نقل مجموعة أمان شبكة Azure (NSG) إلى منطقة أخرى

مقالة
03/05/2024

توضح هذه المقالة كيفية نقل NSG إلى منطقة جديدة عن طريق إنشاء نسخة من تكوين المصدر وقواعد الأمان لمجموعة أمان الشبكة إلى منطقة أخرى.

المتطلبات الأساسية

تأكد من أن مجموعة أمان شبكة Azure موجودة في منطقة Azure المستهدفة.
إقران مجموعة أمان الشبكة الجديدة بالموارد في المنطقة المستهدفة.
لتصدير تكوين NSG ونشر قالب لإنشاء NSG في منطقة أخرى، ستحتاج إلى دور مساهم الشبكة أو دور أعلى.
حدد تخطيط شبكة الاتصال المصدر وكل الموارد التي تستخدمها حاليًا. يتضمن هذا التخطيط، على سبيل المثال لا الحصر، موازنات التحميل وعناوين IP العامة والشبكات الظاهرية.
تحقق من أن اشتراك Azure يسمح لك بإنشاء NSGs في المنطقة المستهدفة المستخدمة. اتصل بالدعم لتمكين الحصة النسبية المطلوبة.
تأكد من أن اشتراكك يحتوي على موارد كافية لدعم إضافة NSGs لهذه العملية. راجع Azure subscription and service limits, quotas, and constraints.

وقت التعطل

لفهم أوقات التعطل المحتملة المتضمنة، راجع Cloud Adoption Framework ل Azure: حدد أسلوب نقل.

تجهيز

توضح الخطوات التالية كيفية إعداد مجموعة أمان الشبكة لنقل قاعدة التكوين والأمان باستخدام قالب Resource Manager، ونقل قواعد NSG للتكوين والأمان إلى المنطقة المستهدفة باستخدام المدخل.

لتصدير قالب وتعديله باستخدام مدخل Microsoft Azure:

قم بتسجيل الدخول إلى بوابة Azure.
حدد كافة الموارد ثم حدد حساب التخزين الخاص بك.
حدد >الأتمتة>قالب التصدير.
اختر نشر في شفرة قالب التصدير.
حدد TEMPLATE>Edit parameters لفتح ملف parameters.json في المحرر عبر الإنترنت.

لتحرير معلمة اسم NSG، غيّر خاصية القيمة ضمن المعلمات:

        {
        "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
        "contentVersion": "1.0.0.0",
        "parameters": {
        "networkSecurityGroups_myVM1_nsg_name": {
           "value": "<target-nsg-name>"
            }
           }
        }

غيّر قيمة اسم NSG المصدر في المحرر إلى اسم من اختيارك لـNSG الهدف. تأكد من إرفاق الاسم بين علامتي اقتباس.
حدد Save في المحرر.
حدد TEMPLATE>Edit template لفتح ملف template.json في المحرر عبر الإنترنت.

لتحرير المنطقة المستهدفة حيث سيتم نقل قواعد التكوين والأمان في NSG، غيّر خاصية الموقع ضمن الموارد في المحرر عبر الإنترنت:

        "resources": [
        {
        "type": "Microsoft.Network/networkSecurityGroups",
        "apiVersion": "2019-06-01",
        "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
        "location": "<target-region>",
        "properties": {
            "provisioningState": "Succeeded",
            "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
         }
        }
       ]

للحصول على رموز مواقع المنطقة، راجع مواقع Azure. التعليمة البرمجية لمنطقة ما هي اسم المنطقة مع عدم وجود مسافات، وسط الولايات المتحدة = centralus.

يمكنك أيضًا تغيير المعلمات الأخرى في القالب إذا كنت تريد ذلك، وهذا اختياري بناءً على متطلباتك:

قواعد الأمان - يمكنك تحرير القواعد التي يتم توزيعها في NSG الهدف عن طريق إضافة القواعد أو إزالتها إلى قسم securityRules في ملف template.json:

   "resources": [
    {
    "type": "Microsoft.Network/networkSecurityGroups",
    "apiVersion": "2019-06-01",
    "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
    "location": "<target-region>",
    "properties": {
        "provisioningState": "Succeeded",
        "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
        "securityRules": [
            {
                "name": "RDP",
                "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                "properties": {
                    "provisioningState": "Succeeded",
                    "protocol": "TCP",
                    "sourcePortRange": "*",
                    "destinationPortRange": "3389",
                    "sourceAddressPrefix": "*",
                    "destinationAddressPrefix": "*",
                    "access": "Allow",
                    "priority": 300,
                    "direction": "Inbound",
                    "sourcePortRanges": [],
                    "destinationPortRanges": [],
                    "sourceAddressPrefixes": [],
                    "destinationAddressPrefixes": []
                     }
            },
        ]
    }

