你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

将 Azure 防火墙重定位到另一个区域

本文介绍如何重定位保护 Azure 虚拟网络的 Azure 防火墙。

先决条件

• 强烈建议使用高级 SKU。 如果你使用的是标准 SKU，请考虑在重定位之前从现有的标准 SKU Azure 防火墙迁移到高级 SKU。

• 为了正确规划和执行 Azure 防火墙重定位，必须收集以下信息：

  • 部署模型。经典防火墙规则或防火墙策略。
  • 防火墙策略名称。 （如果使用防火墙策略部署模型）。
  • 防火墙实例级别的诊断设置。 （如果使用 Log Analytics 工作区）。
  • TLS（传输层安全性）检查配置。（如果使用 Azure Key Vault、证书和托管标识。）
  • 公共 IP 控制。 评估依赖 Azure 防火墙公共 IP 的任何外部标识是否保持固定和受信任。

• Azure 防火墙标准层和高级层具有以下依赖项，你可能需要在目标区域中部署这些依赖项：

  • Azure 虚拟网络
  • （如果使用）Log Analytics 工作区

• 如果使用 Azure 防火墙高级层的 TLS 检查功能，则还需要在目标区域中部署以下依赖项：

  • Azure Key Vault
  • Azure 托管标识

停机时间

要了解可能涉及的故障时间，请参阅面向 Azure 的云采用框架：选择重定位方法。

准备

为了准备重定位，需要先从源区域导出并修改模板。 若要查看 Azure 防火墙的示例 ARM 模板，请参阅查看模板。

导出模板

门户

1. 登录到 Azure 门户。

2. 选择“所有资源”，然后选择你的 Azure 防火墙资源。

3. 在“Azure 防火墙”页上，选择左侧菜单中的“自动化”下的“导出模版”。

4. 选择“导出模板”页中的“下载”。

5. 找到从门户下载的 .zip 文件，并将该文件解压缩到所选的文件夹。

   此 zip 文件包含 .json 文件，后者包括模板和用于部署模板的脚本。

PowerShell

1. 运行 Connect-AzAccount 命令以登录 Azure 订阅，并按照屏幕上的说明操作：

Connect-AzAccount

2. 如果你的标识已关联到多个订阅，请将你的活动订阅设置为要移动的 Azure 防火墙资源的订阅。

$context = Get-AzSubscription -SubscriptionId <subscription-id>
Set-AzContext $context

3. 通过运行以下命令导出源 Azure 防火墙资源的模板：

$resource = Get-AzResource `
  -ResourceGroupName <resource-group-name> `
  -ResourceName <resource-name> `
  -ResourceType <resource-type>

Export-AzResourceGroup `
  -ResourceGroupName <resource-group-name> `
  -Resource $resource.ResourceId

4. 在当前目录中找到 template.json。

修改模板

本部分介绍如何修改在上一部分生成的模板。

如果你在运行没有防火墙策略的经典防火墙规则，请先迁移到防火墙策略，然后再执行本部分中的步骤。 若要了解如何从经典防火墙规则迁移到防火墙策略，请参阅使用 PowerShell 将 Azure 防火墙配置迁移到 Azure 防火墙策略。

Azure 门户

1. 登录到 Azure 门户。

2. 如果你使用的是启用了 TLS 检查的高级 SKU，请执行以下步骤：

   1. 将用于 TLS 检查的密钥保险库重定位到新的目标区域。 然后，按照程序将证书或生成的新证书（用于 TLS 检查）移动到目标区域的新密钥保管库中。
   2. 将托管标识重定位到新的目标区域。 为目标区域和订阅中的密钥保管库重新分配相应的角色。

3. 在 Azure 门户中，选择“创建资源”。

4. 在“搜索市场”中键入 template deployment，然后按 Enter。

5. 选择“模板部署”，然后选择“创建”。

6. 选择“在编辑器中生成自己的模板”。

7. 选择“加载文件”，然后按照说明加载在上一部分下载的 template.json 文件

8. 在 template.json 文件中进行以下替换：

   • 将 firewallName 替换为 Azure 防火墙名称的默认值。
   • 将 azureFirewallPublicIpId 替换为目标区域中公共 IP 地址的 ID。
   • 将 virtualNetworkName 替换为目标区域中虚拟网络的名称。
   • 将 firewallPolicy.id 替换为你的策略 ID。

