Azure Firewall を別のリージョンに再配置する
この記事では、Microsoft Azure Virtual Network を保護する Azure Firewall を再配置する方法について説明します。
前提条件
Premium SKU を使用することを強くお勧めします。 Standard SKU を使用している場合は、再配置する前に、既存の Standard SKU Azure Firewall から Premium SKU に移行することを検討してください。
Azure Firewall の再配置を適切に計画して実行するために、次の情報を収集する必要があります。
- デプロイ モデル。"クラシック ファイアウォール規則" または "Firewall ポリシー"。
- Firewall ポリシー名 ("Firewall ポリシー" デプロイ モデルを使用している場合)。
- ファイアウォール インスタンス レベルでの診断設定 (Log Analytics ワークスペースを使用している場合)。
- TLS (トランスポート層セキュリティ) 検査の構成 (Azure Key Vault、証明書、マネージド ID を使用している場合)。
- パブリック IP の制御。 Azure Firewall パブリック IP に依存する外部 ID が固定され、信頼されたままであるかどうかを評価します。
Azure Firewall の Standard および Premium レベルには次の依存関係があり、ターゲット リージョンにデプロイすることが必要な場合があります。
- Azure Virtual Network
- (使用している場合) Log Analytics ワークスペース
Azure Firewall Premium レベルの TLS 検査機能を使用する場合は、次の依存関係もターゲット リージョンにデプロイする必要があります。
ダウンタイム
発生の可能性のあるダウンタイムを理解するには、「Azure 向けのクラウド導入フレームワーク: 再配置方法を選択する」を参照してください。
準備
再配置の準備を行うには、まず、ソース リージョンからテンプレートをエクスポートして変更する必要があります。 Azure Firewall のサンプル ARM テンプレートを表示するには、「テンプレートを確認する」を参照してください。
テンプレートをエクスポートする
Azure portal にサインインします。
[すべてのリソース] を選択し、Azure Firewall リソースを選択します。
[Azure Firewall] ページで、左側のメニューの[自動化] で [テンプレートのエクスポート] を選択します。
[テンプレートのエクスポート] ページで [ダウンロード] を選択します。
ポータルからダウンロードした .zip ファイルを見つけて、選択したフォルダーにそのファイルを解凍します。
この zip ファイルには、テンプレートとテンプレートをデプロイするためのスクリプトから構成される .json ファイルが含まれています。
テンプレートを変更する
このセクションでは、前のセクションで生成したテンプレートを変更する方法について説明します。
ファイアウォール ポリシーを使用しないでクラシック ファイアウォール規則を実行している場合は、このセクションの手順に進む前にファイアウォール ポリシーに移行してください。 クラシック ファイアウォール規則を Firewall ポリシーに移行する方法については、「PowerShell を使用して Azure Firewall の構成を Azure Firewall ポリシーに移行する」を参照してください。
Azure portal にサインインします。
TLS 検査を有効にした Premium SKU を使用している場合は、次の手順を行います。
- 新しいターゲット リージョンに、TLS 検査に使用されるキー コンテナーを再配置します。 次に、手順に従って、ターゲット リージョンの新しいキー コンテナーに TLS 検査用の証明書を移動するか、新しく生成します。
- 新しいターゲット リージョンにマネージド ID を再配置します。 ターゲット リージョンとサブスクリプションで、キー コンテナーの対応するロールを再割り当てします。
Azure Portal で、 [リソースの作成] を選択します。
[Marketplace を検索] に「
template deployment」と入力し、Enter キーを押します。[テンプレートのデプロイ]、[作成] の順に選択します。
エディターで独自のテンプレートをビルド を選択します。
[ファイルを読み込む] を選択し、手順に従って、前のセクションでダウンロードした
template.jsonファイルを読み込みますtemplate.jsonファイルで、次のように置き換えます。firewallNameを実際の Azure Firewall 名の既定値に置き換えます。azureFirewallPublicIpIdをターゲット リージョンの実際のパブリック IP アドレスの ID に置き換えます。virtualNetworkNameをターゲット リージョンの仮想ネットワークの名前に置き換えます。firewallPolicy.idを実際のポリシー ID に置き換えます。
ソース リージョンの構成を使用して新しいファイアウォール ポリシーを作成し、新しいターゲット リージョンによって導入された変更 (IP アドレス範囲、パブリック IP、ルール コレクション) を反映します。
Premium SKU を使用しており、TLS 検査を有効にする場合は、新しく作成したファイアウォール ポリシーを更新し、こちらの手順に従って TLS 検査を有効にします。
以下のトピックの構成を確認し、ターゲット リージョンに必要な変更を反映するように更新します。
- IP グループ。 ターゲット リージョンの IP アドレスがソースと異なる場合は、それを含めるために、"IP グループ" を確認する必要があります。 グループに含まれている IP アドレスを変更する必要があります。
- ゾーン。 ターゲット リージョンの可用性ゾーン (AZ) を構成します。
- 強制トンネリング。Azure Firewall を再配置する前に、仮想ネットワークを再配置したこと、およびファイアウォールの "管理サブネット" が存在していることを確認してください。 ユーザー定義ルート (UDR) で、Azure Firewall でトラフィックのリダイレクト先にする必要があるネットワーク仮想アプライアンス (NVA) の、ターゲット リージョンの IP アドレスを更新します。
- DNS。 カスタム "DNS サーバー" の IP アドレスがターゲット リージョンを反映していることを確認します。 "DNS プロキシ" 機能を有効にする場合は必ず、仮想ネットワークの DNS サーバーの設定を構成し、Azure Firewall のプライベート IP アドレスを "カスタム DNS サーバー" として設定します。
- プライベート IP 範囲 (SNAT)。 - SNAT にカスタム範囲が定義されている場合は、ターゲット リージョンのアドレス空間が含まれていることを確認し、最終的に調整することをお勧めします。
- タグ。 - 新しいファイアウォールの場所を反映または参照する可能性のあるタグを確認し、最終的に更新します。
- 診断設定。 ターゲット リージョンで Azure Firewall を再作成する場合は必ず、"診断設定" を確認し、ターゲット リージョン (Log Analytics ワークスペース、ストレージ アカウント、イベント ハブ、またはサードパーティのパートナー ソリューション) を反映するように構成します。
template.jsonファイルのlocationプロパティをターゲット リージョンに編集します (次の例は、ターゲット リージョンをcentralusに設定しています)。
"resources": [
{
"type": "Microsoft.Network/azureFirewalls",
"apiVersion": "2023-09-01",
"name": "[parameters('azureFirewalls_fw_name')]",
"location": "centralus",}]
ターゲット リージョンの場所コードを見つけるには、「Azure でのデータ所在地」を参照してください。
template.jsonファイルを保存します。
Redeploy
テンプレートをデプロイして、ターゲット リージョンに新しい Azure Firewall を作成します。
プロパティ値を入力または選択します。
サブスクリプション:Azure サブスクリプションを選択します。
[リソース グループ] : [新規作成] を選択して、リソース グループに名前を付けます。
[場所] :Azure の場所を選択します。
以上で、必要な変更を反映する構成を採用して、Azure Firewall がターゲット リージョンにデプロイされます。
構成と機能を確認します。