Przenoszenie sieciowej grupy zabezpieczeń platformy Azure do innego regionu

W tym artykule pokazano, jak przenieść sieciową grupę zabezpieczeń do nowego regionu, tworząc kopię źródłowej konfiguracji i reguł zabezpieczeń sieciowej grupy zabezpieczeń do innego regionu.

Wymagania wstępne

• Upewnij się, że sieciowa grupa zabezpieczeń platformy Azure znajduje się w docelowym regionie świadczenia usługi Azure.

• Skojarz nową sieciową grupę zabezpieczeń z zasobami w regionie docelowym.

• Aby wyeksportować konfigurację sieciowej grupy zabezpieczeń i wdrożyć szablon w celu utworzenia sieciowej grupy zabezpieczeń w innym regionie, potrzebna będzie rola Współautor sieci lub nowsza.

• Zidentyfikuj układ sieci źródłowej i wszystkie aktualnie używane zasoby. Ten układ obejmuje moduły równoważenia obciążenia, publiczne adresy IP i sieci wirtualne, ale nie są ograniczone.

• Sprawdź, czy twoja subskrypcja platformy Azure umożliwia tworzenie sieciowych grup zabezpieczeń w regionie docelowym, który jest używany. Skontaktuj się z pomocą techniczną, aby włączyć wymagany limit przydziału.

• Upewnij się, że twoja subskrypcja ma wystarczającą ilość zasobów do obsługi dodawania sieciowych grup zabezpieczeń na potrzeby tego procesu. Zobacz Azure subscription and service limits, quotas, and constraints (Limity, przydziały i ograniczenia usługi i subskrypcji platformy Azure).

Przestój

Aby zrozumieć możliwe przestoje, zobacz Cloud Adoption Framework for Azure: Select a relocation method (Przewodnik Cloud Adoption Framework dla platformy Azure: wybieranie metody relokacji).

Przygotowywanie

W poniższych krokach pokazano, jak przygotować sieciową grupę zabezpieczeń do przeniesienia konfiguracji i reguły zabezpieczeń przy użyciu szablonu usługi Resource Manager oraz przenieść konfigurację i reguły zabezpieczeń sieciowej grupy zabezpieczeń do regionu docelowego przy użyciu portalu.

Eksportowanie i modyfikowanie szablonu

Portal

Aby wyeksportować i zmodyfikować szablon przy użyciu witryny Azure Portal:

1. Zaloguj się w witrynie Azure Portal.

2. Wybierz pozycję Wszystkie zasoby , a następnie wybierz konto magazynu.

3. Wybierz pozycję >Szablon eksportu usługi Automation>.

4. Wybierz pozycję Wdróż w bloku Eksportuj szablon .

5. Wybierz pozycję SZABLON>Edytuj parametry, aby otworzyć plik parameters.json w edytorze online.

6. Aby edytować parametr nazwy sieciowej grupy zabezpieczeń, zmień właściwość value w obszarze parametry:

           {
           "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
           "contentVersion": "1.0.0.0",
           "parameters": {
           "networkSecurityGroups_myVM1_nsg_name": {
              "value": "<target-nsg-name>"
               }
              }
           }
   

7. Zmień źródłową wartość sieciowej grupy zabezpieczeń w edytorze na nazwę wybraną dla docelowej sieciowej grupy zabezpieczeń. Upewnij się, że nazwa została ujęta w cudzysłów.

8. Wybierz pozycję Zapisz w edytorze.

9. Wybierz pozycję SZABLON>Edytuj szablon, aby otworzyć plik template.json w edytorze online.

10. Aby edytować region docelowy, w którym zostanie przeniesiona konfiguracja sieciowej grupy zabezpieczeń i reguły zabezpieczeń, zmień właściwość lokalizacji w obszarze zasobów w edytorze online:

            "resources": [
            {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2019-06-01",
            "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
            "location": "<target-region>",
            "properties": {
                "provisioningState": "Succeeded",
                "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
             }
            }
           ]
    
    

11. Aby uzyskać kody lokalizacji regionów, zobacz Lokalizacje platformy Azure. Kod regionu to nazwa regionu bez spacji Środkowe stany USA = .