لإكمال إضافة القواعد أو إزالتها في NSG الهدف، يجب عليك أيضاً تحرير أنواع القواعد المخصصة في نهاية الملف template.json بتنسيق المثال أدناه:

     {
      "type": "Microsoft.Network/networkSecurityGroups/securityRules",
      "apiVersion": "2019-06-01",
      "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
      "dependsOn": [
          "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
      ],
      "properties": {
          "provisioningState": "Succeeded",
          "protocol": "*",
          "sourcePortRange": "*",
          "destinationPortRange": "80",
          "sourceAddressPrefix": "*",
          "destinationAddressPrefix": "*",
          "access": "Allow",
          "priority": 310,
          "direction": "Inbound",
          "sourcePortRanges": [],
          "destinationPortRanges": [],
          "sourceAddressPrefixes": [],
          "destinationAddressPrefixes": []
      }

حدد Save في المحرر عبر الإنترنت.

لتصدير قالب وتعديله باستخدام PowerShell:

سجل الدخول إلى اشتراكك في Azure باستخدام الأمر Connect-AzAccount واتبع الإرشادات التي تظهر على الشاشة:
```
Connect-AzAccount
```
احصل على معرّف مورد NSG التي تريد نقلها إلى المنطقة الهدف، وضعها في متغير باستخدام Get-AzNetworkSecurityGroup:
```
$sourceNSGID = (Get-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>).Id
```
قم بتصدير NSG المصدر إلى ملف json. إلى الدليل حيث تُنفذ الأمر Export-AzResourceGroup:
```
Export-AzResourceGroup -ResourceGroupName <source-resource-group-name> -Resource $sourceNSGID -IncludeParameterDefaultValue
```
سيُسمى الملف الذي تم تنزيله باسم مجموعة الموارد التي تم تصدير المورد منها. حدد موقع الملف الذي تم تصديره من الأمر المسمى <resource-group-name>.json ثم افتحه في محرر من اختيارك:
```
notepad <source-resource-group-name>.json
```

لتحرير معلمة اسم NSG، غيّر خاصية defaultValue ضمن اسم NSG المصدر إلى NSG الهدف، تأكد من أن الاسم بين علامتي اقتباس:

        {
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "networkSecurityGroups_myVM1_nsg_name": {
        "defaultValue": "<target-nsg-name>",
        "type": "String"
        }
    }

لتحرير المنطقة المستهدفة حيث سيتم نقل قواعد التكوين والأمان في NSG، غيّر خاصية الموقع ضمن الموارد:

        "resources": [
        {
        "type": "Microsoft.Network/networkSecurityGroups",
        "apiVersion": "2019-06-01",
        "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
        "location": "<target-region>",
        "properties": {
            "provisioningState": "Succeeded",
            "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78", 
         }
        }

للحصول على رموز موقع المنطقة، يمكنك استخدام Azure PowerShell cmdletGet-AzLocation بتشغيل الأمر التالي:
```
Get-AzLocation | format-table
```

يمكنك أيضاً تغيير المعلمات الأخرى في <resource-group-name>.json إذا كنت تريد ذلك، وهذا اختياري بناءً على متطلباتك:

قواعد الأمان - يمكنك تحرير القواعد التي يتم توزيعها في NSG الهدف عن طريق إضافة القواعد أو إزالتها إلى قسم securityRules في ملف <resource-group-name>.json:

   "resources": [
          {
          "type": "Microsoft.Network/networkSecurityGroups",
          "apiVersion": "2019-06-01",
          "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
          "location": "TARGET REGION",
          "properties": {
               "provisioningState": "Succeeded",
               "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
          "securityRules": [
            {
                "name": "RDP",
                "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                "properties": {
                     "provisioningState": "Succeeded",
                     "protocol": "TCP",
                     "sourcePortRange": "*",
                     "destinationPortRange": "3389",
                     "sourceAddressPrefix": "*",
                     "destinationAddressPrefix": "*",
                     "access": "Allow",
                     "priority": 300,
                     "direction": "Inbound",
                     "sourcePortRanges": [],
                     "destinationPortRanges": [],
                     "sourceAddressPrefixes": [],
                     "destinationAddressPrefixes": []
                    }
                ]
    }

