Reubicación del grupo de seguridad de red (NSG) de Azure en otra región
Este artículo enseña cómo reubicar un NSG en una nueva región creando una copia de la configuración de origen y las reglas de seguridad del NSG en otra región.
Asegúrese de que el grupo de seguridad de red de Azure está en la región de Azure de destino.
Asocie el nuevo NSG a los recursos de la región de destino.
Para exportar una configuración de NSG e implementar una plantilla para crear un NSG en otra región, necesitará el rol de colaborador de red u otro superior.
Identifique el diseño de red de origen y todos los recursos que está usando actualmente. Este diseño incluye, entre otros, los equilibradores de carga, las direcciones IP públicas y las redes virtuales.
Compruebe que su suscripción de Azure permite crear grupos NSG en la región de destino. Para habilitar la cuota necesaria, póngase en contacto con el soporte técnico.
Asegúrese de que la suscripción tiene suficientes recursos para admitir la adición de grupos NSG para este proceso. Vea Límites, cuotas y restricciones de suscripción y servicios de Microsoft Azure.
Para comprender los posibles tiempos de inactividad que podrían producirse, consulte Cloud Adoption Framework para Azure: Seleccionar un método de reubicación.
En los pasos siguientes se muestra cómo preparar el grupo de seguridad de red para mover las reglas de configuración y seguridad mediante una plantilla de Resource Manager y cómo mover dichas reglas a la región de destino mediante el portal.
Exportar y modificar una plantilla mediante Azure Portal:
Inicie sesión en Azure Portal.
Seleccione Todos los recursos y seleccione su cuenta de almacenamiento.
Seleccione >Automation>Exportar plantilla.
En la hoja Exportar plantilla, elija Implementar.
Seleccione PLANTILLA>Editar parámetros para abrir el archivo parameters.json en el editor en línea.
Para editar el parámetro del nombre de NSG, cambie la propiedad value en parameters:
{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#", "contentVersion": "1.0.0.0", "parameters": { "networkSecurityGroups_myVM1_nsg_name": { "value": "<target-nsg-name>" } } }
Cambie el valor del NSG de origen en el editor por un nombre de su elección para el NSG de destino. Asegúrese de escribir el nombre entre comillas.
Seleccione Guardar en el editor.
Seleccione PLANTILLA>Editar plantilla para abrir el archivo template.json en el editor en línea.
Para editar la región de destino donde se van a mover las reglas de configuración y seguridad de NSG, vaya al editor en línea y cambie la propiedad location en resources:
"resources": [ { "type": "Microsoft.Network/networkSecurityGroups", "apiVersion": "2019-06-01", "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]", "location": "<target-region>", "properties": { "provisioningState": "Succeeded", "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78", } } ]
Para obtener los códigos de ubicación de la región, consulte Ubicaciones de Azure. El código de una región es el nombre de la región sin espacios, Centro de EE. UU. = centralus.
También puede cambiar otros parámetros de la plantilla si así lo desea; son opcionales según sus requisitos:
Reglas de seguridad: puede editar las reglas que se implementan en el NSG de destino agregando o quitando reglas en la sección securityRules del archivo template.json:
"resources": [ { "type": "Microsoft.Network/networkSecurityGroups", "apiVersion": "2019-06-01", "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]", "location": "<target-region>", "properties": { "provisioningState": "Succeeded", "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78", "securityRules": [ { "name": "RDP", "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"", "properties": { "provisioningState": "Succeeded", "protocol": "TCP", "sourcePortRange": "*", "destinationPortRange": "3389", "sourceAddressPrefix": "*", "destinationAddressPrefix": "*", "access": "Allow", "priority": 300, "direction": "Inbound", "sourcePortRanges": [], "destinationPortRanges": [], "sourceAddressPrefixes": [], "destinationAddressPrefixes": [] } }, ] }
Para completar la adición o la eliminación de las reglas en el NSG de destino, también debe editar los tipos de reglas personalizadas al final del archivo template.json en el formato del ejemplo siguiente:
{ "type": "Microsoft.Network/networkSecurityGroups/securityRules", "apiVersion": "2019-06-01", "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]", "dependsOn": [ "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]" ], "properties": { "provisioningState": "Succeeded", "protocol": "*", "sourcePortRange": "*", "destinationPortRange": "80", "sourceAddressPrefix": "*", "destinationAddressPrefix": "*", "access": "Allow", "priority": 310, "direction": "Inbound", "sourcePortRanges": [], "destinationPortRanges": [], "sourceAddressPrefixes": [], "destinationAddressPrefixes": [] }
Seleccione Guardar en el editor en línea.
Haga clic en ASPECTOS BÁSICOS>Suscripción para elegir la suscripción en la que se implementará el NSG de destino.
Haga clic en ASPECTOS BÁSICOS>Grupo de recursos para elegir el grupo de recursos donde se implementará el NSG de destino. Puede hacer clic en Crear nuevo para crear un grupo de recursos para el NSG de destino. Asegúrese de que el nombre no sea el mismo que el del grupo de recursos de origen del NSG existente.
Compruebe que ASPECTOS BÁSICOS>Ubicación está establecida en la ubicación de destino en donde quiere que se implemente el NSG.
En CONFIGURACIÓN, compruebe que el nombre coincide con el nombre que especificó en el editor de parámetros anterior.
Marque la casilla en TÉRMINOS Y CONDICIONES.
Haga clic en el botón Comprar para implementar el NSG de destino.
Si quiere descartar el NSG de destino, elimine el grupo de recursos que lo contiene. Para ello, en el portal, seleccione el grupo de recursos en el panel y, luego, Eliminar en la parte superior de la página de información general.
Para confirmar los cambios y completar el movimiento del NSG, elimine el NSG de origen o el grupo de recursos. Para ello, en el portal, seleccione el grupo de seguridad de red o el grupo de recursos en el panel y, luego, Eliminar en la parte superior de cada página.
En este tutorial, ha movido un grupo de seguridad de red de Azure de una región a otra y ha limpiado los recursos de origen. Para obtener más información sobre cómo trasladar recursos entre regiones y la recuperación ante desastres en Azure, consulte: