Azure Firewall verplaatsen naar een andere regio

In dit artikel leest u hoe u een Azure Firewall verplaatst die een virtueel Azure-netwerk beveiligt.

Vereisten

• We raden u ten zeerste aan premium-SKU te gebruiken. Als u een Standard-SKU gebruikt, kunt u overwegen om te migreren van een bestaande Standard SKU Azure Firewall naar Premium SKU voordat u overgaat naar een nieuwe locatie.

• De volgende informatie moet worden verzameld om een Azure Firewall-herlocatie goed te plannen en uit te voeren:

  • Implementatiemodel. Klassieke firewallregels of firewallbeleid.
  • Naam van firewallbeleid. (Als Het implementatiemodel voor firewallbeleid wordt gebruikt).
  • Diagnostische instelling op het niveau van het firewallexemplaren. (Als Log Analytics-werkruimte wordt gebruikt).
  • TLS-inspectieconfiguratie (Transport Layer Security): (Als Azure Key Vault, Certificaat en Beheerde identiteit worden gebruikt.)
  • Openbaar IP-besturingselement. Evalueer of een externe identiteit die afhankelijk is van openbare IP-adressen van Azure Firewall, vast en vertrouwd blijft.

• Azure Firewall Standard- en Premium-lagen hebben de volgende afhankelijkheden die u mogelijk moet implementeren in de doelregio:

  • Azure Virtual Network
  • (Indien gebruikt) Log Analytics-werkruimte

• Als u de TLS-inspectiefunctie van de Azure Firewall Premium-laag gebruikt, moeten de volgende afhankelijkheden ook worden geïmplementeerd in de doelregio:

  • Azure Key Vault
  • Azure Managed Identity

Uitvaltijd

Zie Cloud Adoption Framework voor Azure om inzicht te hebben in de mogelijke downtime: Selecteer een herlocatiemethode.

Voorbereiden

Als u zich wilt voorbereiden op herlocatie, moet u eerst de sjabloon exporteren en wijzigen vanuit de bronregio. Als u een voorbeeld van een ARM-sjabloon voor Azure Firewall wilt bekijken, raadpleegt u de sjabloon.

Sjabloon exporteren

portal

1. Meld u aan bij het Azure-portaal.

2. Selecteer Alle resources en selecteer vervolgens uw Azure Firewall-resource.

3. Selecteer op de pagina Azure Firewall de optie Sjabloon exporteren onder Automation in het linkermenu.

4. Kies Downloaden op de pagina Sjabloon exporteren.

5. Zoek het .zip bestand dat u hebt gedownload uit de portal en pak dat bestand uit naar een map van uw keuze.

   Dit zip-bestand bevat de .json bestanden die de sjabloon en scripts bevatten om de sjabloon te implementeren.

Powershell

1. Meld u aan bij uw Azure-abonnement met de Connect-AzAccount opdracht en volg de aanwijzingen op het scherm:

Connect-AzAccount

2. Als uw identiteit is gekoppeld aan meer dan één abonnement, stelt u uw actieve abonnement in op het abonnement van de Azure Firewall-resource die u wilt verplaatsen.

$context = Get-AzSubscription -SubscriptionId <subscription-id>
Set-AzContext $context

3. Exporteer de sjabloon van uw Azure Firewall-bronresource door de volgende opdrachten uit te voeren:

$resource = Get-AzResource `
  -ResourceGroupName <resource-group-name> `
  -ResourceName <resource-name> `
  -ResourceType <resource-type>

Export-AzResourceGroup `
  -ResourceGroupName <resource-group-name> `
  -Resource $resource.ResourceId

4. Zoek de template.json map in uw huidige map.

Sjabloon wijzigen

In deze sectie leert u hoe u de sjabloon wijzigt die u in de vorige sectie hebt gegenereerd.

Als u klassieke firewallregels zonder firewallbeleid uitvoert, migreert u naar firewallbeleid voordat u doorgaat met de stappen in deze sectie. Zie Azure Firewall-configuratie migreren naar Azure Firewall-beleid met behulp van PowerShell voor meer informatie over het migreren van klassieke firewallregels naar firewallbeleid.

