Udostępnij za pośrednictwem


Przenoszenie usługi Azure Firewall do innego regionu

W tym artykule pokazano, jak przenieść usługę Azure Firewall, która chroni sieć wirtualną platformy Azure.

Wymagania wstępne

  • Zdecydowanie zalecamy używanie jednostki SKU w warstwie Premium. Jeśli korzystasz z jednostki SKU w warstwie Standardowa, przed przeniesieniem rozważ migrację z istniejącej jednostki SKU Usługi Azure Firewall w warstwie Standardowa do jednostki SKU w warstwie Premium.

  • Aby prawidłowo zaplanować i wykonać relokację usługi Azure Firewall, należy zebrać następujące informacje:

    • Model wdrażania. Klasyczne reguły zapory lub zasady zapory.
    • Nazwa zasad zapory. (Jeśli Używany jest model wdrażania zasad zapory).
    • Ustawienie diagnostyczne na poziomie wystąpienia zapory. (Jeśli jest używany obszar roboczy usługi Log Analytics).
    • Konfiguracja inspekcji protokołu TLS (Transport Layer Security): (Jeśli jest używana usługa Azure Key Vault, certyfikat i tożsamość zarządzana).
    • Kontrola publicznego adresu IP. Oceń, że każda tożsamość zewnętrzna uzależniona od publicznego adresu IP usługi Azure Firewall pozostaje stała i zaufana.
  • Warstwy Standardowa i Premium usługi Azure Firewall mają następujące zależności, które mogą być konieczne do wdrożenia w regionie docelowym:

  • Jeśli używasz funkcji inspekcji protokołu TLS w warstwie Premium usługi Azure Firewall, w regionie docelowym należy również wdrożyć następujące zależności:

Przestój

Aby zrozumieć możliwe przestoje, zobacz Cloud Adoption Framework for Azure: Select a relocation method (Przewodnik Cloud Adoption Framework dla platformy Azure: wybieranie metody relokacji).

Przygotowywanie

Aby przygotować się do relokacji, należy najpierw wyeksportować i zmodyfikować szablon z regionu źródłowego. Aby wyświetlić przykładowy szablon usługi ARM dla usługi Azure Firewall, zapoznaj się z szablonem.

Eksportowanie szablonu

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz pozycję Wszystkie zasoby , a następnie wybierz zasób usługi Azure Firewall.

  3. Na stronie Azure Firewall wybierz pozycję Eksportuj szablon w obszarze Automatyzacja w menu po lewej stronie.

  4. Wybierz pozycję Pobierz na stronie Eksportuj szablon .

  5. Znajdź plik .zip pobrany z portalu i rozpakuj ten plik do wybranego folderu.

    Ten plik zip zawiera pliki .json zawierające szablon i skrypty do wdrożenia szablonu.

Modyfikowanie szablonu

W tej sekcji dowiesz się, jak zmodyfikować szablon wygenerowany w poprzedniej sekcji.

Jeśli używasz klasycznych reguł zapory bez zasad zapory, przeprowadź migrację do zasad zapory przed wykonaniem kroków opisanych w tej sekcji. Aby dowiedzieć się, jak przeprowadzić migrację z klasycznych reguł zapory do zasad zapory, zobacz Migrowanie konfiguracji usługi Azure Firewall do zasad usługi Azure Firewall przy użyciu programu PowerShell.

  1. Zaloguj się w witrynie Azure Portal.

  2. Jeśli używasz jednostki SKU Premium z włączoną inspekcją protokołu TLS,

    1. Przenieś magazyn kluczy używany do inspekcji protokołu TLS w nowym regionie docelowym. Następnie postępuj zgodnie z procedurami przenoszenia certyfikatów lub generowania nowych certyfikatów na potrzeby inspekcji protokołu TLS do nowego magazynu kluczy w regionie docelowym.
    2. Przenieś tożsamość zarządzaną do nowego regionu docelowego. Ponownie przypisz odpowiednie role dla magazynu kluczy w regionie docelowym i subskrypcji.
  3. W witrynie Azure Portal wybierz polecenie Utwórz zasób.

