Перемещение Брандмауэр Azure в другой регион

В этой статье показано, как переместить Брандмауэр Azure, которая защищает виртуальная сеть Azure.

Необходимые компоненты

• Настоятельно рекомендуется использовать номер SKU уровня "Премиум". Если вы используете номер SKU уровня "Стандартный", попробуйте перейти с существующего номера SKU уровня "Стандартный" Брандмауэр Azure на номер SKU уровня "Премиум" перед перемещением.

• Для правильно Брандмауэр Azure го планирования и выполнения перемещения необходимо собрать следующие сведения:

  • Модель развертывания. Классические правила брандмауэра или политика брандмауэра.
  • Имя политики брандмауэра. (If Используется модель развертывания политики брандмауэра).
  • Параметр диагностики на уровне экземпляра брандмауэра. (Если используется рабочая область Log Analytics).
  • Конфигурация проверки TLS (транспортная безопасность). (Если используется Хранилище ключей Azure, сертификат и управляемое удостоверение.)
  • Элемент управления общедоступным IP-адресом. Оцените, что любое внешнее удостоверение, использующее Брандмауэр Azure общедоступный IP-адрес, остается фиксированным и доверенным.

• Брандмауэр Azure уровня "Стандартный" и "Премиум" имеют следующие зависимости, которые могут потребоваться развернуть в целевом регионе:

  • Виртуальная сеть Azure
  • (Если используется) Рабочая область Log Analytics

• Если вы используете функцию проверки TLS уровня Брандмауэр Azure "Премиум", необходимо также развернуть следующие зависимости в целевом регионе:

  • Azure Key Vault
  • Управляемое удостоверение Azure

Простой

Сведения о возможных простоях см. в статье Cloud Adoption Framework для Azure: выбор метода перемещений.

Подготовить

Чтобы подготовиться к перемещению, необходимо сначала экспортировать и изменить шаблон из исходного региона. Чтобы просмотреть пример шаблона ARM для Брандмауэр Azure, ознакомьтесь с шаблоном.

Экспорт шаблона

портал

1. Войдите на портал Azure.

2. Выберите все ресурсы и выберите свой Брандмауэр Azure ресурс.

3. На странице Брандмауэр Azure выберите "Экспорт шаблона" в разделе "Автоматизация" в меню слева.

4. Нажмите кнопку Скачать на странице Экспорт шаблона.

5. Найдите скачанный c портала ZIP-файл и распакуйте его в любую выбранную папку.

   В ZIP-файле содержатся файлы JSON, включающие шаблон и скрипты для развертывания шаблона.

PowerShell

1. Войдите в подписку Azure с помощью Connect-AzAccount команды и следуйте инструкциям на экране:

Connect-AzAccount

2. Если удостоверение связано с несколькими подписками, установите активную подписку на подписку ресурса Брандмауэр Azure, который требуется переместить.

$context = Get-AzSubscription -SubscriptionId <subscription-id>
Set-AzContext $context

3. Экспортируйте шаблон исходного ресурса Брандмауэр Azure, выполнив следующие команды:

$resource = Get-AzResource `
  -ResourceGroupName <resource-group-name> `
  -ResourceName <resource-name> `
  -ResourceType <resource-type>

Export-AzResourceGroup `
  -ResourceGroupName <resource-group-name> `
  -Resource $resource.ResourceId

4. Найдите текущий template.json каталог.

Изменение шаблона

В этом разделе описано, как изменить шаблон, созданный в предыдущем разделе.

Если вы используете классические правила брандмауэра без политики брандмауэра, перейдите к политике брандмауэра, прежде чем продолжить действия, описанные в этом разделе. Сведения о миграции из классических правил брандмауэра в политику брандмауэра см. в статье "Миграция Брандмауэр Azure конфигурации в Брандмауэр Azure политику с помощью PowerShell".

Портал Azure

1. Войдите на портал Azure.

2. Если вы используете номер SKU уровня "Премиум" с включенной проверкой TLS,

   1. Переместите хранилище ключей, используемое для проверки TLS в новом целевом регионе. Затем следуйте инструкциям по перемещению сертификатов или созданию новых сертификатов для проверки TLS в новом хранилище ключей в целевом регионе.
   2. Переместите управляемое удостоверение в новый целевой регион. Переназначьте соответствующие роли для хранилища ключей в целевом регионе и подписке.

3. На портале Azure выберите Создать ресурс.

4. В поле Поиска Marketplace введите template deploymentи нажмите клавишу ВВОД.

5. Выберите развертывание шаблона и нажмите кнопку "Создать".

6. Выберите Создать собственный шаблон в редакторе.

7. Выберите "Загрузить файл" и следуйте инструкциям по загрузке template.json файла, скачаемого в предыдущем разделе.

8. В файле замените template.json :

   • firewallNameзначением по умолчанию Брандмауэр Azure имени.
   • azureFirewallPublicIpId идентификатор общедоступного IP-адреса в целевом регионе.
   • virtualNetworkName имя виртуальной сети в целевом регионе.
   • firewallPolicy.id с идентификатором политики.

9. Создайте новую политику брандмауэра с помощью конфигурации исходного региона и отражают изменения, внесенные новым целевым регионом (диапазоны IP-адресов, общедоступный IP-адрес, коллекции правил).

10. Если вы используете номер SKU уровня "Премиум" и хотите включить проверку TLS, обновите только что созданную политику брандмауэра и включите проверку TLS, следуя инструкциям ниже.

11. Просмотрите и обновите конфигурацию для приведенных ниже разделов, чтобы отразить изменения, необходимые для целевого региона.

