Migración de registros de flujo del grupo de seguridad de red a registros de flujo de red virtual
Importante
El 30 de septiembre de 2027, se retirarán los registros de flujo del grupo de seguridad de red (NSG). Como parte de esta retirada, ya no podrá crear nuevos registros de flujo de NSG a partir del 30 de junio de 2025. Se recomienda migrar a los registros de flujo de red virtual, lo que supera las limitaciones de los registros de flujo de NSG. Después de la fecha de retirada, el análisis de tráfico habilitado con los registros de flujo de NSG ya no se admitirá y se eliminarán los recursos de registros de flujo de NSG existentes en las suscripciones. Sin embargo, los registros de flujo de NSG no se eliminarán y seguirán siguiendo sus respectivas directivas de retención. Para obtener más información, consulte el anuncio oficial.
En este artículo, aprenderá a migrar los registros de flujo del grupo de seguridad de red existentes a los registros de flujo de red virtual mediante un script de migración. Los registros de flujo de red virtual superan algunas de las limitaciones de los registros de flujo del grupo de seguridad de red. Para obtener más información, consulte Registros de flujo de red virtual.
Nota:
Use el script de migración:
- cuando no tiene habilitado el registro de flujo en todas las interfaces de red o subredes de una red virtual y no desea habilitar el registro de flujo de red virtual en todas ellas o
- cuando los registros de flujo del grupo de seguridad de red de una red virtual tienen configuraciones diferentes y quiere crear registros de flujo de red virtual con esas configuraciones diferentes como los registros de flujo del grupo de seguridad de red.
Uso de Azure Policy:
- cuando tiene el mismo grupo de seguridad de red aplicado a todas las interfaces de red o subredes de una red virtual,
- cuando tiene las mismas configuraciones de registro de flujo del grupo de seguridad de red para todas las interfaces de red o subredes de una red virtual o
- cuando desee habilitar el registro de flujo de red virtual en el nivel de red virtual.
Para obtener más información, consulte Implementación y configuración de registros de flujo de red virtual mediante una directiva integrada.
Requisitos previos
Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
PowerShell 7 instalado en el equipo. Para más información, consulte Instalación de PowerShell en Windows, Linux y macOS. En este artículo se necesita el módulo Az de PowerShell. Para más información, vea Procedimiento para instalar Azure PowerShell. Ejecute
Get-Module -ListAvailable Az
para ver cuál es la versión instalada.Permisos de RBAC necesarios para las suscripciones de los registros de flujo y las áreas de trabajo de Log Analytics (si el análisis de tráfico está habilitado para cualquiera de los registros de flujo del grupo de seguridad de red). Para más información, consulte permisos de Network Watcher.
Registros de flujo del grupo de seguridad de red en una región o más. Para obtener más información, consulte Creación de registros de flujo del grupo de seguridad de red.
Generar un script de migración
En esta sección, aprenderá a generar y descargar los archivos de migración para los registros de flujo de grupo de seguridad de red que desea migrar.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.
En Registros, seleccione Migrar registro de flujo.
Seleccione las suscripciones que contienen los registros de flujo de grupo de seguridad de red que desea migrar.
Para cada suscripción, seleccione las regiones que contienen los registros de flujo que desea migrar. El Total de registros de flujo de NSG muestra el número total de registros de flujo que se encuentran en las suscripciones seleccionadas. Los registros de flujo de NSG seleccionados muestran el número de registros de flujo en las regiones seleccionadas.
Después de elegir las suscripciones y regiones, seleccione Descargar script y archivo JSON para descargar los archivos de migración como un archivo ZIP.
Extraiga el archivo
MigrateFlowLogs.zip
en su máquina local. El archivo zip contiene estos dos archivos:- un archivo de script:
MigrationFromNsgToAzureFlowLogging.ps1
- un archivo JSON:
RegionSubscriptionConfig.json
.
