Configurer la maintenance contrôlée par le client pour le Pare-feu Azure

Cet article explique comment configurer des fenêtres de maintenance contrôlées par le client pour le Pare-feu Azure. Il fournit des instructions pas à pas pour planifier la maintenance à l’aide du portail Azure ou de PowerShell.

Le Pare-feu Azure est un service de sécurité réseau managé et cloud conçu pour protéger les ressources Azure Virtual Network et Azure Virtual WAN. Les mises à niveau régulières sont essentielles pour garantir que le service reste efficace contre les cybermenaces émergentes, est conforme aux exigences réglementaires et intègre les fonctionnalités les plus récentes, les améliorations de sécurité et les améliorations des performances.

Les mises à niveau sont généralement planifiées pendant les heures creuses pour réduire les interruptions des opérations métier critiques et réduire les temps d’arrêt des applications. Bien que de nombreuses applications modernes puissent gérer des interruptions réseau temporaires par le biais de connexions automatiques, les applications héritées telles que SAP et Azure Virtual Desktop (AVD) peuvent nécessiter des connexions persistantes. Ces applications sont plus sensibles aux suppressions de connexion, ce qui peut entraîner des interruptions pendant les processus de mise à niveau et affecter la continuité de l’activité. Pour résoudre ce problème, le Pare-feu Azure prend désormais en charge les fenêtres de maintenance quotidienne configurables, ce qui vous permet d’aligner les planifications de mise à niveau avec vos besoins opérationnels.

Pour plus d’informations sur les limitations et les questions fréquemment posées sur la maintenance contrôlée par le client, consultez le FAQ sur le pare-feu Azure.

Configuration de maintenance

portail Azure

Tout d’abord, vous devez inscrire le fournisseur de ressources Microsoft.Maintenance Azure.

Register-AzResourceProvider -ProviderNamespace Microsoft.Maintenance

Ensuite, vous pouvez configurer la maintenance contrôlée par le client dans le portail Azure à l’aide de deux méthodes :

• À partir de la ressource pare-feu Azure : cette méthode vous permet de configurer la maintenance directement pour un pare-feu Azure spécifique.
• À partir de la page configurations de maintenance : cette méthode vous permet de créer une configuration de maintenance qui peut être appliquée à plusieurs pare-feu Azure, offrant une plus grande flexibilité et efficacité.

Configurer la maintenance à partir de la ressource pare-feu Azure

Procédez comme suit pour créer une configuration de maintenance directement à partir de la ressource pare-feu Azure :

1. Dans le portail Azure, accédez à la ressource de pare-feu pour laquelle vous souhaitez créer une configuration de maintenance.

2. Dans la page Pare-feu Azure , accédez à Paramètres et sélectionnez Maintenance.

3. Sélectionnez + Ajouter une configuration pour ouvrir la page Configurer le contrôle de maintenance .

   

4. Dans le panneau de configuration, choisissez une configuration existante dans le menu déroulant ou créez une configuration.

5. Entrez un nom descriptif pour la configuration de maintenance et sélectionnez Modifier la planification. Définissez une planification de maintenance d’au moins 5 heures périodiques quotidiennes et sélectionnez Enregistrer.

   

6. Sélectionnez Activer pour appliquer la configuration de maintenance sur la ressource pare-feu Azure.

Terminez la configuration si nécessaire pour vous aligner sur vos besoins opérationnels.

Configurer dans les configurations de maintenance

Procédez comme suit pour créer une configuration de maintenance dans le portail Azure à l’aide de la page Configurations de maintenance :

1. Dans le portail Microsoft Azure, recherchez les configurations de maintenance.

2. Dans la page Configurations de maintenance , sélectionnez + Créer pour ouvrir la page Créer une configuration de maintenance .

   

3. Sous l’onglet Informations de base , fournissez les détails suivants :

   • Abonnement : sélectionnez votre abonnement.
   • Groupe de ressources : choisissez le groupe de ressources où se trouvent vos ressources.
   • Nom de la configuration : entrez un nom descriptif pour la configuration de maintenance.
   • Région : sélectionnez la même région que vos ressources de pare-feu.
   • Étendue de maintenance : choisissez la ressource dans la liste déroulante.
   • Sous-étendue de maintenance : sélectionnez Sécurité réseau dans la liste déroulante.

4. Sélectionnez Ajouter une planification pour définir la planification de maintenance.

   Remarque

   La fenêtre de maintenance doit avoir au moins 5 heures de durée.

