將 Azure 防火牆重新放置到另一個區域

本文說明如何重新放置可保護 Azure 虛擬網路的 Azure 防火牆。

必要條件

• 我們強烈建議您使用進階 SKU。 如果您是在標準 SKU 上，請考慮在重新配置之前，先從現有的標準 SKU Azure 防火牆移轉至進階 SKU。

• 必須收集下列資訊，才能正確規劃和執行 Azure 防火牆重新配置：

  • 部署模型。傳統防火牆規則或防火牆原則。
  • 防火牆原則名稱。 (如果使用防火牆原則部署模型)。
  • 防火牆執行個體層級的診斷設定。 (如果使用 Log Analytics 工作區)。
  • TLS (傳輸層安全性) 檢查設定。：(如果使用 Azure Key Vault、憑證和受控識別。)
  • 公用 IP 控制項。 評估依賴 Azure 防火牆公用 IP 的任何外部身分識別都會保持固定且受信任。

• Azure 防火牆標準和進階層具有下列相依性，您可能需要在目標區域中部署這些相依性：

  • Azure 虛擬網路
  • (如果使用) Log Analytics 工作區

• 如果使用 Azure 防火牆進階層的 TLS 檢查功能，則還需要在目標區域中部署下列相依性：

  • Azure Key Vault
  • Azure 受控識別

停機

若要瞭解可能的停機情況，請參閱適用於 Azure 的雲端採用架構：選取重新配置方法。

準備

若要準備重新配置，必須先從來源區域匯出和修改範本。 若要檢視 Azure 防火牆的範例 ARM 範本，請參閱檢閱範本 (部分機器翻譯)。

匯出範本

portal

1. 登入 Azure 入口網站。

2. 選取 [所有資源]，然後選取您的 Azure 防火牆資源。

3. 在 [Azure 防火牆] 頁面上，選取左側功能表中的 [自動化] 下方的 [匯出範本]。

4. 在 [匯出範本] 頁面中選擇 [下載]。

5. 找出您從入口網站下載的 .zip 檔案，並將該檔案解壓縮至您選擇的資料夾。

   此 zip 檔案包含 .json 檔案，內含範本和用來部署範本的指令碼。

PowerShell

1. 使用 Connect-AzAccount 命令登入 Azure 訂用帳戶並遵循畫面上的指示：

Connect-AzAccount

2. 如果您的身分識別與多個訂閱相關聯，請將作用中訂閱設為您要移動的 Azure 防火牆資源的訂閱。

$context = Get-AzSubscription -SubscriptionId <subscription-id>
Set-AzContext $context

3. 執行下列命令，以匯出來源 Azure 防火牆資源的範本：

$resource = Get-AzResource `
  -ResourceGroupName <resource-group-name> `
  -ResourceName <resource-name> `
  -ResourceType <resource-type>

Export-AzResourceGroup `
  -ResourceGroupName <resource-group-name> `
  -Resource $resource.ResourceId

4. 找出您目前目錄中的 template.json。

修改範本

在本節中，您將了解如何修改您在上一節中產生的範本。

如果您執行沒有防火牆原則的傳統防火牆規則，請先移轉至防火牆原則，然後再繼續執行本節中的步驟。 若要了解如何從傳統防火牆規則移轉至防火牆原則，請參閱使用 PowerShell 將 Azure 防火牆設定移轉至 Azure 防火牆原則。

Azure 入口網站

1. 登入 Azure 入口網站。

2. 如果您使用了已啟用 TLS 檢查的進階 SKU，

   1. 將用於 TLS 檢查的金鑰保存庫重新放置到新的目標區域。 然後，按照程序將憑證或產生的新憑證 (用於 TLS 檢查) 移動到目標區域的新金鑰保存庫中。
   2. 將受控識別重新放置到新的目標區域。 在目標區域和訂用帳戶中的金鑰保存庫重新指派對應的角色。

3. 在 Azure 入口網站中，選取 [建立資源]。

4. 在 [搜尋 Marketplace] 中，輸入 template deployment，然後按下 Enter。

5. 選取 [範本部署]，然後選取 [建立]。

6. 選取 [在編輯器中組建您自己的範本]。

7. 選取 [載入檔案]，然後遵循指示載入在上一節下載的 template.json 檔案

8. 在 template.json 檔案中取代下列內容：

   • 將 firewallName 取代為 Azure 防火牆名稱的預設值。
   • 將 azureFirewallPublicIpId 取代為目標區域中公用 IP 位址的識別碼。
   • 將 virtualNetworkName 取代為目標區域中虛擬網路的名稱。
   • 將 firewallPolicy.id 取代為您的原則識別碼。

