Realocar o Firewall do Azure para outra região

Este artigo mostra como realocar um Firewall do Azure que protege uma Rede Virtual do Azure.

Pré-requisitos

• É altamente recomendável que você use Premium SKU. Se você estiver usando a SKU Padrão, considere migrar de um Firewall do Azure de SKU Padrão existente para uma SKU Premium antes de ser realocado.

• As seguintes informações devem ser coletadas para planejar e executar corretamente uma realocação do Firewall do Azure:

  • Modelo de implantação. Regras clássicas de firewall ou política de firewall.
  • Nome da política de firewall. (Se O modelo de implantação da política de firewall é usado).
  • Configuração de diagnóstico no nível da instância de firewall. (Se o espaço de trabalho do Log Analytics for usado).
  • Configuração de inspeção TLS (Transport Layer Security).: (Se o Cofre da Chave do Azure, o Certificado e a Identidade Gerenciada forem usados.)
  • Controle de IP público. Avalie se qualquer identidade externa que dependa do IP público do Firewall do Azure permanece fixa e confiável.

• As camadas Standard e Premium do Firewall do Azure têm as seguintes dependências que talvez seja necessário implantar na região de destino:

  • Rede Virtual do Azure
  • (Se utilizado) Espaço de trabalho do Log Analytics

• Se você estiver usando o recurso Inspeção TLS da camada Premium do Firewall do Azure, as seguintes dependências também precisarão ser implantadas na região de destino:

  • Azure Key Vault
  • Azure Managed Identity

Inatividade

Para entender os possíveis períodos de inatividade envolvidos, consulte Cloud Adoption Framework for Azure: Select a relocation method.

Preparação

Para se preparar para a realocação, você precisa primeiro exportar e modificar o modelo da região de origem. Para exibir um modelo ARM de exemplo para o Firewall do Azure, consulte revisar o modelo.

Exportar modelo

portal

1. Inicie sessão no portal do Azure.

2. Selecione Todos os recursos e, em seguida, selecione o recurso do Firewall do Azure.

3. Na página Firewall do Azure, selecione Exportar modelo em Automação no menu à esquerda.

4. Escolha Download na página Exportar modelo .

5. Localize o arquivo .zip que você baixou do portal e descompacte esse arquivo para uma pasta de sua escolha.

   Esse arquivo zip contém os arquivos .json que incluem o modelo e os scripts para implantar o modelo.

PowerShell

1. Entre na sua assinatura do Azure com o Connect-AzAccount comando e siga as instruções na tela:

Connect-AzAccount

2. Se sua identidade estiver associada a mais de uma assinatura, defina sua assinatura ativa como assinatura do recurso do Firewall do Azure que você deseja mover.

$context = Get-AzSubscription -SubscriptionId <subscription-id>
Set-AzContext $context

3. Exporte o modelo do seu recurso de Firewall do Azure de origem executando os seguintes comandos:

$resource = Get-AzResource `
  -ResourceGroupName <resource-group-name> `
  -ResourceName <resource-name> `
  -ResourceType <resource-type>

Export-AzResourceGroup `
  -ResourceGroupName <resource-group-name> `
  -Resource $resource.ResourceId

4. Localize o template.json no diretório atual.

Modificar modelo

Nesta seção, você aprenderá a modificar o modelo gerado na seção anterior.

Se você estiver executando regras de firewall clássicas sem a política de firewall, migre para a política de firewall antes de prosseguir com as etapas nesta seção. Para saber como migrar de regras de firewall clássicas para a política de Firewall, consulte Migrar a configuração do Firewall do Azure para a política do Firewall do Azure usando o PowerShell.

Portal do Azure

1. Inicie sessão no portal do Azure.

2. Se você estiver usando o Premium SKU com a Inspeção TLS habilitada,

   1. Realoque o cofre de chaves usado para inspeção TLS na nova região de destino. Em seguida, siga os procedimentos para mover certificados ou gerar novos certificados para inspeção TLS para o novo cofre de chaves na região de destino.
   2. Realoque a identidade gerenciada para a nova região de destino. Reatribua as funções correspondentes para o cofre de chaves na região de destino e na assinatura.

3. No portal do Azure, selecione Criar um recurso.

4. Em Pesquisar no Marketplace, digite template deploymente pressione Enter.

5. Selecione Implantação de modelo e selecione Criar.

6. Selecione Crie o seu próprio modelo no editor.

7. Selecione Carregar arquivo e siga as instruções para carregar o template.json arquivo que você baixou na seção anterior

8. template.json No ficheiro, substitua:

   • firewallName com o valor padrão do seu nome do Firewall do Azure.
   • azureFirewallPublicIpId com o ID do seu endereço IP público na região de destino.
   • virtualNetworkName com o nome da rede virtual na região de destino.
   • firewallPolicy.id com o ID da sua apólice.

9. Crie uma nova política de firewall usando a configuração da região de origem e reflita as alterações introduzidas pela nova região de destino (Intervalos de Endereços IP, IP Público, Coleções de Regras).

10. Se você estiver usando o Premium SKU e quiser habilitar a Inspeção TLS, atualize a política de firewall recém-criada e habilite a inspeção TLS seguindo as instruções aqui.

11. Revise e atualize a configuração dos tópicos abaixo para refletir as alterações necessárias para a região de destino.

