Przenoszenie usługi Azure Firewall do innego regionu
W tym artykule pokazano, jak przenieść usługę Azure Firewall, która chroni sieć wirtualną platformy Azure.
Wymagania wstępne
Zdecydowanie zalecamy używanie jednostki SKU w warstwie Premium. Jeśli korzystasz z jednostki SKU w warstwie Standardowa, przed przeniesieniem rozważ migrację z istniejącej jednostki SKU Usługi Azure Firewall w warstwie Standardowa do jednostki SKU w warstwie Premium.
Aby prawidłowo zaplanować i wykonać relokację usługi Azure Firewall, należy zebrać następujące informacje:
- Model wdrażania. Klasyczne reguły zapory lub zasady zapory.
- Nazwa zasad zapory. (Jeśli Używany jest model wdrażania zasad zapory).
- Ustawienie diagnostyczne na poziomie wystąpienia zapory. (Jeśli jest używany obszar roboczy usługi Log Analytics).
- Konfiguracja inspekcji protokołu TLS (Transport Layer Security): (Jeśli jest używana usługa Azure Key Vault, certyfikat i tożsamość zarządzana).
- Kontrola publicznego adresu IP. Oceń, że każda tożsamość zewnętrzna uzależniona od publicznego adresu IP usługi Azure Firewall pozostaje stała i zaufana.
Warstwy Standardowa i Premium usługi Azure Firewall mają następujące zależności, które mogą być konieczne do wdrożenia w regionie docelowym:
- Azure Virtual Network
- (Jeśli jest używany) Obszar roboczy usługi Log Analytics
Jeśli używasz funkcji inspekcji protokołu TLS w warstwie Premium usługi Azure Firewall, w regionie docelowym należy również wdrożyć następujące zależności:
Przestój
Aby zrozumieć możliwe przestoje, zobacz Cloud Adoption Framework for Azure: Select a relocation method (Przewodnik Cloud Adoption Framework dla platformy Azure: wybieranie metody relokacji).
Przygotowywanie
Aby przygotować się do relokacji, należy najpierw wyeksportować i zmodyfikować szablon z regionu źródłowego. Aby wyświetlić przykładowy szablon usługi ARM dla usługi Azure Firewall, zapoznaj się z szablonem.
Eksportowanie szablonu
Zaloguj się w witrynie Azure Portal.
Wybierz pozycję Wszystkie zasoby , a następnie wybierz zasób usługi Azure Firewall.
Na stronie Azure Firewall wybierz pozycję Eksportuj szablon w obszarze Automatyzacja w menu po lewej stronie.
Wybierz pozycję Pobierz na stronie Eksportuj szablon .
Znajdź plik .zip pobrany z portalu i rozpakuj ten plik do wybranego folderu.
Ten plik zip zawiera pliki .json zawierające szablon i skrypty do wdrożenia szablonu.
Modyfikowanie szablonu
W tej sekcji dowiesz się, jak zmodyfikować szablon wygenerowany w poprzedniej sekcji.
Jeśli używasz klasycznych reguł zapory bez zasad zapory, przeprowadź migrację do zasad zapory przed wykonaniem kroków opisanych w tej sekcji. Aby dowiedzieć się, jak przeprowadzić migrację z klasycznych reguł zapory do zasad zapory, zobacz Migrowanie konfiguracji usługi Azure Firewall do zasad usługi Azure Firewall przy użyciu programu PowerShell.
Zaloguj się w witrynie Azure Portal.
Jeśli używasz jednostki SKU Premium z włączoną inspekcją protokołu TLS,
- Przenieś magazyn kluczy używany do inspekcji protokołu TLS w nowym regionie docelowym. Następnie postępuj zgodnie z procedurami przenoszenia certyfikatów lub generowania nowych certyfikatów na potrzeby inspekcji protokołu TLS do nowego magazynu kluczy w regionie docelowym.
- Przenieś tożsamość zarządzaną do nowego regionu docelowego. Ponownie przypisz odpowiednie role dla magazynu kluczy w regionie docelowym i subskrypcji.
W witrynie Azure Portal wybierz polecenie Utwórz zasób.
W polu Wyszukaj w witrynie Marketplace wpisz
template deployment
ciąg , a następnie naciśnij Enter.Wybierz pozycję Wdrożenie szablonu i wybierz pozycję Utwórz.