لإكمال إضافة القواعد أو إزالتها في NSG الهدف، يجب عليك أيضاً تحرير أنواع القواعد المخصصة في نهاية الملف <resource-group-name>.json بتنسيق المثال أدناه:

   {
    "type": "Microsoft.Network/networkSecurityGroups/securityRules",
    "apiVersion": "2019-06-01",
    "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
    "dependsOn": [
        "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
    ],
    "properties": {
        "provisioningState": "Succeeded",
        "protocol": "*",
        "sourcePortRange": "*",
        "destinationPortRange": "80",
        "sourceAddressPrefix": "*",
        "destinationAddressPrefix": "*",
        "access": "Allow",
        "priority": 310,
        "direction": "Inbound",
        "sourcePortRanges": [],
        "destinationPortRanges": [],
        "sourceAddressPrefixes": [],
        "destinationAddressPrefixes": []
    }

احفظ ملف <resource-group-name>.json.

إعادة التوزيع

بوابة
بوويرشيل

حدد BASICS>Subscription لاختيار الاشتراك حيث سيتم نشر NSG الهدف.
حدد BASICS>Resource group لاختيار مجموعة الموارد حيث سيتم نشر NSG الهدف. يمكنك النقر فوق إنشاء جديد لإنشاء مجموعة موارد جديدة لـNSG الهدف. تأكد من أن الاسم ليس هو نفسه مجموعة الموارد المصدر لـNSG الحالية.
حدد تعيين BASICS>Location إلى الموقع الهدف حيث ترغب في نشر NSG.
تحقق ضمن الإعدادات من أن الاسم يطابق الاسم الذي أدخلته في محرر المعلمات أعلاه.
حدد المربع ضمن الشروط والأحكام.
حدد الزر شراء لنشر مجموعة أمان الشبكة المستهدفة.

أنشئ مجموعة موارد في المنطقة الهدف لـ NSG الهدف ليتم توزيعه باستخدام New-AzResourceGroup:
```
New-AzResourceGroup -Name <target-resource-group-name> -location <target-region>
```
قم بتوزيع ملف <resource-group-name>.json المحرر إلى مجموعة الموارد التي تم إنشاؤها في الخطوة السابقة باستخدام New-AzResourceGroupDeployment:
```
New-AzResourceGroupDeployment -ResourceGroupName <target-resource-group-name> -TemplateFile <source-resource-group-name>.json
```

للتحقق من أن الموارد تم إنشاؤها في المنطقة الهدف، استخدم Get-AzResourceGroup وGet-AzNetworkSecurityGroup:


Get-AzResourceGroup -Name <target-resource-group-name>


Get-AzNetworkSecurityGroup -Name <target-nsg-name> -ResourceGroupName <target-resource-group-name>

تجاهل

بوابة
بوويرشيل

إذا كنت ترغب في تجاهل NSG الهدف، فاحذف مجموعة الموارد التي تحتوي على NSG الهدف. لإجراء ذلك، حدد مجموعة الموارد من لوحة المعلومات في المدخل، ثم حدد حذف أعلى صفحة نظرة عامة.

بعد التوزيع، إذا كنت ترغب في البدء من جديد أو تجاهل NSG في الهدف، احذف مجموعة الموارد التي تم إنشاؤها في الهدف وسيتم حذف NSG المنقول. لإزالة مجموعة الموارد، استخدم Remove-AzResourceGroup:


Remove-AzResourceGroup -Name <target-resource-group-name>

تنظيف

بوابة
بوويرشيل

لإجراء التغييرات وإكمال نقل NSG، احذف NSG المصدر أو مجموعة الموارد. للقيام بذلك، حدد مجموعة أمان الشبكة أو مجموعة الموارد من لوحة المعلومات في المدخل، ثم حدد حذف أعلى صفحة النظرة العامة.

لتنفيذ التغييرات وإكمال نقل NSG، احذف NSG المصدر أو مجموعة الموارد، استخدم Remove-AzResourceGroup أو Remove-AzNetworkSecurityGroup:


Remove-AzResourceGroup -Name <source-resource-group-name>


Remove-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>

الخطوات التالية

في هذا البرنامج التعليمي، قمت بنقل مجموعة أمان شبكة Azure من منطقة إلى أخرى وتنظيف موارد المصدر. لمعرفة المزيد حول نقل الموارد بين المناطق والتعافي من الكوارث في Azure، راجع:

مشاركة عبر