9. 使用來源區域的設定建立新的防火牆原則，並反映新目標區域所引進的變更 (IP 位址範圍、公用 IP、規則集合)。

10. 如果您使用進階 SKU 並想要啟用 TLS 檢查，請依照此處的說明 (英文) 更新新建立的防火牆原則並啟用 TLS 檢查。

11. 檢閱並更新下列主題的設定，以反映目標區域所需的變更。

    • IP 群組。 若要包含來自目標區域的 IP 位址 (如果來源不同)，則應檢閱 IP 群組。 必須修改群組中包含的 IP 位址。
    • 區域。 設定目標區域中的可用性區域 (AZ) (部分機器翻譯)。
    • 強制通道。請確定您已重新放置虛擬網路，且防火牆管理子網已存在，再重新放置 Azure 防火牆。 在使用者定義的路由 (UDR) 中，更新 Azure 防火牆應將流量重新導向到的網路虛擬設備 (NVA) 目標區域中的 IP 位址。
    • DNS。 檢閱自訂 DNS 伺服器的 IP 位址，以反映您的目標區域。 如果已啟用 DNS Proxy 功能，請務必設定虛擬網路 DNS 伺服器設定，並將 Azure 防火牆的私人 IP 位址設定為自訂 DNS 伺服器。
    • 私人 IP 範圍 (SNAT)。 - 如果為 SNAT 定義了自訂範圍，建議您檢閱並最終調整以包含目標區域位址空間。
    • 標籤。 - 驗證並最終更新任何可能反映或參考新防火牆位置的標籤。
    • 診斷設定。 在目標區域中重新建立 Azure 防火牆時，請務必檢閱診斷設定並將其設定為反映目標區域 (Log Analytics 工作區、儲存體帳戶、事件中樞或第三方合作夥伴解決方案)。

12. 將 template.json 檔案中的 location 屬性編輯為反映目標區域 (下列範例會將目標區域設定為 centralus。)：

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

若要尋找目標區域的位置代碼，請參閱Azure 中的資料落地。

1. 儲存template.json檔案。

PowerShell

1. 登入 Azure 入口網站。

2. 如果您使用了已啟用 TLS 檢查的進階 SKU，

   1. 將用於 TLS 檢查的金鑰保存庫重新放置到新的目標區域，並按照程序在目標區域的新金鑰保存庫中，移動要用於 TLS 檢查的憑證或產生的新憑證。
   2. 將受控識別重新放置到新的目標區域，並為目標區域和訂用帳戶中的金鑰保存庫重新指派到對應的角色。

3. 在 template.json 檔案中取代下列內容：

   • 將 firewallName 取代為 Azure 防火牆名稱的預設值。
   • 將 azureFirewallPublicIpId 取代為目標區域中公用 IP 位址的識別碼。
   • 將 virtualNetworkName 取代為目標區域中虛擬網路的名稱。
   • 將 firewallPolicy.id 取代為您的原則識別碼。

4. 使用來源區域的設定建立新的防火牆原則，並反映新目標區域所引進的變更 (IP 位址範圍、公用 IP、規則集合)。

5. 檢閱並更新下列主題的設定，以反映目標區域所需的變更。

   • IP 群組。 若要包含來自目標區域的 IP 位址 (如果來源不同)，則應檢閱 IP 群組。 必須修改群組中包含的 IP 位址。
   • 區域。 設定目標區域中的可用性區域 (AZ) (部分機器翻譯)。
   • 強制通道。請確定您已重新配置虛擬網路，且防火牆管理子網已存在，再重新放置 Azure 防火牆。 在使用者定義的路由 (UDR) 中，更新 Azure 防火牆應將流量重新導向到的網路虛擬設備 (NVA) 目標區域中的 IP 位址。
   • DNS。 檢閱自訂 DNS 伺服器的 IP 位址，以反映您的目標區域。 如果已啟用 DNS Proxy 功能，請務必設定虛擬網路 DNS 伺服器設定，並將 Azure 防火牆的私人 IP 位址設定為自訂 DNS 伺服器。
   • 私人 IP 範圍 (SNAT)。 - 如果為 SNAT 定義了自訂範圍，建議您檢閱並最終調整以包含目標區域位址空間。
   • 標籤。 - 驗證並最終更新任何可能反映或參考新防火牆位置的標籤。
   • 診斷設定。 在目標區域中重新建立 Azure 防火牆時，請務必檢閱診斷設定並將其設定為反映目標區域 (Log Analytics 工作區、儲存體帳戶、事件中樞或第三方合作夥伴解決方案)。

6. 將 template.json 檔案中的 location 屬性編輯為反映目標區域 (下列範例會將目標區域設定為 centralus。)：

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

若要尋找目標區域的位置代碼，請參閱Azure 中的資料落地。

重新部署

部署範本以在目標區域中建立新的 Azure 防火牆。

Azure 入口網站

1. 輸入或選取屬性值：

   • 訂用帳戶：選取 Azure 訂用帳戶。

   • 資源群組：選取 [新建] 並指定資源群組名稱。

   • 位置：選取 Azure 位置。

2. Azure 防火牆現已使用採用的設定進行部署，以反映目標區域中所需的變更。

3. 驗證設定和功能。

PowerShell

1. 透過執行下列命令，以取得要在其中部署目標公用 IP 的訂用帳戶識別碼：

Get-AzSubscription

2. 執行下列命令以部署範本：

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. eastus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"

1. The Azure Firewall is now deployed with the adopted configuration to reflect the needed changes in the target region. 
1. Verify configuration and functionality.

相關內容

• 將資源移到新的資源群組或訂用帳戶 \(部分機器翻譯\)
• 將 Azure VM 移至其他區域