12. Możesz również zmienić inne parametry w szablonie, jeśli wybierzesz, i są opcjonalne w zależności od wymagań:

    • Reguły zabezpieczeń — można edytować, które reguły są wdrażane w docelowej sieciowej grupie zabezpieczeń, dodając lub usuwając reguły do sekcji securityRules w pliku template.json :

         "resources": [
          {
          "type": "Microsoft.Network/networkSecurityGroups",
          "apiVersion": "2019-06-01",
          "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
          "location": "<target-region>",
          "properties": {
              "provisioningState": "Succeeded",
              "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
              "securityRules": [
                  {
                      "name": "RDP",
                      "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                      "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                           }
                  },
              ]
          }
      

      Aby ukończyć dodawanie lub usuwanie reguł w docelowej sieciowej grupie zabezpieczeń, należy również edytować niestandardowe typy reguł na końcu pliku template.json w formacie poniższego przykładu:

           {
            "type": "Microsoft.Network/networkSecurityGroups/securityRules",
            "apiVersion": "2019-06-01",
            "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
            "dependsOn": [
                "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
            ],
            "properties": {
                "provisioningState": "Succeeded",
                "protocol": "*",
                "sourcePortRange": "*",
                "destinationPortRange": "80",
                "sourceAddressPrefix": "*",
                "destinationAddressPrefix": "*",
                "access": "Allow",
                "priority": 310,
                "direction": "Inbound",
                "sourcePortRanges": [],
                "destinationPortRanges": [],
                "sourceAddressPrefixes": [],
                "destinationAddressPrefixes": []
            }
      

13. Wybierz pozycję Zapisz w edytorze online.

Program PowerShell

Aby wyeksportować i zmodyfikować szablon przy użyciu programu PowerShell:

1. Zaloguj się do subskrypcji platformy Azure za pomocą polecenia Connect-AzAccount i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie:

   Connect-AzAccount
   

2. Uzyskaj identyfikator zasobu sieciowej grupy zabezpieczeń, którą chcesz przenieść do regionu docelowego, i umieść go w zmiennej przy użyciu polecenia Get-AzNetworkSecurityGroup:

   $sourceNSGID = (Get-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>).Id
   
   

3. Wyeksportuj źródłową sieciową grupę zabezpieczeń do pliku .json do katalogu, w którym wykonasz polecenie Export-AzResourceGroup:

   Export-AzResourceGroup -ResourceGroupName <source-resource-group-name> -Resource $sourceNSGID -IncludeParameterDefaultValue
   

4. Pobrany plik zostanie nazwany po grupie zasobów, z którego został wyeksportowany zasób. Znajdź plik wyeksportowany z polecenia o nazwie <resource-group-name>.json i otwórz go w wybranym edytorze:

   notepad <source-resource-group-name>.json
   

5. Aby edytować parametr nazwy sieciowej grupy zabezpieczeń, zmień właściwość defaultValue źródłowej sieciowej grupy zabezpieczeń na nazwę docelowej sieciowej grupy zabezpieczeń, upewnij się, że nazwa jest w cudzysłowie:

           {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "networkSecurityGroups_myVM1_nsg_name": {
           "defaultValue": "<target-nsg-name>",
           "type": "String"
           }
       }
   
   

6. Aby edytować region docelowy, w którym zostanie przeniesiona konfiguracja sieciowej grupy zabezpieczeń i reguły zabezpieczeń, zmień właściwość lokalizacji w obszarze zasobów:

           "resources": [
           {
           "type": "Microsoft.Network/networkSecurityGroups",
           "apiVersion": "2019-06-01",
           "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
           "location": "<target-region>",
           "properties": {
               "provisioningState": "Succeeded",
               "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78", 
            }
           }
   

7. Aby uzyskać kody lokalizacji regionu, możesz użyć polecenia cmdlet programu Azure PowerShell Get-AzLocation , uruchamiając następujące polecenie:

   
   Get-AzLocation | format-table
   
   

8. Możesz również zmienić inne parametry w <nazwie> grupy zasobów.json jeśli wybierzesz i są opcjonalne w zależności od wymagań:

   • Reguły zabezpieczeń — można edytować, które reguły są wdrażane w docelowej sieciowej grupie zabezpieczeń, dodając lub usuwając reguły do sekcji securityRules w <pliku nazwa-grupy> zasobów.json :

        "resources": [
               {
               "type": "Microsoft.Network/networkSecurityGroups",
               "apiVersion": "2019-06-01",
               "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
               "location": "TARGET REGION",
               "properties": {
                    "provisioningState": "Succeeded",
                    "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
               "securityRules": [
                 {
                     "name": "RDP",
                     "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                     "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                         }
                     ]
         }  
     
     

     Aby ukończyć dodawanie lub usuwanie reguł w docelowej sieciowej grupie zabezpieczeń, należy również edytować niestandardowe typy reguł na końcu <nazwy> grupy zasobów.json pliku w formacie poniżej:

        {
         "type": "Microsoft.Network/networkSecurityGroups/securityRules",
         "apiVersion": "2019-06-01",
         "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
         "dependsOn": [
             "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
         ],
         "properties": {
             "provisioningState": "Succeeded",
             "protocol": "*",
             "sourcePortRange": "*",
             "destinationPortRange": "80",
             "sourceAddressPrefix": "*",
             "destinationAddressPrefix": "*",
             "access": "Allow",
             "priority": 310,
             "direction": "Inbound",
             "sourcePortRanges": [],
             "destinationPortRanges": [],
             "sourceAddressPrefixes": [],
             "destinationAddressPrefixes": []
         }
     

9. <Zapisz plik nazwa-grupy> zasobów.json.

