Flytta Azure Firewall till en annan region

Den här artikeln visar hur du flyttar en Azure Firewall som skyddar ett virtuellt Azure-nätverk.

Förutsättningar

• Vi rekommenderar starkt att du använder Premium SKU. Om du använder Standard SKU kan du överväga att migrera från en befintlig Standard SKU Azure Firewall till Premium SKU innan du flyttar.

• Följande information måste samlas in för att planera och köra en Azure Firewall-omlokalisering på rätt sätt:

  • Distributionsmodell. Klassiska brandväggsregler eller brandväggsprincip.
  • Namn på brandväggsprincip. (Om Distributionsmodellen för brandväggsprincipen används).
  • Diagnostikinställning på brandväggsinstansnivå. (Om Log Analytics-arbetsytan används).
  • TLS-inspektionskonfiguration (Transport Layer Security). (Om Azure Key Vault, certifikat och hanterad identitet används.)
  • Offentlig IP-kontroll. Utvärdera att alla externa identiteter som förlitar sig på en offentlig IP-adress i Azure Firewall förblir fasta och betrodda.

• Azure Firewall Standard- och Premium-nivåerna har följande beroenden som du kan behöva distribuera i målregionen:

  • Azure Virtual Network
  • (Om det används) Log Analytics-arbetsyta

• Om du använder TLS-inspektionsfunktionen på Azure Firewall Premium-nivån måste följande beroenden också distribueras i målregionen:

  • Azure Key Vault
  • Hanterad Azure-identitet

Driftstopp

Information om möjliga stilleståndstider finns i Cloud Adoption Framework for Azure: Select a relocation method (Molnimplementeringsramverk för Azure: Välj en omlokaliseringsmetod).

Förbereda

För att förbereda för omlokalisering måste du först exportera och ändra mallen från källregionen. Information om hur du visar en ARM-exempelmall för Azure Firewall finns i granska mallen.

Exportera mall

portal

1. Logga in på Azure-portalen.

2. Välj Alla resurser och välj sedan din Azure Firewall-resurs.

3. På sidan Azure Firewall väljer du Exportera mall under Automation på den vänstra menyn.

4. Välj Ladda ned på sidan Exportera mall .

5. Leta upp den .zip fil som du laddade ned från portalen och packa upp filen till valfri mapp.

   Den här zip-filen innehåller de .json filer som innehåller mallen och skripten för att distribuera mallen.

PowerShell

1. Logga in på din Azure-prenumeration med Connect-AzAccount kommandot och följ anvisningarna på skärmen:

Connect-AzAccount

2. Om din identitet är associerad med mer än en prenumeration ställer du in din aktiva prenumeration på prenumerationen på den Azure Firewall-resurs som du vill flytta.

$context = Get-AzSubscription -SubscriptionId <subscription-id>
Set-AzContext $context

3. Exportera mallen för din Azure Firewall-källresurs genom att köra följande kommandon:

$resource = Get-AzResource `
  -ResourceGroupName <resource-group-name> `
  -ResourceName <resource-name> `
  -ResourceType <resource-type>

Export-AzResourceGroup `
  -ResourceGroupName <resource-group-name> `
  -Resource $resource.ResourceId

4. Leta upp i den template.json aktuella katalogen.

Ändra mall

I det här avsnittet får du lära dig hur du ändrar mallen som du genererade i föregående avsnitt.

Om du kör klassiska brandväggsregler utan brandväggsprincip migrerar du till Brandväggsprincip innan du fortsätter med stegen i det här avsnittet. Information om hur du migrerar från klassiska brandväggsregler till Brandväggsprincip finns i Migrera Azure Firewall-konfiguration till Azure Firewall-princip med hjälp av PowerShell.

Azure-portalen

1. Logga in på Azure-portalen.

2. Om du använder Premium SKU med TLS-inspektion aktiverat,

   1. Flytta nyckelvalvet som används för TLS-inspektion till den nya målregionen. Följ sedan procedurerna för att flytta certifikat eller generera nya certifikat för TLS-inspektion till det nya nyckelvalvet i målregionen.
   2. Flytta hanterad identitet till den nya målregionen. Tilldela om motsvarande roller för nyckelvalvet i målregionen och prenumerationen.

3. I Azure-portalen väljer du Skapa en resurs.

4. I Sök på Marketplace skriver du template deploymentoch trycker sedan på Retur.

5. Välj Malldistribution och välj Skapa.

6. Välj alternativet för att skapa din egen mall i redigeringsprogrammet.

7. Välj Läs in fil och följ sedan anvisningarna för att läsa in template.json filen som du laddade ned i föregående avsnitt

8. template.json I filen ersätter du:

   • firewallName med standardvärdet för ditt Azure Firewall-namn.
   • azureFirewallPublicIpId med ID:t för din offentliga IP-adress i målregionen.
   • virtualNetworkName med namnet på det virtuella nätverket i målregionen.
   • firewallPolicy.id med ditt princip-ID.

9. Skapa en ny brandväggsprincip med hjälp av konfigurationen av källregionen och återspegla ändringar som introduceras av den nya målregionen (IP-adressintervall, offentlig IP- och regelsamlingar).

10. Om du använder Premium SKU och vill aktivera TLS-inspektion uppdaterar du den nyligen skapade brandväggsprincipen och aktiverar TLS-inspektion genom att följa anvisningarna här.

