Comparteix a través de


Migración de registros de flujo del grupo de seguridad de red a registros de flujo de red virtual

Importante

El 30 de septiembre de 2027, se retirarán los registros de flujo del grupo de seguridad de red (NSG). Como parte de esta retirada, ya no podrá crear nuevos registros de flujo de NSG a partir del 30 de junio de 2025. Se recomienda migrar a los registros de flujo de red virtual, lo que supera las limitaciones de los registros de flujo de NSG. Después de la fecha de retirada, el análisis de tráfico habilitado con los registros de flujo de NSG ya no se admitirá y se eliminarán los recursos de registros de flujo de NSG existentes en las suscripciones. Sin embargo, los registros de flujo de NSG no se eliminarán y seguirán siguiendo sus respectivas directivas de retención. Para obtener más información, consulte el anuncio oficial.

En este artículo, aprenderá a migrar los registros de flujo del grupo de seguridad de red existentes a los registros de flujo de red virtual mediante un script de migración. Los registros de flujo de red virtual superan algunas de las limitaciones de los registros de flujo del grupo de seguridad de red. Para obtener más información, consulte Registros de flujo de red virtual.

Nota:

Use el script de migración:

  • cuando no tiene habilitado el registro de flujo en todas las interfaces de red o subredes de una red virtual y no desea habilitar el registro de flujo de red virtual en todas ellas o
  • cuando los registros de flujo del grupo de seguridad de red de una red virtual tienen configuraciones diferentes y quiere crear registros de flujo de red virtual con esas configuraciones diferentes como los registros de flujo del grupo de seguridad de red.

Uso de Azure Policy:

  • cuando tiene el mismo grupo de seguridad de red aplicado a todas las interfaces de red o subredes de una red virtual,
  • cuando tiene las mismas configuraciones de registro de flujo del grupo de seguridad de red para todas las interfaces de red o subredes de una red virtual o
  • cuando desee habilitar el registro de flujo de red virtual en el nivel de red virtual.

Para obtener más información, consulte Implementación y configuración de registros de flujo de red virtual mediante una directiva integrada.

Requisitos previos

Generar un script de migración

En esta sección, aprenderá a generar y descargar los archivos de migración para los registros de flujo de grupo de seguridad de red que desea migrar.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.

    Captura de pantalla que muestra cómo buscar una instancia de Network Watcher en Azure Portal.

  2. En Registros, seleccione Migrar registro de flujo.

    Captura de pantalla en la que se muestra la página de migración de registros de flujo de grupo de seguridad de red en Azure Portal.

  3. Seleccione las suscripciones que contienen los registros de flujo de grupo de seguridad de red que desea migrar.

  4. Para cada suscripción, seleccione las regiones que contienen los registros de flujo que desea migrar. El Total de registros de flujo de NSG muestra el número total de registros de flujo que se encuentran en las suscripciones seleccionadas. Los registros de flujo de NSG seleccionados muestran el número de registros de flujo en las regiones seleccionadas.

  5. Después de elegir las suscripciones y regiones, seleccione Descargar script y archivo JSON para descargar los archivos de migración como un archivo ZIP.

    Captura de pantalla que muestra cómo generar un script de migraciones en Azure Portal.

  6. Extraiga el archivo MigrateFlowLogs.zip en su máquina local. El archivo zip contiene estos dos archivos:

    • un archivo de script: MigrationFromNsgToAzureFlowLogging.ps1
    • un archivo JSON: RegionSubscriptionConfig.json.

Ejecutar script de migración

En esta sección, aprenderá a usar el archivo de script que descargó en la sección anterior para migrar los registros de flujo de grupo de seguridad de red.

Importante

Una vez que empiece a ejecutar el script, no realice ningún cambio en la topología en las regiones y suscripciones de los registros de flujo que vaya a migrar.