Wybierz pozycję Utwórz własny szablon w edytorze.
Wybierz pozycję Załaduj plik, a następnie postępuj zgodnie z instrukcjami, aby załadować
template.json
plik pobrany w poprzedniej sekcjiW pliku zastąp
template.json
:firewallName
z wartością domyślną nazwy usługi Azure Firewall.azureFirewallPublicIpId
z identyfikatorem publicznego adresu IP w regionie docelowym.virtualNetworkName
z nazwą sieci wirtualnej w regionie docelowym.firewallPolicy.id
z identyfikatorem zasad.
Utwórz nowe zasady zapory przy użyciu konfiguracji regionu źródłowego i odzwierciedlić zmiany wprowadzone przez nowy region docelowy (zakresy adresów IP, publiczny adres IP, kolekcje reguł).
Jeśli używasz jednostki SKU w warstwie Premium i chcesz włączyć inspekcję protokołu TLS, zaktualizuj nowo utworzone zasady zapory i włącz inspekcję protokołu TLS, postępując zgodnie z instrukcjami podanymi tutaj.
Przejrzyj i zaktualizuj konfigurację poniższych tematów, aby odzwierciedlić zmiany wymagane dla regionu docelowego.
- Grupy adresów IP. Aby uwzględnić adresy IP z regionu docelowego, jeśli różni się od źródła, należy przejrzeć grupy adresów IP. Adresy IP zawarte w grupach muszą zostać zmodyfikowane.
- Stref. Skonfiguruj strefy dostępności (AZ) w regionie docelowym.
- Wymuszone tunelowanie.Upewnij się, że przeniesiono sieć wirtualną i że podsieć zarządzania zaporą jest obecna przed przeniesieniem usługi Azure Firewall. Zaktualizuj adres IP w regionie docelowym wirtualnego urządzenia sieciowego (WUS), do którego usługa Azure Firewall powinna przekierowywać ruch w trasie zdefiniowanej przez użytkownika (UDR).
- DNS. Przejrzyj adresy IP niestandardowych serwerów DNS, aby odzwierciedlić region docelowy. Jeśli funkcja serwera proxy DNS jest włączona, pamiętaj, aby skonfigurować ustawienia serwera DNS sieci wirtualnej i ustawić prywatny adres IP usługi Azure Firewall jako niestandardowy serwer DNS.
- Zakresy prywatnych adresów IP (SNAT). — Jeśli niestandardowe zakresy są zdefiniowane dla protokołu SNAT, zaleca się przejrzenie i ostatecznie dostosowanie w celu uwzględnienia przestrzeni adresowej regionu docelowego.
- Tagi. — Sprawdź i ostatecznie zaktualizuj dowolny tag, który może odzwierciedlać lub odwoływać się do nowej lokalizacji zapory.
- Ustawienia diagnostyczne. Podczas ponownego tworzenia usługi Azure Firewall w regionie docelowym zapoznaj się z ustawieniem diagnostycznym i skonfiguruj go tak, aby odzwierciedlał region docelowy (obszar roboczy usługi Log Analytics, konto magazynu, centrum zdarzeń lub rozwiązanie partnera innej firmy).
location
Edytuj właściwość w pliku wtemplate.json
regionie docelowym (poniższy przykład ustawia region docelowy nacentralus
wartość .):
"resources": [
{
"type": "Microsoft.Network/azureFirewalls",
"apiVersion": "2023-09-01",
"name": "[parameters('azureFirewalls_fw_name')]",
"location": "centralus",}]
Aby znaleźć kod lokalizacji dla regionu docelowego, zobacz Miejsce przechowywania danych na platformie Azure.
- Zapisz plik
template.json
.
Wdróż ponownie
Wdróż szablon, aby utworzyć nową usługę Azure Firewall w regionie docelowym.
Wprowadź lub wybierz wartości właściwości:
Subskrypcja: wybierz subskrypcję platformy Azure.
Grupa zasobów: wybierz pozycję Utwórz nową i nadaj nazwę grupie zasobów.
Lokalizacja: wybierz lokalizację platformy Azure.
Usługa Azure Firewall jest teraz wdrażana z przyjętą konfiguracją, aby odzwierciedlić wymagane zmiany w regionie docelowym.
Zweryfikuj konfigurację i funkcjonalność.