11. Granska och uppdatera konfigurationen för avsnitten nedan för att återspegla de ändringar som krävs för målregionen.

    • IP-grupper. Om du vill inkludera IP-adresser från målregionen, om det skiljer sig från källan, bör IP-grupper granskas. IP-adresserna som ingår i grupperna måste ändras.
    • Zoner. Konfigurera tillgänglighetszonerna (AZ) i målregionen.
    • Tvingad tunneltrafik.Kontrollera att du har flyttat det virtuella nätverket och att undernätet för brandväggshantering finns innan Azure Firewall flyttas. Uppdatera IP-adressen i målregionen för den virtuella nätverksinstallationen (NVA) som Azure Firewall ska omdirigera trafiken till i UDR (User Defined Route).
    • DNS. Granska IP-adresser för anpassade DNS-servrar så att de återspeglar målregionen. Om dns-proxyfunktionen är aktiverad måste du konfigurera DNS-serverinställningarna för det virtuella nätverket och ange Azure Firewalls privata IP-adress som en anpassad DNS-server.
    • Privata IP-intervall (SNAT). – Om anpassade intervall har definierats för SNAT rekommenderar vi att du granskar och så småningom justerar för att inkludera målregionens adressutrymme.
    • Taggar. – Verifiera och uppdatera eventuella taggar som kan återspegla eller referera till den nya brandväggsplatsen.
    • Diagnostikinställningar. När du återskapar Azure Firewall i målregionen bör du granska diagnostikinställningen och konfigurera den så att den återspeglar målregionen (Log Analytics-arbetsyta, lagringskonto, händelsehubb eller partnerlösning från tredje part).

12. location Redigera egenskapen i template.json filen till målregionen (I följande exempel anges målregionen till centralus.):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Information om hur du hittar platskoden för målregionen finns i Datahemvist i Azure.

1. Spara filen template.json.

PowerShell

1. Logga in på Azure-portalen.

2. Om du använder Premium SKU med TLS-inspektion aktiverat,

   1. Flytta nyckelvalvet som används för TLS-inspektion till den nya målregionen och följ procedurerna för att flytta certifikat eller generera nya certifikat för TLS-inspektion i det nya nyckelvalvet i målregionen.
   2. Flytta den hanterade identiteten till den nya målregionen och tilldela om motsvarande roller för nyckelvalvet i målregionen och prenumerationen.

3. template.json I filen ersätter du:

   • firewallName med standardvärdet för ditt Azure Firewall-namn.
   • azureFirewallPublicIpId med ID:t för din offentliga IP-adress i målregionen.
   • virtualNetworkName med namnet på det virtuella nätverket i målregionen.
   • firewallPolicy.id med ditt princip-ID.

4. Skapa en ny brandväggsprincip med hjälp av konfigurationen av källregionen och återspegla ändringar som introduceras av den nya målregionen (IP-adressintervall, offentlig IP- och regelsamlingar).

5. Granska och uppdatera konfigurationen för avsnitten nedan för att återspegla de ändringar som krävs för målregionen.

   • IP-grupper. Om du vill inkludera IP-adresser från målregionen, om det skiljer sig från källan, bör IP-grupper granskas. IP-adresserna som ingår i grupperna måste ändras.
   • Zoner. Konfigurera tillgänglighetszonerna (AZ) i målregionen.
   • Tvingad tunneltrafik.Kontrollera att du har flyttat det virtuella nätverket och att undernätet för brandväggshantering finns innan Azure Firewall flyttas. Uppdatera IP-adressen i målregionen för den virtuella nätverksinstallationen (NVA) som Azure Firewall ska omdirigera trafiken till i UDR (User Defined Route).
   • DNS. Granska IP-adresser för anpassade DNS-servrar så att de återspeglar målregionen. Om dns-proxyfunktionen är aktiverad måste du konfigurera DNS-serverinställningarna för det virtuella nätverket och ange Azure Firewalls privata IP-adress som en anpassad DNS-server.
   • Privata IP-intervall (SNAT). – Om anpassade intervall har definierats för SNAT rekommenderar vi att du granskar och så småningom justerar för att inkludera målregionens adressutrymme.
   • Taggar. – Verifiera och uppdatera eventuella taggar som kan återspegla eller referera till den nya brandväggsplatsen.
   • Diagnostikinställningar. När du återskapar Azure Firewall i målregionen bör du granska diagnostikinställningen och konfigurera den så att den återspeglar målregionen (Log Analytics-arbetsyta, lagringskonto, händelsehubb eller partnerlösning från tredje part).

6. location Redigera egenskapen i template.json filen till målregionen (I följande exempel anges målregionen till centralus.):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Information om hur du hittar platskoden för målregionen finns i Datahemvist i Azure.

Omdistribuera

Distribuera mallen för att skapa en ny Azure Firewall i målregionen.

Azure-portalen

1. Ange eller välj egenskapsvärden:

   • Prenumeration: Välj en Azure-prenumeration.

   • Resursgrupp: Välj Skapa ny och ge resursgruppen ett namn.

   • Plats: Välj en Azure-plats.

2. Azure Firewall distribueras nu med den antagna konfigurationen för att återspegla nödvändiga ändringar i målregionen.

3. Verifiera konfiguration och funktioner.

PowerShell

1. Hämta prenumerations-ID:t där du vill distribuera den offentliga mål-IP-adressen genom att köra följande kommando:

Get-AzSubscription

2. Kör följande kommandon för att distribuera mallen:

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. eastus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"

1. The Azure Firewall is now deployed with the adopted configuration to reflect the needed changes in the target region. 
1. Verify configuration and functionality.

Relaterat innehåll

• Flytta resurser till en ny resursgrupp eller prenumeration
• Flytta virtuella Azure-datorer till en annan region