5. Après avoir spécifié la planification, sélectionnez Enregistrer.

6. Accédez à l’onglet Ressources . Sélectionnez + Ajouter des ressources pour associer des ressources à la configuration de maintenance. Vous pouvez ajouter des ressources pendant le processus de création ou plus tard. Pour cet exemple, vous ajoutez des ressources pendant la création de la configuration.

7. Dans la page Sélectionner des ressources , vérifiez que vos ressources sont répertoriées. Si ce n’est pas le cas, vérifiez que la région et l’étendue de maintenance appropriées sont sélectionnées. Choisissez les ressources à inclure dans la configuration de maintenance, puis sélectionnez Enregistrer.

   

8. Sélectionnez Vérifier + Créer pour valider la configuration. Une fois la validation réussie, sélectionnez Créer pour finaliser l’installation.

Afficher les ressources associées

Procédez comme suit pour afficher les ressources liées à une configuration de maintenance :

1. Accédez à la page Configurations de maintenance dans le portail Azure.
2. Sélectionnez la configuration de maintenance à inspecter.
3. Dans le menu de gauche, accédez à Paramètres et sélectionnez Ressources. La page Ressources s’ouvre, où vous pouvez voir toutes les ressources associées à la configuration de maintenance sélectionnée.

Ajouter des ressources

Pour ajouter des ressources à une configuration de maintenance existante, procédez comme suit :

1. Accédez à la page Configurations de maintenance dans le portail Azure.
2. Sélectionnez la configuration de maintenance à modifier.
3. Dans le menu de gauche, accédez à Paramètres et sélectionnez Ressources. La page Ressources s’ouvre, où vous pouvez afficher toutes les ressources associées à la configuration de maintenance sélectionnée.
4. Dans la page Ressources , sélectionnez + Ajouter pour inclure une nouvelle ressource dans la configuration de maintenance.

Supprimer des ressources

Pour supprimer les ressources associées à une configuration de maintenance, procédez comme suit :

1. Accédez à la page Configurations de maintenance dans le portail Azure.
2. Sélectionnez la configuration de maintenance à partir de laquelle vous souhaitez supprimer des ressources.
3. Dans le menu de gauche, accédez à Paramètres et sélectionnez Ressources pour ouvrir la page Ressources et afficher les ressources associées.
4. Dans la page Ressources , sélectionnez la ressource à supprimer, puis sélectionnez Supprimer.
5. Dans la boîte de dialogue de confirmation, sélectionnez Oui pour finaliser la suppression.

PowerShell

Procédez comme suit pour affecter la stratégie aux ressources. Si vous débutez avec Azure PowerShell, consultez Prise en main d’Azure PowerShell.

1. Définissez le contexte de l’abonnement.

   set-AzContext -Subscription 'Subscription ID’
   

2. Inscrivez le fournisseur de ressources Azure.

   Register-AzResourceProvider -ProviderNamespace Microsoft.Maintenance
   

3. Créez une configuration de maintenance en utilisant l’applet de commande New-AzMaintenanceConfiguration.

   • La -Duration fenêtre doit être minimale de cinq heures.
   • C’est -RecurEvery par jour.
   • Pour les options de fuseau horaire, consultez Fuseaux horaires.

   New-AzMaintenanceConfiguration -ResourceGroupName <rgName> -Name <configurationName> -Location <arm location of resource> -MaintenanceScope Resource -ExtensionProperty @{"maintenanceSubScope"="NetworkSecurity"} -StartDateTime "<date in YYYY-MM-DD HH:mm format>" -TimeZone "<Selected Time Zone>" -Duration "<Duration in HH:mm format>" -Visibility "Custom" -RecurEvery Day
   

4. Enregistrez la configuration de maintenance sous la forme d’une variable nommée $config.

   $config = Get-AzMaintenanceConfiguration -ResourceGroupName <rgName> -Name <configurationName>
   

5. Enregistrez la ressource de service sous la forme d’une variable nommée $serviceResource.

6. Créez l'affectation de configuration de maintenance à l'aide de la cmdlet New-AzConfigurationAssignment. La stratégie de maintenance est appliquée à la ressource dans les 24 heures.

   New-AzConfigurationAssignment -ResourceGroupName <rgName> -ProviderName "Microsoft.Network" -ResourceType "<your resource's resource type per ARM. For example, azureFirewalls>" -ResourceName "<your resource's name>" -ConfigurationAssignmentName "<assignment name>" -ResourceId $serviceResource.Id -MaintenanceConfigurationId $config.Id -Location "<arm location of resource>"
   

7. Pour supprimer une attribution de configuration :

   • Une attribution de configuration est supprimée automatiquement si la configuration ou la ressource est supprimée.
   • Si vous souhaitez supprimer manuellement une attribution de configuration de la configuration de maintenance vers une ressource, utilisez l’applet Remove-AzConfigurationAssignment de commande.