  4. W polu Wyszukaj w witrynie Marketplace wpisz template deploymentciąg , a następnie naciśnij Enter.

  5. Wybierz pozycję Wdrożenie szablonu i wybierz pozycję Utwórz.

  6. Wybierz pozycję Utwórz własny szablon w edytorze.

  7. Wybierz pozycję Załaduj plik, a następnie postępuj zgodnie z instrukcjami, aby załadować template.json plik pobrany w poprzedniej sekcji

  8. W pliku zastąp template.json :

    • firewallName z wartością domyślną nazwy usługi Azure Firewall.
    • azureFirewallPublicIpId z identyfikatorem publicznego adresu IP w regionie docelowym.
    • virtualNetworkName z nazwą sieci wirtualnej w regionie docelowym.
    • firewallPolicy.id z identyfikatorem zasad.
  9. Utwórz nowe zasady zapory przy użyciu konfiguracji regionu źródłowego i odzwierciedlić zmiany wprowadzone przez nowy region docelowy (zakresy adresów IP, publiczny adres IP, kolekcje reguł).

  10. Jeśli używasz jednostki SKU w warstwie Premium i chcesz włączyć inspekcję protokołu TLS, zaktualizuj nowo utworzone zasady zapory i włącz inspekcję protokołu TLS, postępując zgodnie z instrukcjami podanymi tutaj.

  11. Przejrzyj i zaktualizuj konfigurację poniższych tematów, aby odzwierciedlić zmiany wymagane dla regionu docelowego.

    • Grupy adresów IP. Aby uwzględnić adresy IP z regionu docelowego, jeśli różni się od źródła, należy przejrzeć grupy adresów IP. Adresy IP zawarte w grupach muszą zostać zmodyfikowane.
    • Stref. Skonfiguruj strefy dostępności (AZ) w regionie docelowym.
    • Wymuszone tunelowanie.Upewnij się, że przeniesiono sieć wirtualną i że podsieć zarządzania zaporą jest obecna przed przeniesieniem usługi Azure Firewall. Zaktualizuj adres IP w regionie docelowym wirtualnego urządzenia sieciowego (WUS), do którego usługa Azure Firewall powinna przekierowywać ruch w trasie zdefiniowanej przez użytkownika (UDR).
    • DNS. Przejrzyj adresy IP niestandardowych serwerów DNS, aby odzwierciedlić region docelowy. Jeśli funkcja serwera proxy DNS jest włączona, pamiętaj, aby skonfigurować ustawienia serwera DNS sieci wirtualnej i ustawić prywatny adres IP usługi Azure Firewall jako niestandardowy serwer DNS.
    • Zakresy prywatnych adresów IP (SNAT). — Jeśli niestandardowe zakresy są zdefiniowane dla protokołu SNAT, zaleca się przejrzenie i ostatecznie dostosowanie w celu uwzględnienia przestrzeni adresowej regionu docelowego.
    • Tagi. — Sprawdź i ostatecznie zaktualizuj dowolny tag, który może odzwierciedlać lub odwoływać się do nowej lokalizacji zapory.
    • Ustawienia diagnostyczne. Podczas ponownego tworzenia usługi Azure Firewall w regionie docelowym zapoznaj się z ustawieniem diagnostycznym i skonfiguruj go tak, aby odzwierciedlał region docelowy (obszar roboczy usługi Log Analytics, konto magazynu, centrum zdarzeń lub rozwiązanie partnera innej firmy).
  12. location Edytuj właściwość w pliku w template.json regionie docelowym (poniższy przykład ustawia region docelowy na centraluswartość .):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Aby znaleźć kod lokalizacji dla regionu docelowego, zobacz Miejsce przechowywania danych na platformie Azure.

  1. Zapisz plik template.json.

Wdróż ponownie

Wdróż szablon, aby utworzyć nową usługę Azure Firewall w regionie docelowym.

  1. Wprowadź lub wybierz wartości właściwości:

    • Subskrypcja: wybierz subskrypcję platformy Azure.

    • Grupa zasobów: wybierz pozycję Utwórz nową i nadaj nazwę grupie zasobów.

    • Lokalizacja: wybierz lokalizację platformy Azure.

  2. Usługa Azure Firewall jest teraz wdrażana z przyjętą konfiguracją, aby odzwierciedlić wymagane zmiany w regionie docelowym.

  3. Zweryfikuj konfigurację i funkcjonalność.