Azure-portal

1. Meld u aan bij het Azure-portaal.

2. Als u Premium SKU gebruikt waarvoor TLS-inspectie is ingeschakeld,

   1. Verplaats de sleutelkluis die wordt gebruikt voor TLS-inspectie naar de nieuwe doelregio. Volg vervolgens de procedures voor het verplaatsen van certificaten of het genereren van nieuwe certificaten voor TLS-inspectie naar de nieuwe sleutelkluis in de doelregio.
   2. Verplaats de beheerde identiteit naar de nieuwe doelregio. Wijs de bijbehorende rollen opnieuw toe voor de sleutelkluis in de doelregio en het abonnement.

3. Selecteer in Azure Portal Een resource maken.

4. Typ template deploymentin Marketplace zoeken en druk op Enter.

5. Selecteer Sjabloonimplementatie en selecteer Maken.

6. Selecteer Bouw uw eigen sjabloon in de editor.

7. Selecteer Bestand laden en volg de instructies om het template.json bestand te laden dat u in de vorige sectie hebt gedownload

8. Vervang het volgende in het template.json bestand:

   • firewallName met de standaardwaarde van uw Azure Firewall-naam.
   • azureFirewallPublicIpId met de id van uw openbare IP-adres in de doelregio.
   • virtualNetworkName met de naam van het virtuele netwerk in de doelregio.
   • firewallPolicy.id met uw beleids-id.

9. Maak een nieuw firewallbeleid met behulp van de configuratie van de bronregio en geef wijzigingen weer die zijn geïntroduceerd door de nieuwe doelregio (IP-adresbereiken, openbaar IP, regelverzamelingen).

10. Als u Premium SKU gebruikt en TLS-inspectie wilt inschakelen, werkt u het zojuist gemaakte firewallbeleid bij en schakelt u TLS-inspectie in door de instructies hier te volgen.

11. Bekijk en werk de configuratie voor de onderstaande onderwerpen bij om de wijzigingen weer te geven die vereist zijn voor de doelregio.

    • IP-groepen. Als u IP-adressen uit de doelregio wilt opnemen, indien anders dan de bron, moeten IP-groepen worden gecontroleerd. De IP-adressen die in de groepen zijn opgenomen, moeten worden gewijzigd.
    • Zones. Configureer de beschikbaarheidszones (AZ) in de doelregio.
    • Geforceerde tunneling.Zorg ervoor dat u het virtuele netwerk hebt verplaatst en dat het subnet firewallbeheer aanwezig is voordat de Azure Firewall wordt verplaatst. Werk het IP-adres in de doelregio van het NVA (Network Virtual Appliance) bij waarnaar de Azure Firewall het verkeer moet omleiden in de door de gebruiker gedefinieerde route (UDR).
    • DNS. Controleer IP-adressen voor uw aangepaste aangepaste DNS-servers om uw doelregio weer te geven. Als de functie DNS-proxy is ingeschakeld, moet u de DNS-serverinstellingen van uw virtuele netwerk configureren en het privé-IP-adres van de Azure Firewall instellen als een aangepaste DNS-server.
    • Privé-IP-bereiken (SNAT). - Als aangepaste bereiken zijn gedefinieerd voor SNAT, is het raadzaam dat u de adresruimte van de doelregio controleert en uiteindelijk aanpast.
    • Tags. - Controleer en werk uiteindelijk een tag bij die mogelijk de nieuwe firewalllocatie weergeeft of verwijst.
    • Diagnostische instellingen. Wanneer u de Azure Firewall opnieuw maakt in de doelregio, controleert u de diagnostische instelling en configureert u deze zo dat deze overeenkomt met de doelregio (Log Analytics-werkruimte, opslagaccount, Event Hub of partneroplossing van derden).

12. Bewerk de location eigenschap in het bestand in de doelregio (In het template.json volgende voorbeeld wordt de doelregio ingesteld op centralus.):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Zie Gegevenslocatie in Azure om de locatiecode voor uw doelregio te vinden.

