다음을 통해 공유

Azure Firewall을 다른 지역으로 재배치

  • 아티클

이 문서에서는 Azure Virtual Network를 보호하는 Azure Firewall을 재배치하는 방법을 보여 줍니다.

필수 조건

  • 프리미엄 SKU를 사용하는 것이 좋습니다. 표준 SKU를 사용 중이라면 재배치하기 전에 기존 표준 SKU Azure Firewall에서 프리미엄 SKU로 마이그레이션하는 것이 좋습니다.

  • Azure Firewall 재배치를 적절히 계획하고 실행하려면 다음 정보를 수집해야 합니다.

    • 배포 모델. 클래식 방화벽 규칙 또는 방화벽 정책.
    • 방화벽 정책 이름. (방화벽 정책 배포 모델이 사용되는 경우).
    • 방화벽 인스턴스 수준의 진단 설정입니다. (Log Analytics 작업 영역이 사용되는 경우).
    • TLS(전송 계층 보안) 검사 구성.:(Azure Key Vault, 인증서 및 관리 ID가 사용되는 경우)
    • 공용 IP 제어. Azure Firewall 공용 IP를 사용하는 모든 외부 ID가 고정되고 신뢰할 수 있는 상태로 유지되는지 평가합니다.

  • Azure Firewall 표준 및 프리미엄 계층에는 대상 지역에 배포해야 할 수 있는 다음과 같은 종속성이 있습니다.

  • Azure Firewall 프리미엄 계층의 TLS 검사 기능을 사용하는 경우 다음 종속성도 대상 지역에 배포해야 합니다.

가동 중지 시간

발생할 수 있는 가동 중지 시간을 이해하려면 Azure용 클라우드 채택 프레임워크: 재배치 방법 선택을 참조하세요.

준비

이전을 준비하려면 먼저 원본 지역에서 템플릿을 내보내고 수정해야 합니다. Azure Firewall용 샘플 ARM 템플릿을 보려면 템플릿 검토를 참조하세요.

템플릿 내보내기

  1. Azure Portal에 로그인합니다.

  2. 모든 리소스를 선택한 다음 Azure Firewall 리소스를 선택합니다.

  3. Azure Firewall 페이지에서 왼쪽 메뉴의 자동화 아래에 있는 템플릿 내보내기를 선택합니다.

  4. 템플릿 내보내기 페이지에서 다운로드를 선택합니다.

  5. 포털에서 다운로드한 .zip 파일을 찾은 다음, 선택한 폴더에 파일 압축을 풉니다.

    zip 파일에는 템플릿과 템플릿 배포 스크립트를 포함하는 .json 파일이 들어 있습니다.

템플릿 수정

이 섹션에서는 이전 섹션에서 생성한 템플릿을 수정하는 방법을 알아봅니다.

방화벽 정책 없이 기존 방화벽 규칙을 실행하는 경우 이 섹션의 단계를 진행하기 전에 방화벽 정책으로 마이그레이션합니다. 클래식 방화벽 규칙에서 방화벽 정책으로 마이그레이션하는 방법을 알아보려면 PowerShell을 사용하여 Azure Firewall 구성을 Azure Firewall 정책으로 마이그레이션을 참조하세요.

  1. Azure Portal에 로그인합니다.

  2. TLS 검사가 사용하도록 설정된 프리미엄 SKU를 사용하는 경우

    1. TLS 검사에 사용되는 키 자격 증명 모음을 새 대상 지역으로 다시 배치합니다. 그런 다음 절차에 따라 인증서를 이동하거나 TLS 검사를 위한 새 인증서를 생성하여 대상 지역의 새 키 자격 증명 모음으로 옮깁니다.
    2. 관리 ID를 새 대상 지역으로 재배치합니다. 대상 지역 및 구독의 키 자격 증명 모음에 해당 역할을 다시 할당합니다.

  3. Azure Portal에서 리소스 만들기를 선택합니다.

  4. Marketplace 검색에서 template deployment를 입력한 다음 Enter 키를 누릅니다.

  5. 템플릿 배포를 선택하고 만들기를 선택합니다.