9. 使用源区域的配置创建新的防火墙策略，并反映新目标区域引入的更改（IP 地址范围、公共 IP、规则集合）。

10. 如果你使用的是高级 SKU，并且想要启用 TLS 检查，请按照此处的说明更新新创建的防火墙策略并启用 TLS 检查。

11. 查看并更新以下主题的配置以反映目标区域所需的更改。

    • IP 组。 若要包含来自目标区域的 IP 地址（如果与源不同），应查看“IP 组”。 必须修改组中包含的 IP 地址。
    • 区域。 配置目标区域中的可用性区域 (AZ)。
    • 强制隧道。确保已重定位虚拟网络，并且在重定位 Azure 防火墙之前，防火墙管理子网已存在。 在用户定义路由 (UDR) 中，更新 Azure 防火墙应将流量重定向到的网络虚拟设备 (NVA) 目标区域中的 IP 地址。
    • DNS。 查看自定义 DNS 服务器的“IP 地址”，该地址可以反映你的目标区域。 如果已启用 DNS 代理功能，确保配置虚拟网络 DNS 服务器设置，并将 Azure 防火墙的专用 IP 地址设置为自定义 DNS 服务器。
    • 专用 IP 范围 (SNAT)。 - 如果为 SNAT 定义了自定义范围，建议你进行查看并最终进行调整，以包含目标区域地址空间。
    • 标记。 - 验证并最终更新任何可能反映或引用新防火墙位置的标记。
    • 诊断设置。 在目标区域中重新创建 Azure 防火墙时，请务必查看“诊断设置”并将其配置为反映目标区域（Log Analytics 工作区、存储帐户、事件中心或第三方合作伙伴解决方案）。

12. 将 template.json 文件中的 location 属性编辑为反映目标区域（以下示例将目标区域设置为 centralus。）：

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

若要查找目标区域的位置代码，请参阅 Azure 中的数据驻留。

1. 保存 template.json 文件。

PowerShell

1. 登录到 Azure 门户。

2. 如果你使用的是启用了 TLS 检查的高级 SKU，请执行以下步骤：

   1. 将用于 TLS 检查的密钥保管库重定位到新的目标区域，并按照程序将证书或生成的新证书（用于 TLS 检查）移动到目标区域的新密钥保管库中。
   2. 将托管标识重定位到新的目标区域，并为目标区域和订阅中的密钥保管库重新分配相应的角色。

3. 在 template.json 文件中进行以下替换：

   • 将 firewallName 替换为 Azure 防火墙名称的默认值。
   • 将 azureFirewallPublicIpId 替换为目标区域中公共 IP 地址的 ID。
   • 将 virtualNetworkName 替换为目标区域中虚拟网络的名称。
   • 将 firewallPolicy.id 替换为你的策略 ID。

4. 使用源区域的配置创建新的防火墙策略，并反映新目标区域引入的更改（IP 地址范围、公共 IP、规则集合）。

5. 查看并更新以下主题的配置以反映目标区域所需的更改。

   • IP 组。 若要包含来自目标区域的 IP 地址（如果与源不同），应查看“IP 组”。 必须修改组中包含的 IP 地址。
   • 区域。 配置目标区域中的可用性区域 (AZ)。
   • 强制隧道。确保已重定位虚拟网络，并且在重定位 Azure 防火墙之前，防火墙管理子网已存在。 在用户定义路由 (UDR) 中，更新 Azure 防火墙应将流量重定向到的网络虚拟设备 (NVA) 目标区域中的 IP 地址。
   • DNS。 查看自定义 DNS 服务器的“IP 地址”，该地址可以反映你的目标区域。 如果已启用 DNS 代理功能，确保配置虚拟网络 DNS 服务器设置，并将 Azure 防火墙的专用 IP 地址设置为自定义 DNS 服务器。
   • 专用 IP 范围 (SNAT)。 - 如果为 SNAT 定义了自定义范围，建议你进行查看并最终进行调整，以包含目标区域地址空间。
   • 标记。 - 验证并最终更新任何可能反映或引用新防火墙位置的标记。
   • 诊断设置。 在目标区域中重新创建 Azure 防火墙时，请务必查看“诊断设置”并将其配置为反映目标区域（Log Analytics 工作区、存储帐户、事件中心或第三方合作伙伴解决方案）。

6. 将 template.json 文件中的 location 属性编辑为反映目标区域（以下示例将目标区域设置为 centralus。）：

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

若要查找目标区域的位置代码，请参阅 Azure 中的数据驻留。

重新部署

部署模板以在目标区域中创建新的 Azure 防火墙。

Azure 门户

1. 输入或选择属性值：

   • 订阅：选择 Azure 订阅。

   • 资源组：选择“新建” 并为资源组指定名称。

   • 位置：选择 Azure 位置。

2. Azure 防火墙现已部署了采用的配置，可以反映目标区域所需的更改。

3. 验证配置和功能。

PowerShell

1. 通过运行以下命令获取你要在其中部署目标公共 IP 的订阅 ID：

Get-AzSubscription

2. 运行以下命令来部署模板：

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. eastus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"

1. The Azure Firewall is now deployed with the adopted configuration to reflect the needed changes in the target region. 
1. Verify configuration and functionality.

相关内容

• 将资源移到新资源组或订阅中
• 将 Azure VM 移到另一区域