Compartir a través de

Reubicación de Azure Firewall en otra región

  • Artículo

En este artículo se muestra cómo reubicar una instancia de Azure Firewall que protege una instancia de Azure Virtual Network.

Requisitos previos

  • Se recomienda usar la SKU Premium. Si está en SKU Estándar, considere la posibilidad de migrar de una SKU estándar existente de Azure Firewall a una SKU Premium antes de ser reubicado.

  • La siguiente información debe recopilarse para planear y ejecutar correctamente una reubicación de Azure Firewall:

    • Modelo de implementación. Reglas de firewall clásicas o Directiva de firewall.
    • Nombre de directiva de firewall. (Si se usa el modelo de implementación de Directiva de firewall).
    • Configuración de diagnóstico en el nivel de instancia del firewall. (Si se usa el área de trabajo de Log Analytics).
    • Configuración de inspección de TLS (Seguridad de la capa de transporte). : (si se usa Azure Key Vault, certificado e identidad administrada).
    • Controle una IP pública. Evalúe que cualquier identidad externa que dependa de la IP pública de Azure Firewall permanezca fija y de confianza.

  • Los niveles Azure Firewall Estándar y Premium tienen las siguientes dependencias que pueden ser necesarias para su implementación en la región de destino:

  • Si usa la característica inspección de TLS del nivel Premium de Azure Firewall, las siguientes dependencias también deben implementarse en la región de destino:

Tiempo de inactividad

Para comprender los posibles tiempos de inactividad que podrían producirse, consulte Cloud Adoption Framework para Azure: Seleccionar un método de reubicación.

Preparación

Para prepararse para la reubicación, primero debe exportar y modificar la plantilla desde la región de origen. Para ver una plantilla de ARM de ejemplo para Azure Firewall, consulte revisar la plantilla.

Exportación de la plantilla

  1. Inicie sesión en Azure Portal.

  2. Seleccione Todos los recursos y, después, seleccione el recurso de Azure Firewall.

  3. En la página Azure Firewall, seleccione Exportar plantilla en Automatización en el menú izquierdo.

  4. Elija Descargar en la página Exportar plantilla.

  5. Busque el archivo ZIP que descargó desde el portal y descomprímalo en la carpeta que prefiera.

    Este archivo ZIP contiene los archivos .json que incluyen la plantilla y los scripts para implementar la plantilla.

Modificación de una plantilla

En esta sección, aprenderá a modificar la plantilla que generó en la sección anterior.

Si está ejecutando reglas de firewall clásicas sin directiva de firewall, migre a la directiva de firewall antes de seguir los pasos de esta sección. Para obtener información sobre cómo migrar de reglas de firewall clásicas a una directiva de firewall, consulte Migración de la configuración de Azure Firewall a la directiva de Azure Firewall mediante PowerShell.

  1. Inicie sesión en Azure Portal.

  2. Si usa la SKU Premium con la inspección de TLS habilitada,

    1. reubique el almacén de claves que se usa para la inspección de TLS en la nueva región de destino. A continuación, siga los procedimientos para mover certificados o generar nuevos certificados para la inspección de TLS en el nuevo almacén de claves de la región de destino.
    2. Reubique la identidad administrada en la nueva región de destino. Reasigna los roles correspondientes para el almacén de claves en la región de destino y la suscripción.

  3. En Azure Portal, haga clic en Crear un recurso.

  4. En Buscar en el Marketplace, escriba template deployment y presione Entrar.

  5. Seleccione Implementación de plantilla y seleccione Crear.

  6. Seleccione Cree su propia plantilla en el editor.

  7. Seleccione Cargar archivo y siga las instrucciones para cargar el archivo template.json que descargó en la sección anterior

  8. En el archivo template.json, reemplace:

    • firewallName con el valor predeterminado del nombre de Azure Firewall.
    • azureFirewallPublicIpId con el identificador de la dirección IP pública en la región de destino.
    • virtualNetworkName con el nombre de la red virtual en la región de destino.
    • firewallPolicy.id con el identificador de directiva.

  9. Cree una nueva directiva de firewall mediante la configuración de la región de origen y refleje los cambios introducidos por la nueva región de destino (intervalos de direcciones IP, IP pública, colecciones de reglas).

  10. Si usa la SKU Premium y quiere habilitar la inspección de TLS, actualice la directiva de firewall recién creada y habilite la inspección de TLS siguiendo las instrucciones que se indican aquí.

  11. Revise y actualice la configuración de los siguientes temas para reflejar los cambios necesarios para la región de destino.

    • Grupos de IP. Para incluir direcciones IP de la región de destino, si son diferentes de las de origen, se deben revisar los grupos de IP. Las direcciones IP incluidas en los grupos deben modificarse.
    • Zonas. Configure las zonas de disponibilidad (AZ) en la región de destino.
    • Tunelización forzada. Asegúrese de que ha reubicado la red virtual y de que la subred de administración del firewall está presente antes de reubicar Azure Firewall. Actualice la dirección IP en la región de destino de la aplicación virtual de red (NVA) a la que Azure Firewall debe redirigir el tráfico, en la ruta definida por el usuario (UDR).
    • DNS. Revise las direcciones IP de los servidores DNS personalizados para reflejar la región de destino. Si la característica Proxy DNS de está habilitada, asegúrese de configurar la configuración del servidor DNS de la red virtual y de establecer la dirección IP privada de Azure Firewall como un servidor DNS personalizado.
    • Intervalos de direcciones IP privadas (SNAT). - Si se definen intervalos personalizados para SNAT, se recomienda revisar y, finalmente, ajustar para incluir el espacio de direcciones de la región de destino.
    • Etiquetas. - Compruebe y actualice eventualmente cualquier etiqueta que pueda reflejar o hacer referencia a la nueva ubicación del firewall.
    • Configuración de diagnóstico. Al volver a crear Azure Firewall en la región de destino, asegúrese de revisar la configuración de diagnóstico y configurarla para reflejar la región de destino (área de trabajo de Log Analytics, cuenta de almacenamiento, centro de eventos o solución de asociado de terceros).

  12. Edite la propiedad location del archivo template.json en la región de destino (en el siguiente ejemplo se establece la región de destino en centralus).:

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Para buscar el código de ubicación de la región de destino, consulte Residencia de datos en Azure.

  1. Guarde el archivo template.json.

Volver a implementar

Implemente la plantilla para crear un nuevo Azure Firewall en la región de destino.

  1. Escriba o seleccione los valores de propiedad:

    • Suscripción: Seleccione una suscripción de Azure.

    • Grupo de recursos: Seleccione Crear nuevo y asígnele un nombre al grupo de recursos.

    • Ubicación: Seleccione una ubicación de Azure.

  2. Azure Firewall ahora se implementa con la configuración adoptada para reflejar los cambios necesarios en la región de destino.

  3. Compruebe la configuración y la funcionalidad.