Wdróż ponownie

Portal

1. Wybierz pozycję Podstawowa>subskrypcja, aby wybrać subskrypcję, w której zostanie wdrożona docelowa sieciowa grupa zabezpieczeń.

2. Wybierz pozycję PODSTAWOWA>Grupa zasobów, aby wybrać grupę zasobów, w której zostanie wdrożona docelowa sieciowa grupa zabezpieczeń. Możesz kliknąć pozycję Utwórz nową , aby utworzyć nową grupę zasobów dla docelowej sieciowej grupy zabezpieczeń. Upewnij się, że nazwa nie jest taka sama jak źródłowa grupa zasobów istniejącej sieciowej grupy zabezpieczeń.

3. Wybierz pozycję PODSTAWOWA>Lokalizacja jest ustawiona na lokalizację docelową, w której chcesz wdrożyć sieciową grupę zabezpieczeń.

4. Sprawdź w obszarze USTAWIENIA , czy nazwa jest zgodna z nazwą wprowadzoną w edytorze parametrów powyżej.

5. Zaznacz pole wyboru w obszarze WARUNKI I POSTANOWIENIA.

6. Wybierz przycisk Kup, aby wdrożyć docelową sieciowa grupa zabezpieczeń.

Program PowerShell

1. Utwórz grupę zasobów w regionie docelowym, aby docelowa sieciowa grupa zabezpieczeń została wdrożona przy użyciu polecenia New-AzResourceGroup:

   New-AzResourceGroup -Name <target-resource-group-name> -location <target-region>
   

2. Wdróż edytowany <plik nazwa-grupy> zasobów.json w grupie zasobów utworzonej w poprzednim kroku przy użyciu polecenia New-AzResourceGroupDeployment:

   
   New-AzResourceGroupDeployment -ResourceGroupName <target-resource-group-name> -TemplateFile <source-resource-group-name>.json
   
   

3. Aby sprawdzić, czy zasoby zostały utworzone w regionie docelowym, użyj polecenia Get-AzResourceGroup i Get-AzNetworkSecurityGroup:

   
   Get-AzResourceGroup -Name <target-resource-group-name>
   
   

   
   Get-AzNetworkSecurityGroup -Name <target-nsg-name> -ResourceGroupName <target-resource-group-name>
   
   

Odrzuć

Portal

Jeśli chcesz odrzucić docelową sieciową grupę zabezpieczeń, usuń grupę zasobów zawierającą docelową sieciową grupę zabezpieczeń. W tym celu wybierz grupę zasobów z pulpitu nawigacyjnego w portalu i wybierz pozycję Usuń w górnej części strony przeglądu.

Program PowerShell

Jeśli po wdrożeniu chcesz zacząć od nowa lub odrzucić sieciową grupę zabezpieczeń w obiekcie docelowym, usuń grupę zasobów utworzoną w obiekcie docelowym i przeniesioną sieciową grupę zabezpieczeń zostanie usunięta. Aby usunąć grupę zasobów, użyj polecenia Remove-AzResourceGroup:

Remove-AzResourceGroup -Name <target-resource-group-name>

Czyszczenie

Portal

Aby zatwierdzić zmiany i zakończyć przenoszenie sieciowej grupy zabezpieczeń, usuń źródłową sieciową grupę zabezpieczeń lub grupę zasobów. W tym celu wybierz sieciowa grupa zabezpieczeń lub grupę zasobów z pulpitu nawigacyjnego w portalu i wybierz pozycję Usuń w górnej części każdej strony.

Program PowerShell

Aby zatwierdzić zmiany i zakończyć przenoszenie sieciowej grupy zabezpieczeń, usuń źródłową sieciową grupę zabezpieczeń lub grupę zasobów, użyj polecenia Remove-AzResourceGroup lub Remove-AzNetworkSecurityGroup:

Remove-AzResourceGroup -Name <source-resource-group-name>

Remove-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>

Następne kroki

W tym samouczku przeniesiono sieciową grupę zabezpieczeń platformy Azure z jednego regionu do innego i oczyszczono zasoby źródłowe. Aby dowiedzieć się więcej na temat przenoszenia zasobów między regionami i odzyskiwaniem po awarii na platformie Azure, zobacz:

• Przenoszenie zasobów do nowej grupy zasobów lub subskrypcji
• Przenoszenie maszyn wirtualnych platformy Azure do innego regionu