  6. 편집기에서 사용자 고유의 템플릿을 빌드합니다.를 선택합니다.

  7. 파일 로드를 선택한 다음 지침에 따라 이전 섹션에서 다운로드한 template.json 파일을 로드합니다.

  8. template.json 파일에서 다음을 바꿉니다.

    • firewallName을 Azure Firewall 이름의 기본값으로 바꿉니다.
    • azureFirewallPublicIpId를 대상 지역의 공용 IP 주소 ID로 변경합니다.
    • virtualNetworkName을 대상 지역의 가상 네트워크 이름으로 바꿉니다.
    • firewallPolicy.id를 사용자의 정책 ID로 입력합니다.

  9. 원본 지역의 구성을 사용하여 새 방화벽 정책을 만들고 새 대상 지역에서 도입된 변경 내용(IP 주소 범위, 공용 IP, 규칙 컬렉션)을 반영합니다.

  10. 프리미엄 SKU를 사용 중이고 TLS 검사를 사용하도록 설정하려면 새로 만든 방화벽 정책을 업데이트하고 여기의 지침에 따라 TLS 검사를 사용하도록 설정합니다.

  11. 대상 지역에 필요한 변경 내용을 반영하기 위해 아래 항목의 구성을 검토하고 업데이트합니다.

    • IP 그룹. 원본과 다른 대상 지역의 IP 주소를 포함하려면 IP 그룹을 검토해야 합니다. 그룹에 포함된 IP 주소를 수정해야 합니다.
    • 영역. 대상 지역의 AZ(가용성 영역)를 구성합니다.
    • 강제 터널링. 가상 네트워크를 재배치했고 Azure Firewall을 재배치하기 전에 방화벽 관리 서브넷 이 있는지 확인합니다. Azure Firewall이 UDR(사용자 정의 경로)에서 트래픽을 리디렉션해야 하는 NVA(네트워크 가상 어플라이언스)의 대상 지역에서 IP 주소를 업데이트합니다.
    • DNS. 대상 지역을 반영하도록 사용자 지정 DNS 서버에 대한 IP 주소를 검토합니다. DNS 프록시 기능이 사용하도록 설정된 경우 가상 네트워크 DNS 서버 설정을 구성하고 Azure Firewall의 개인 IP 주소를 사용자 지정 DNS 서버로 설정해야 합니다.
    • 개인 IP 범위(SNAT). - SNAT에 대해 사용자 지정 범위가 정의된 경우 대상 지역 주소 공간을 포함하도록 검토하고 최종적으로 조정하는 것이 좋습니다.
    • 태그. - 새로운 방화벽 위치를 반영하거나 참조하는 모든 태그를 확인하고 결국 업데이트합니다.
    • 진단 설정. 대상 지역에서 Azure Firewall을 다시 만들 때는 진단 설정을 검토하고 대상 지역(Log Analytics 작업 영역, 스토리지 계정, Event Hub 또는 타사 파트너 솔루션)을 반영하도록 구성해야 합니다.

  12. template.json 파일에서 location 속성을 대상 지역으로 편집합니다(다음 예에서는 대상 지역을 centralus로 설정합니다).

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

대상 지역의 위치 코드를 찾으려면 Azure의 데이터 보존을 참조하세요.

  1. template.json 파일을 저장합니다.

재배포

템플릿을 배포하여 대상 지역에 새 Azure Firewall을 만듭니다.

  1. 다음 속성 값을 입력하거나 선택합니다.

    • 구독: Azure 구독을 선택합니다.

    • 리소스 그룹: 새로 만들기를 클릭하고 리소스 그룹에 이름을 지정합니다.

    • 위치: Azure 위치를 선택합니다.

  2. Azure Firewall은 이제 대상 지역에서 필요한 변경 내용을 반영하기 위해 채택된 구성으로 배포되었습니다.

  3. 구성과 기능을 확인합니다.