    • Grupos IP. Para incluir endereços IP da região de destino, se diferentes da origem, os Grupos IP devem ser revisados. Os endereços IP incluídos nos grupos devem ser modificados.
    • Zonas. Configure as zonas de disponibilidade (AZ) na região de destino.
    • Tunelamento forçado.Verifique se você realocou a rede virtual e se a Sub-rede de Gerenciamento do firewall está presente antes que o Firewall do Azure seja realocado. Atualize o Endereço IP na região de destino do Network Virtual Appliance (NVA) para o qual o Firewall do Azure deve redirecionar o tráfego, na UDR (Rota Definida pelo Usuário).
    • DNS. Revise os endereços IP de seus servidores DNS personalizados para refletir sua região de destino. Se o recurso Proxy DNS estiver habilitado, certifique-se de configurar as configurações do servidor DNS da rede virtual e definir o endereço IP privado do Firewall do Azure como um servidor DNS personalizado.
    • Intervalos de IP privados (SNAT). - Se intervalos personalizados forem definidos para SNAT, é recomendável que você revise e, eventualmente, ajuste para incluir o espaço de endereço da região de destino.
    • Etiquetas. - Verifique e, eventualmente, atualize qualquer tag que possa refletir ou se referir ao novo local do firewall.
    • Configurações de diagnóstico. Ao recriar o Firewall do Azure na região de destino, certifique-se de revisar a Configuração de Diagnóstico e configurá-la para refletir a região de destino (espaço de trabalho do Log Analytics, conta de armazenamento, Hub de Eventos ou solução de parceiro de terceiros).

12. Edite a location propriedade no template.json arquivo para a região de destino (O exemplo a seguir define a região de destino como centralus.):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Para localizar o código de localização da sua região de destino, consulte Residência de dados no Azure.

1. Guarde o ficheiro template.json.

PowerShell

1. Inicie sessão no portal do Azure.

2. Se você estiver usando o Premium SKU com a Inspeção TLS habilitada,

   1. Realoque o cofre de chaves usado para inspeção TLS na nova região de destino e siga os procedimentos para mover certificados ou gerar novos certificados para inspeção TLS no novo cofre de chaves na região de destino.
   2. Realoque a identidade gerenciada para a nova região de destino e reatribua as funções correspondentes para o cofre de chaves na região de destino e na assinatura.

3. template.json No ficheiro, substitua:

   • firewallName com o valor padrão do seu nome do Firewall do Azure.
   • azureFirewallPublicIpId com o ID do seu endereço IP público na região de destino.
   • virtualNetworkName com o nome da rede virtual na região de destino.
   • firewallPolicy.id com o ID da sua apólice.

4. Crie uma nova política de firewall usando a configuração da região de origem e reflita as alterações introduzidas pela nova região de destino (Intervalos de Endereços IP, IP Público, Coleções de Regras).

5. Revise e atualize a configuração dos tópicos abaixo para refletir as alterações necessárias para a região de destino.

   • Grupos IP. Para incluir endereços IP da região de destino, se diferentes da origem, os Grupos IP devem ser revisados. Os endereços IP incluídos nos grupos devem ser modificados.
   • Zonas. Configure as zonas de disponibilidade (AZ) na região de destino.
   • Tunelamento forçado.Verifique se você realocou a rede virtual e se a Sub-rede de Gerenciamento do firewall está presente antes que o Firewall do Azure seja realocado. Atualize o Endereço IP na região de destino do Network Virtual Appliance (NVA) para o qual o Firewall do Azure deve redirecionar o tráfego, na UDR (Rota Definida pelo Usuário).
   • DNS. Revise os endereços IP de seus servidores DNS personalizados para refletir sua região de destino. Se o recurso Proxy DNS estiver habilitado, certifique-se de configurar as configurações do servidor DNS da rede virtual e definir o endereço IP privado do Firewall do Azure como um servidor DNS personalizado.
   • Intervalos de IP privados (SNAT). - Se intervalos personalizados forem definidos para SNAT, é recomendável que você revise e, eventualmente, ajuste para incluir o espaço de endereço da região de destino.
   • Etiquetas. - Verifique e, eventualmente, atualize qualquer tag que possa refletir ou se referir ao novo local do firewall.
   • Configurações de diagnóstico. Ao recriar o Firewall do Azure na região de destino, certifique-se de revisar a Configuração de Diagnóstico e configurá-la para refletir a região de destino (espaço de trabalho do Log Analytics, conta de armazenamento, Hub de Eventos ou solução de parceiro de terceiros).

6. Edite a location propriedade no template.json arquivo para a região de destino (O exemplo a seguir define a região de destino como centralus.):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Para localizar o código de localização da sua região de destino, consulte Residência de dados no Azure.

Voltar a implementar

Implante o modelo para criar um novo Firewall do Azure na região de destino.

Portal do Azure

1. Introduza ou selecione os valores das propriedades:

   • Subscrição: selecione uma subscrição do Azure.

   • Grupo de recursos: selecione Criar novo e dê um nome ao grupo de recursos.

   • Local: selecione um local do Azure.

2. O Firewall do Azure agora é implantado com a configuração adotada para refletir as alterações necessárias na região de destino.

3. Verifique a configuração e a funcionalidade.

PowerShell

1. Obtenha a ID da assinatura onde deseja implantar o IP público de destino executando o seguinte comando:

Get-AzSubscription

2. Execute os seguintes comandos para implantar seu modelo:

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. eastus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"

1. The Azure Firewall is now deployed with the adopted configuration to reflect the needed changes in the target region. 
1. Verify configuration and functionality.

Conteúdos relacionados

• Mover recursos para um novo grupo de recursos ou subscrição
• Mover VMs do Azure para outra região