   Remove-AzConfigurationAssignment -ResourceGroupName <rgName> -ProviderName "Microsoft.Network" -ResourceType "<your resource's resource type per ARM. For example, azureFirewalls>" -ResourceName "<your resource's name>" -ConfigurationAssignmentName "<assignment name>"
   

CLI

Procédez comme suit pour affecter la stratégie aux ressources. Si vous débutez avec Azure CLI, consultez Prise en main d’Azure CLI.

1. Définissez le contexte de l’abonnement.

   az account set --subscription "<subscription id>"
   

2. Inscrivez le fournisseur de ressources Azure.

   az provider register --namespace Microsoft.Maintenance
   

3. Créez une configuration de maintenance à l’aide de la az maintenance configuration create commande.

   • Définit --location pour spécifier la région Azure pour la configuration de maintenance.
   • Définit la valeur --maintenance-scopeResource.
   • Définit la propriété d’extension à maintenanceSubScope=NetworkSecurity en utilisant --extension-properties.
   • Définit la --maintenance-window-duration longueur de la fenêtre de maintenance (doit avoir au moins cinq heures, format : HH :mm).
   • Définit le --maintenance-window-start-date-time pour spécifier quand la fenêtre de maintenance commence (format : AAAA-MM-DD HH:MM).
   • Définit la --maintenance-window-expiration-date-time valeur à spécifier lorsque la fenêtre de maintenance expire (format : AAAA-MM-DD HH :MM).
   • Définit --maintenance-window-recur-every sur Day pour une répétition quotidienne.
   • Définit le --maintenance-window-time-zone fuseau horaire pour la planification. Pour les fuseaux horaires disponibles, consultez Fuseaux horaires.
   • Définit la valeur --namespaceMicrosoft.Maintenance.
   • Définit la valeur --visibilityCustom.
   • Définit --resource-group pour spécifier le groupe de ressources.
   • Définit le --resource-name pour spécifier le nom de la configuration de maintenance.

   az maintenance configuration create \
       --location "centraluseuap" \
       --maintenance-scope "Resource" \
       --maintenance-window-duration "HH:mm" \
       --maintenance-window-start-date-time "YYYY-MM-DD HH:MM" \
       --maintenance-window-expiration-date-time "YYYY-MM-DD HH:MM" \
       --maintenance-window-recur-every "Day" \
       --maintenance-window-time-zone "Pacific Standard Time" \
       --namespace "Microsoft.Maintenance" \
       --visibility "Custom" \
       --resource-group "<rg name>" \
       --resource-name "<config name>" \
       --extension-properties maintenanceSubScope=NetworkSecurity
   

   Remarque

   L’ID de ressource de la configuration de maintenance s’affiche dans la sortie de la commande ci-dessus. Utilisez cette valeur pour --maintenance-configuration-id à l’étape suivante.

4. Créez l’affectation de configuration de maintenance en utilisant la commande az maintenance assignment create. La stratégie de maintenance est appliquée à la ressource dans les 24 heures.

   az maintenance assignment create \
       --maintenance-configuration-id "<config resource id>" \
       --name "<assignment name>" \
       --provider-name "Microsoft.Network" \
       --resource-group "<firewall rg name>" \
       --resource-name "<firewall name>" \
       --resource-type "azureFirewalls"
   

Supprimer une attribution de configuration

Pour supprimer manuellement une attribution de configuration d’une ressource, utilisez la az maintenance assignment delete commande.

az maintenance assignment delete \
    --resource-group "<firewall rg name>" \
    --resource-name "<firewall name>" \
    --resource-type "azureFirewalls" \
    --provider-name "Microsoft.Network" \
    --name "<assignment name>"

Afficher une attribution de configuration

Pour afficher une attribution de configuration de maintenance à l’aide d’Azure CLI, utilisez la commande suivante :

az maintenance configuration show \
    --resource-group "<resource-group-name>" \
    --resource-name "<configuration-name>"

Remplacez <resource-group-name> par votre groupe de ressources et <configuration-name> par votre nom de configuration de maintenance.

Étapes suivantes

Pour explorer les fonctionnalités les plus récentes dans le Pare-feu Azure, consultez les fonctionnalités en préversion du Pare-feu Azure.