- un archivo de script:
Ejecutar script de migración
En esta sección, aprenderá a usar el archivo de script que descargó en la sección anterior para migrar los registros de flujo de grupo de seguridad de red.
Importante
Una vez que empiece a ejecutar el script, no realice ningún cambio en la topología en las regiones y suscripciones de los registros de flujo que vaya a migrar.
Ejecute el archivo de script
MigrationFromNsgToAzureFlowLogging.ps1
.Escriba 1 para la opción Ejecutar análisis.
.\MigrationFromNsgToAzureFlowLogging.ps1 Select one of the following options for flowlog migration: 1. Run analysis 2. Delete NSG flowlogs 3. Quit
Escriba el nombre del archivo JSON.
Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json
Escriba el número de subprocesos o déjelo en blanco para usar el valor predeterminado de 16.
Please enter the number of threads you would like to use, press enter for using default value of 16:
Una vez completado el análisis, verá el informe de análisis en pantalla y en un archivo HTML en el mismo directorio de los archivos de migración. El informe enumera el número de registros de flujo de grupo de seguridad de red que se deshabilitarán y el número de registros de flujo de red virtual que se crean para reemplazarlos. El número de registros de flujo de red virtual que se crean depende del tipo de migración que se elija. Por ejemplo, si el grupo de seguridad de red que va a migrar su registro de flujo está asociado a tres interfaces de red de la misma red virtual, puede elegir migración con agregación para que se aplique un único recurso de registro de flujo de red virtual a la red virtual. También puede elegir migración sin agregación para tener tres registros de flujo de red virtual (un recurso de registro de flujo de red virtual por interfaz de red).
Nota:
Consulte el archivo
AnalysisReport-<subscriptionId>-<region>-<time>.html
para obtener un informe completo del análisis que realizó. El archivo está disponible en el mismo directorio del script.Escriba 2 o 3 para elegir el tipo de migración que desea realizar.
Select one of the following options for flowlog migration: 1. Re-Run analysis 2. Proceed with migration with aggregation 3. Proceed with migration without aggregation 4. Quit
Después de ver el resumen de la migración en pantalla, es posible cancelar la migración y revertir los cambios. Para aceptar la migración y proceder con ella, escriba n; de lo contrario, escriba y. Una vez que acepte los cambios, no podrá revertirlos.
Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n
Nota:
Mantenga los archivos de informe de script y análisis como referencia en caso de que tenga problemas con la migración.
Compruebe Azure Portal para confirmar que el estado de los registros de flujo de grupo de seguridad de red que migró se deshabilitó. Compruebe también los registros de flujo de red virtual recién creados como resultado del proceso de migración.
Agregue un filtro para enumerar solo los registros de flujo del grupo de seguridad de red de las suscripciones y regiones que elija. Puede omitir este paso si migra solo unos pocos registros de flujo del grupo de seguridad de red.
Seleccione los registro de flujo que desea eliminar y a continuación, seleccione Eliminar
Escriba delete (Eliminar) y seleccione Eliminar para confirmar la eliminación.
Consideraciones
Conjunto de escalado con un equilibrador de carga: el script de migración habilita el registro de flujo de red virtual en la subred que tiene las máquinas virtuales del conjunto de escalado.
Nota:
Si el registro de flujo del grupo de seguridad de red no está habilitado en todas las interfaces de red del conjunto de escalado o las interfaces de red no comparten el mismo registro de flujo del grupo de seguridad de red, se crea un registro de flujo de red virtual en la subred con las mismas configuraciones que una de las interfaces de red del conjunto de escalado.
PaaS: el script de migración no admite entornos con soluciones PaaS que tienen registros de flujo de grupo de seguridad de red en la suscripción de un usuario, pero los recursos de destino están en suscripciones diferentes. Para estos entornos, debe habilitar manualmente el registro de flujo de red virtual en la red virtual o la subred de la solución PaaS.