cible. Si la fonctionnalité Proxy DNS est activée, veillez à configurer les paramètres de votre serveur DNS de réseau virtuel et à définir l’adresse IP privée du Pare-feu Azure en tant que Serveur DNS personnalisé.
    • Plages d'adresses IP privées (SNAT). - Si des plages personnalisées sont définies pour SNAT, nous vous recommandons de passer en revue et d’ajuster pour inclure l’espace d’adressage de la région cible.
    • Étiquettes. - Vérifiez et mettez à jour toute balise susceptible de refléter ou de faire référence au nouvel emplacement du pare-feu.
    • Paramètres de diagnostic. Lors de la recréation du Pare-feu Azure dans la région cible, veillez à passer en revue les Paramètres de diagnostic et à le configurer pour refléter la région cible (espace de travail log Analytics, compte de stockage, Event Hub ou solution partenaire tierce).

  12. Modifiez la propriété location dans le fichier template.json dans la région cible (l’exemple suivant montre comment définir la région cible sur centralus) :

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Pour rechercher le code d’emplacement de votre région cible, consultez Résidence des données dans Azure.

  1. Enregistrez le fichier template.json.

Redeploy

Déployez le modèle pour créer un Pare-feu Azure dans la région cible.

  1. Entrez ou sélectionnez les valeurs de propriété :

    • Abonnement: Sélectionnez un abonnement Azure.

    • Groupe de ressources : Sélectionnez Créer et donnez un nom au groupe de ressources.

    • Emplacement : Sélectionnez un emplacement Azure.

  2. Le Pare-feu Azure est maintenant déployé avec la configuration adoptée pour refléter les modifications nécessaires dans la région cible.

  3. Vérifiez la configuration et les fonctionnalités.