將 Azure 防火牆重新放置到另一個區域
本文說明如何重新放置可保護 Azure 虛擬網路的 Azure 防火牆。
必要條件
我們強烈建議您使用進階 SKU。 如果您是在標準 SKU 上,請考慮在重新配置之前,先從現有的標準 SKU Azure 防火牆移轉至進階 SKU。
必須收集下列資訊,才能正確規劃和執行 Azure 防火牆重新配置:
- 部署模型。傳統防火牆規則或防火牆原則。
- 防火牆原則名稱。 (如果使用防火牆原則部署模型)。
- 防火牆執行個體層級的診斷設定。 (如果使用 Log Analytics 工作區)。
- TLS (傳輸層安全性) 檢查設定。:(如果使用 Azure Key Vault、憑證和受控識別。)
- 公用 IP 控制項。 評估依賴 Azure 防火牆公用 IP 的任何外部身分識別都會保持固定且受信任。
Azure 防火牆標準和進階層具有下列相依性,您可能需要在目標區域中部署這些相依性:
- Azure 虛擬網路
- (如果使用) Log Analytics 工作區
如果使用 Azure 防火牆進階層的 TLS 檢查功能,則還需要在目標區域中部署下列相依性:
停機
若要瞭解可能的停機情況,請參閱適用於 Azure 的雲端採用架構:選取重新配置方法。
準備
若要準備重新配置,必須先從來源區域匯出和修改範本。 若要檢視 Azure 防火牆的範例 ARM 範本,請參閱檢閱範本 (部分機器翻譯)。
匯出範本
登入 Azure 入口網站。
選取 [所有資源],然後選取您的 Azure 防火牆資源。
在 [Azure 防火牆] 頁面上,選取左側功能表中的 [自動化] 下方的 [匯出範本]。
在 [匯出範本] 頁面中選擇 [下載]。
找出您從入口網站下載的 .zip 檔案,並將該檔案解壓縮至您選擇的資料夾。
此 zip 檔案包含 .json 檔案,內含範本和用來部署範本的指令碼。
修改範本
在本節中,您將了解如何修改您在上一節中產生的範本。
如果您執行沒有防火牆原則的傳統防火牆規則,請先移轉至防火牆原則,然後再繼續執行本節中的步驟。 若要了解如何從傳統防火牆規則移轉至防火牆原則,請參閱使用 PowerShell 將 Azure 防火牆設定移轉至 Azure 防火牆原則。
登入 Azure 入口網站。
如果您使用了已啟用 TLS 檢查的進階 SKU,
在 Azure 入口網站中,選取 [建立資源]。
在 [搜尋 Marketplace] 中,輸入
template deployment
,然後按下 Enter。選取 [範本部署],然後選取 [建立]。
選取 [在編輯器中組建您自己的範本]。
選取 [載入檔案],然後遵循指示載入在上一節下載的
template.json
檔案在
template.json
檔案中取代下列內容:- 將
firewallName
取代為 Azure 防火牆名稱的預設值。 - 將
azureFirewallPublicIpId
取代為目標區域中公用 IP 位址的識別碼。 - 將
virtualNetworkName
取代為目標區域中虛擬網路的名稱。 - 將
firewallPolicy.id
取代為您的原則識別碼。
- 將
使用來源區域的設定建立新的防火牆原則,並反映新目標區域所引進的變更 (IP 位址範圍、公用 IP、規則集合)。
如果您使用進階 SKU 並想要啟用 TLS 檢查,請依照此處的說明 (英文) 更新新建立的防火牆原則並啟用 TLS 檢查。
檢閱並更新下列主題的設定,以反映目標區域所需的變更。
- IP 群組。 若要包含來自目標區域的 IP 位址 (如果來源不同),則應檢閱 IP 群組。 必須修改群組中包含的 IP 位址。
- 區域。 設定目標區域中的可用性區域 (AZ) (部分機器翻譯)。
- 強制通道。請確定您已重新放置虛擬網路,且防火牆管理子網已存在,再重新放置 Azure 防火牆。 在使用者定義的路由 (UDR) 中,更新 Azure 防火牆應將流量重新導向到的網路虛擬設備 (NVA) 目標區域中的 IP 位址。
- DNS。 檢閱自訂 DNS 伺服器的 IP 位址,以反映您的目標區域。 如果已啟用 DNS Proxy 功能,請務必設定虛擬網路 DNS 伺服器設定,並將 Azure 防火牆的私人 IP 位址設定為自訂 DNS 伺服器。
- 私人 IP 範圍 (SNAT)。 - 如果為 SNAT 定義了自訂範圍,建議您檢閱並最終調整以包含目標區域位址空間。
- 標籤。 - 驗證並最終更新任何可能反映或參考新防火牆位置的標籤。
- 診斷設定。 在目標區域中重新建立 Azure 防火牆時,請務必檢閱診斷設定並將其設定為反映目標區域 (Log Analytics 工作區、儲存體帳戶、事件中樞或第三方合作夥伴解決方案)。
將
template.json
檔案中的location
屬性編輯為反映目標區域 (下列範例會將目標區域設定為centralus
。):
"resources": [
{
"type": "Microsoft.Network/azureFirewalls",
"apiVersion": "2023-09-01",
"name": "[parameters('azureFirewalls_fw_name')]",
"location": "centralus",}]
若要尋找目標區域的位置代碼,請參閱Azure 中的資料落地。
- 儲存
template.json
檔案。
重新部署
部署範本以在目標區域中建立新的 Azure 防火牆。
輸入或選取屬性值:
訂用帳戶:選取 Azure 訂用帳戶。
資源群組:選取 [新建] 並指定資源群組名稱。
位置:選取 Azure 位置。
Azure 防火牆現已使用採用的設定進行部署,以反映目標區域中所需的變更。
驗證設定和功能。