1. Sla het bestand template.json op.

PowerShell

1. Meld u aan bij het Azure-portaal.

2. Als u Premium SKU gebruikt waarvoor TLS-inspectie is ingeschakeld,

   1. Verplaats de sleutelkluis die wordt gebruikt voor TLS-inspectie naar de nieuwe doelregio en volg de procedures voor het verplaatsen van certificaten of het genereren van nieuwe certificaten voor TLS-inspectie in de nieuwe sleutelkluis in de doelregio.
   2. Verplaats de beheerde identiteit naar de nieuwe doelregio en wijs de bijbehorende rollen voor de sleutelkluis in de doelregio en het abonnement opnieuw toe.

3. Vervang het volgende in het template.json bestand:

   • firewallName met de standaardwaarde van uw Azure Firewall-naam.
   • azureFirewallPublicIpId met de id van uw openbare IP-adres in de doelregio.
   • virtualNetworkName met de naam van het virtuele netwerk in de doelregio.
   • firewallPolicy.id met uw beleids-id.

4. Maak een nieuw firewallbeleid met behulp van de configuratie van de bronregio en geef wijzigingen weer die zijn geïntroduceerd door de nieuwe doelregio (IP-adresbereiken, openbaar IP, regelverzamelingen).

5. Bekijk en werk de configuratie voor de onderstaande onderwerpen bij om de wijzigingen weer te geven die vereist zijn voor de doelregio.

   • IP-groepen. Als u IP-adressen uit de doelregio wilt opnemen, indien anders dan de bron, moeten IP-groepen worden gecontroleerd. De IP-adressen die in de groepen zijn opgenomen, moeten worden gewijzigd.
   • Zones. Configureer de beschikbaarheidszones (AZ) in de doelregio.
   • Geforceerde tunneling.Zorg ervoor dat u het virtuele netwerk hebt verplaatst en dat het subnet firewallbeheer aanwezig is voordat de Azure Firewall wordt verplaatst. Werk het IP-adres in de doelregio van het NVA (Network Virtual Appliance) bij waarnaar de Azure Firewall het verkeer moet omleiden in de door de gebruiker gedefinieerde route (UDR).
   • DNS. Controleer IP-adressen voor uw aangepaste aangepaste DNS-servers om uw doelregio weer te geven. Als de functie DNS-proxy is ingeschakeld, moet u de DNS-serverinstellingen van uw virtuele netwerk configureren en het privé-IP-adres van de Azure Firewall instellen als een aangepaste DNS-server.
   • Privé-IP-bereiken (SNAT). - Als aangepaste bereiken zijn gedefinieerd voor SNAT, is het raadzaam dat u de adresruimte van de doelregio controleert en uiteindelijk aanpast.
   • Tags. - Controleer en werk uiteindelijk een tag bij die mogelijk de nieuwe firewalllocatie weergeeft of verwijst.
   • Diagnostische instellingen. Wanneer u de Azure Firewall opnieuw maakt in de doelregio, controleert u de diagnostische instelling en configureert u deze zo dat deze overeenkomt met de doelregio (Log Analytics-werkruimte, opslagaccount, Event Hub of partneroplossing van derden).

6. Bewerk de location eigenschap in het bestand in de doelregio (In het template.json volgende voorbeeld wordt de doelregio ingesteld op centralus.):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Zie Gegevenslocatie in Azure om de locatiecode voor uw doelregio te vinden.

Opnieuw implementeren

Implementeer de sjabloon om een nieuwe Azure Firewall te maken in de doelregio.

Azure-portal

1. Typ of selecteer de volgende waarden:

   • Subscription: selecteer een Azure-abonnement.

   • Resourcegroep: selecteer Nieuwe maken en geef de resourcegroep een naam.

   • Locatie: Selecteer een Azure-locatie.

2. De Azure Firewall wordt nu geïmplementeerd met de aangenomen configuratie om de benodigde wijzigingen in de doelregio weer te geven.

3. Configuratie en functionaliteit controleren.

PowerShell

1. Haal de abonnements-id op waar u het openbare doel-IP-adres wilt implementeren door de volgende opdracht uit te voeren:

Get-AzSubscription

2. Voer de volgende opdrachten uit om uw sjabloon te implementeren:

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. eastus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"

1. The Azure Firewall is now deployed with the adopted configuration to reflect the needed changes in the target region. 
1. Verify configuration and functionality.

Gerelateerde inhoud

• Resources verplaatsen naar een nieuwe resourcegroep of een nieuw abonnement
• Virtuele Azure-machines verplaatsen naar een andere regio