  1. Ejecute el archivo de script MigrationFromNsgToAzureFlowLogging.ps1.

  2. Escriba 1 para la opción Ejecutar análisis.

    .\MigrationFromNsgToAzureFlowLogging.ps1
    
    Select one of the following options for flowlog migration:
    1. Run analysis
    2. Delete NSG flowlogs
    3. Quit
    
  3. Escriba el nombre del archivo JSON.

    Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json
    
  4. Escriba el número de subprocesos o déjelo en blanco para usar el valor predeterminado de 16.

    Please enter the number of threads you would like to use, press enter for using default value of 16:    
    

    Una vez completado el análisis, verá el informe de análisis en pantalla y en un archivo HTML en el mismo directorio de los archivos de migración. El informe enumera el número de registros de flujo de grupo de seguridad de red que se deshabilitarán y el número de registros de flujo de red virtual que se crean para reemplazarlos. El número de registros de flujo de red virtual que se crean depende del tipo de migración que se elija. Por ejemplo, si el grupo de seguridad de red que va a migrar su registro de flujo está asociado a tres interfaces de red de la misma red virtual, puede elegir migración con agregación para que se aplique un único recurso de registro de flujo de red virtual a la red virtual. También puede elegir migración sin agregación para tener tres registros de flujo de red virtual (un recurso de registro de flujo de red virtual por interfaz de red).

    Nota:

    Consulte el archivo AnalysisReport-<subscriptionId>-<region>-<time>.html para obtener un informe completo del análisis que realizó. El archivo está disponible en el mismo directorio del script.

  5. Escriba 2 o 3 para elegir el tipo de migración que desea realizar.

    Select one of the following options for flowlog migration:
    1. Re-Run analysis
    2. Proceed with migration with aggregation
    3. Proceed with migration without aggregation
    4. Quit
    
  6. Después de ver el resumen de la migración en pantalla, es posible cancelar la migración y revertir los cambios. Para aceptar la migración y proceder con ella, escriba n; de lo contrario, escriba y. Una vez que acepte los cambios, no podrá revertirlos.

    Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n
    

    Nota:

    Mantenga los archivos de informe de script y análisis como referencia en caso de que tenga problemas con la migración.

  7. Compruebe Azure Portal para confirmar que el estado de los registros de flujo de grupo de seguridad de red que migró se deshabilitó. Compruebe también los registros de flujo de red virtual recién creados como resultado del proceso de migración.

    Captura de pantalla que muestra el registro de flujo de red virtual recién creado como resultado de la migración desde el registro de flujo de grupo de seguridad de red.

  8. Agregue un filtro para enumerar solo los registros de flujo del grupo de seguridad de red de las suscripciones y regiones que elija. Puede omitir este paso si migra solo unos pocos registros de flujo del grupo de seguridad de red.

    Captura de pantalla que muestra cómo usar un filtro para enumerar solo los registros de flujo del grupo de seguridad de red.

  9. Seleccione los registro de flujo que desea eliminar y a continuación, seleccione Eliminar

    Captura de pantalla que muestra cómo seleccionar y eliminar los registros de flujo del grupo de seguridad de red migrados.

  10. Escriba delete (Eliminar) y seleccione Eliminar para confirmar la eliminación.

    Captura de pantalla que muestra cómo confirmar la eliminación de los registros de flujo migrados.

Consideraciones

  • Conjunto de escalado con un equilibrador de carga: el script de migración habilita el registro de flujo de red virtual en la subred que tiene las máquinas virtuales del conjunto de escalado.

    Nota:

    Si el registro de flujo del grupo de seguridad de red no está habilitado en todas las interfaces de red del conjunto de escalado o las interfaces de red no comparten el mismo registro de flujo del grupo de seguridad de red, se crea un registro de flujo de red virtual en la subred con las mismas configuraciones que una de las interfaces de red del conjunto de escalado.

  • PaaS: el script de migración no admite entornos con soluciones PaaS que tienen registros de flujo de grupo de seguridad de red en la suscripción de un usuario, pero los recursos de destino están en suscripciones diferentes. Para estos entornos, debe habilitar manualmente el registro de flujo de red virtual en la red virtual o la subred de la solución PaaS.