    • Группы IP-адресов. Чтобы включить IP-адреса из целевого региона, если они отличаются от источника, необходимо проверить группы IP-адресов . IP-адреса, включенные в группы, необходимо изменить.
    • Зоны. Настройте зоны доступности (AZ) в целевом регионе.
    • Принудительное туннелирование.Убедитесь, что вы переместили виртуальную сеть и что подсеть управления брандмауэром присутствует перед перемещением Брандмауэр Azure. Обновите IP-адрес в целевом регионе сетевого виртуального устройства (NVA), на который Брандмауэр Azure должен перенаправить трафик в определяемом пользователем маршруте (UDR).
    • DNS. Просмотрите IP-адреса для пользовательских DNS-серверов , чтобы отразить целевой регион. Если включена функция DNS-прокси, обязательно настройте параметры DNS-сервера виртуальной сети и задайте частный IP-адрес Брандмауэр Azure в качестве настраиваемого DNS-сервера.
    • Диапазоны частных IP-адресов (SNAT). — Если пользовательские диапазоны определены для SNAT, рекомендуется просмотреть и в конечном итоге настроить, чтобы включить адресное пространство целевого региона.
    • Теги. — Проверьте и в конечном итоге обновите любой тег, который может отражать или ссылаться на новое расположение брандмауэра.
    • Параметры диагностики. При повторном создании Брандмауэр Azure в целевом регионе обязательно просмотрите параметр диагностики и настройте его для отражения целевого региона (рабочая область Log Analytics, учетная запись хранения, концентратор событий или 3-стороннее партнерское решение).

12. Измените location свойство в файле в template.json целевой регион (следующий пример задает целевой регион centralusзначение .):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Чтобы найти код расположения для целевого региона, см. сведения о расположении данных в Azure.

1. Сохраните файл template.json.

PowerShell

1. Войдите на портал Azure.

2. Если вы используете номер SKU уровня "Премиум" с включенной проверкой TLS,

   1. Переместите хранилище ключей, используемое для проверки TLS в новый целевой регион, и следуйте инструкциям по перемещению сертификатов или созданию новых сертификатов для проверки TLS в новом хранилище ключей в целевом регионе.
   2. Переместите управляемое удостоверение в новый целевой регион и переназначьте соответствующие роли для хранилища ключей в целевом регионе и подписке.

3. В файле замените template.json :

   • firewallNameзначением по умолчанию Брандмауэр Azure имени.
   • azureFirewallPublicIpId идентификатор общедоступного IP-адреса в целевом регионе.
   • virtualNetworkName имя виртуальной сети в целевом регионе.
   • firewallPolicy.id с идентификатором политики.

4. Создайте новую политику брандмауэра с помощью конфигурации исходного региона и отражают изменения, внесенные новым целевым регионом (диапазоны IP-адресов, общедоступный IP-адрес, коллекции правил).

5. Просмотрите и обновите конфигурацию для приведенных ниже разделов, чтобы отразить изменения, необходимые для целевого региона.

   • Группы IP-адресов. Чтобы включить IP-адреса из целевого региона, если они отличаются от источника, необходимо проверить группы IP-адресов . IP-адреса, включенные в группы, необходимо изменить.
   • Зоны. Настройте зоны доступности (AZ) в целевом регионе.
   • Принудительное туннелирование.Убедитесь, что вы переместили виртуальную сеть и что подсеть управления брандмауэром присутствует перед перемещением Брандмауэр Azure. Обновите IP-адрес в целевом регионе сетевого виртуального устройства (NVA), на который Брандмауэр Azure должен перенаправить трафик в определяемом пользователем маршруте (UDR).
   • DNS. Просмотрите IP-адреса для пользовательских DNS-серверов , чтобы отразить целевой регион. Если включена функция DNS-прокси, обязательно настройте параметры DNS-сервера виртуальной сети и задайте частный IP-адрес Брандмауэр Azure в качестве настраиваемого DNS-сервера.
   • Диапазоны частных IP-адресов (SNAT). — Если пользовательские диапазоны определены для SNAT, рекомендуется просмотреть и в конечном итоге настроить, чтобы включить адресное пространство целевого региона.
   • Теги. — Проверьте и в конечном итоге обновите любой тег, который может отражать или ссылаться на новое расположение брандмауэра.
   • Параметры диагностики. При повторном создании Брандмауэр Azure в целевом регионе обязательно просмотрите параметр диагностики и настройте его для отражения целевого региона (рабочая область Log Analytics, учетная запись хранения, концентратор событий или 3-стороннее партнерское решение).

6. Измените location свойство в файле в template.json целевой регион (следующий пример задает целевой регион centralusзначение .):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Чтобы найти код расположения для целевого региона, см. сведения о расположении данных в Azure.

Повторное развертывание

Разверните шаблон, чтобы создать новую Брандмауэр Azure в целевом регионе.

Портал Azure

1. Введите или выберите значения свойств:

   • Подписка— выберите подписку Azure.

   • Группа ресурсов: щелкните Создать и укажите имя группы ресурсов.

   • Расположение. Выберите расположение Azure.

2. Теперь Брандмауэр Azure развертывается с принятой конфигурацией, чтобы отразить необходимые изменения в целевом регионе.

3. Проверьте конфигурацию и функциональные возможности.

PowerShell

1. Получите идентификатор подписки, в которой требуется развернуть целевой общедоступный IP-адрес, выполнив следующую команду:

Get-AzSubscription

2. Выполните следующие команды, чтобы развернуть шаблон:

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. eastus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"

1. The Azure Firewall is now deployed with the adopted configuration to reflect the needed changes in the target region. 
1. Verify configuration and functionality.

Связанный контент

• Перемещение ресурсов в новую группу ресурсов или подписку
• Перенос виртуальных машин Azure в другой регион