共用方式為


將 Azure 防火牆重新放置到另一個區域

本文說明如何重新放置可保護 Azure 虛擬網路的 Azure 防火牆。

必要條件

  • 我們強烈建議您使用進階 SKU。 如果您是在標準 SKU 上,請考慮在重新配置之前,先從現有的標準 SKU Azure 防火牆移轉至進階 SKU

  • 必須收集下列資訊,才能正確規劃和執行 Azure 防火牆重新配置:

    • 部署模型。傳統防火牆規則防火牆原則
    • 防火牆原則名稱。 (如果使用防火牆原則部署模型)。
    • 防火牆執行個體層級的診斷設定。 (如果使用 Log Analytics 工作區)。
    • TLS (傳輸層安全性) 檢查設定。:(如果使用 Azure Key Vault、憑證和受控識別。)
    • 公用 IP 控制項。 評估依賴 Azure 防火牆公用 IP 的任何外部身分識別都會保持固定且受信任。
  • Azure 防火牆標準和進階層具有下列相依性,您可能需要在目標區域中部署這些相依性:

  • 如果使用 Azure 防火牆進階層的 TLS 檢查功能,則還需要在目標區域中部署下列相依性:

停機

若要瞭解可能的停機情況,請參閱適用於 Azure 的雲端採用架構:選取重新配置方法

準備

若要準備重新配置,必須先從來源區域匯出和修改範本。 若要檢視 Azure 防火牆的範例 ARM 範本,請參閱檢閱範本 (部分機器翻譯)。

匯出範本

  1. 登入 Azure 入口網站

  2. 選取 [所有資源],然後選取您的 Azure 防火牆資源。

  3. 在 [Azure 防火牆] 頁面上,選取左側功能表中的 [自動化] 下方的 [匯出範本]

  4. [匯出範本] 頁面中選擇 [下載]

  5. 找出您從入口網站下載的 .zip 檔案,並將該檔案解壓縮至您選擇的資料夾。

    此 zip 檔案包含 .json 檔案,內含範本和用來部署範本的指令碼。

修改範本

在本節中,您將了解如何修改您在上一節中產生的範本。

如果您執行沒有防火牆原則的傳統防火牆規則,請先移轉至防火牆原則,然後再繼續執行本節中的步驟。 若要了解如何從傳統防火牆規則移轉至防火牆原則,請參閱使用 PowerShell 將 Azure 防火牆設定移轉至 Azure 防火牆原則

  1. 登入 Azure 入口網站

  2. 如果您使用了已啟用 TLS 檢查的進階 SKU,

    1. 將用於 TLS 檢查的金鑰保存庫重新放置到新的目標區域。 然後,按照程序將憑證或產生的新憑證 (用於 TLS 檢查) 移動到目標區域的新金鑰保存庫中。
    2. 將受控識別重新放置到新的目標區域。 在目標區域和訂用帳戶中的金鑰保存庫重新指派對應的角色。
  3. 在 Azure 入口網站中,選取 [建立資源]

  4. 在 [搜尋 Marketplace] 中,輸入 template deployment,然後按下 Enter

  5. 選取 [範本部署],然後選取 [建立]

  6. 選取 [在編輯器中組建您自己的範本]

  7. 選取 [載入檔案],然後遵循指示載入在上一節下載的 template.json 檔案

  8. template.json 檔案中取代下列內容:

    • firewallName 取代為 Azure 防火牆名稱的預設值。
    • azureFirewallPublicIpId 取代為目標區域中公用 IP 位址的識別碼。
    • virtualNetworkName 取代為目標區域中虛擬網路的名稱。
    • firewallPolicy.id 取代為您的原則識別碼。
  9. 使用來源區域的設定建立新的防火牆原則,並反映新目標區域所引進的變更 (IP 位址範圍、公用 IP、規則集合)。

  10. 如果您使用進階 SKU 並想要啟用 TLS 檢查,請依照此處的說明 (英文) 更新新建立的防火牆原則並啟用 TLS 檢查。

  11. 檢閱並更新下列主題的設定,以反映目標區域所需的變更。

    • IP 群組。 若要包含來自目標區域的 IP 位址 (如果來源不同),則應檢閱 IP 群組。 必須修改群組中包含的 IP 位址。
    • 區域。 設定目標區域中的可用性區域 (AZ) (部分機器翻譯)。
    • 強制通道。請確定您已重新放置虛擬網路,且防火牆管理子網已存在,再重新放置 Azure 防火牆。 在使用者定義的路由 (UDR) 中,更新 Azure 防火牆應將流量重新導向到的網路虛擬設備 (NVA) 目標區域中的 IP 位址。
    • DNS。 檢閱自訂 DNS 伺服器的 IP 位址,以反映您的目標區域。 如果已啟用 DNS Proxy 功能,請務必設定虛擬網路 DNS 伺服器設定,並將 Azure 防火牆的私人 IP 位址設定為自訂 DNS 伺服器
    • 私人 IP 範圍 (SNAT)。 - 如果為 SNAT 定義了自訂範圍,建議您檢閱並最終調整以包含目標區域位址空間。
    • 標籤。 - 驗證並最終更新任何可能反映或參考新防火牆位置的標籤。
    • 診斷設定。 在目標區域中重新建立 Azure 防火牆時,請務必檢閱診斷設定並將其設定為反映目標區域 (Log Analytics 工作區、儲存體帳戶、事件中樞或第三方合作夥伴解決方案)。
  12. template.json 檔案中的 location 屬性編輯為反映目標區域 (下列範例會將目標區域設定為 centralus。):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

若要尋找目標區域的位置代碼,請參閱Azure 中的資料落地

  1. 儲存template.json檔案。

重新部署

部署範本以在目標區域中建立新的 Azure 防火牆。

  1. 輸入或選取屬性值:

    • 訂用帳戶:選取 Azure 訂用帳戶。

    • 資源群組:選取 [新建] 並指定資源群組名稱。

    • 位置:選取 Azure 位置。

  2. Azure 防火牆現已使用採用的設定進行部署,以反映目標區域中所需的變更。

  3. 驗證設定和功能。