Déplacer un groupe de sécurité réseau (NSG) Azure vers une autre région

Cet article explique comment déplacer un NSG vers une nouvelle région en créant une copie de la configuration source et des règles de sécurité du NSG dans une autre région.

Prérequis

• Assurez-vous que le groupe de sécurité réseau Azure se trouve dans la région Azure cible.

• Associez le nouveau NSG à des ressources dans la région cible.

• Pour exporter une configuration de groupe de sécurité réseau et déployer un modèle afin de créer un groupe de sécurité réseau dans une autre région, vous devez disposer au minimum du rôle Contributeur de réseaux.

• Identifiez la topologie du réseau source et toutes les ressources que vous utilisez actuellement. Cette disposition comprend notamment les équilibreurs de charge, les adresses IP publiques et les réseaux virtuels.

• Vérifiez que votre abonnement Azure vous permet de créer des groupes de sécurité réseau dans la région cible utilisée. Contactez le support pour activer le quota requis.

• Vérifiez que votre abonnement dispose de suffisamment de ressources pour prendre en charge l’ajout de groupes de sécurité réseau pour ce processus. Consultez Abonnement Azure et limites, quotas et contraintes de service.

Temps d’arrêt

Pour comprendre les temps d’arrêt possibles impliqués, consultez Cloud Adoption Framework pour Azure : sélectionnez une méthode de relocalisation.

Préparer

Les étapes suivantes montrent comment préparer le groupe de sécurité réseau pour le déplacement de la configuration et de la règle de sécurité à l’aide d’un modèle Resource Manager et comment déplacer la configuration et les règles de sécurité du groupe de sécurité réseau vers la région cible à l’aide du portail.

Exporter et modifier un modèle

Portail

Pour exporter et modifier un modèle à l’aide du Portail Azure :

1. Connectez-vous au portail Azure.

2. Choisissez Toutes les ressources, puis sélectionnez votre compte de stockage.

3. Sélectionnez >Automatisation>Exporter le modèle.

4. Choisissez Déployer dans le panneau Exporter le modèle.

5. Sélectionnez MODÈLE>Modifier les paramètres pour ouvrir le fichier parameters.json dans l’éditeur en ligne.

6. Pour modifier le paramètre du nom du groupe de sécurité réseau, modifiez la propriété value sous parameters :

           {
           "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
           "contentVersion": "1.0.0.0",
           "parameters": {
           "networkSecurityGroups_myVM1_nsg_name": {
              "value": "<target-nsg-name>"
               }
              }
           }
   

7. Remplacez la valeur du groupe de sécurité réseau source dans l’éditeur par le nom de votre choix pour le groupe de sécurité réseau cible. Veillez à placer le nom entre guillemets.

8. Sélectionnez Enregistrer dans l’éditeur.

9. Sélectionnez MODÈLE>Modifier le modèle pour ouvrir le fichier template.json dans l’éditeur en ligne.

10. Pour modifier la région cible où la configuration et les règles de sécurité du groupe de sécurité réseau seront déplacées, modifiez la propriété location sous resources dans l’éditeur en ligne :

            "resources": [
            {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2019-06-01",
            "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
            "location": "<target-region>",
            "properties": {
                "provisioningState": "Succeeded",
                "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
             }
            }
           ]
    
    

11. Pour obtenir les codes d’emplacement des régions, consultez Emplacements Azure. Le code d’une région est le nom de la région sans espace, USA Centre = centralus.

12. Vous pouvez également changer d’autres paramètres dans le modèle ; ces paramètres sont facultatifs en fonction de vos besoins :

    • Règles de sécurité : vous pouvez modifier les règles déployées dans le groupe de sécurité réseau cible en ajoutant ou en supprimant des règles dans la section securityRules du fichier template.json :

         "resources": [
          {
          "type": "Microsoft.Network/networkSecurityGroups",
          "apiVersion": "2019-06-01",
          "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
          "location": "<target-region>",
          "properties": {
              "provisioningState": "Succeeded",
              "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
              "securityRules": [
                  {
                      "name": "RDP",
                      "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                      "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                           }
                  },
              ]
          }
      

      Pour terminer l’ajout ou la suppression des règles dans le groupe de sécurité réseau cible, vous devez également modifier les types de règles personnalisées à la fin du fichier template.json selon le format de l’exemple ci-dessous :

           {
            "type": "Microsoft.Network/networkSecurityGroups/securityRules",
            "apiVersion": "2019-06-01",
            "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
            "dependsOn": [
                "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
            ],
            "properties": {
                "provisioningState": "Succeeded",
                "protocol": "*",
                "sourcePortRange": "*",
                "destinationPortRange": "80",
                "sourceAddressPrefix": "*",
                "destinationAddressPrefix": "*",
                "access": "Allow",
                "priority": 310,
                "direction": "Inbound",
                "sourcePortRanges": [],
                "destinationPortRanges": [],
                "sourceAddressPrefixes": [],
                "destinationAddressPrefixes": []
            }
      

13. Sélectionnez Enregistrer dans l’éditeur en ligne.

PowerShell

Pour exporter et modifier un modèle à l’aide de PowerShell :

1. Connectez-vous à votre abonnement Azure avec la commande Connect-AzAccount et suivez les instructions qui s'affichent à l’écran :

   Connect-AzAccount
   

2. Obtenez l’ID de ressource du groupe de sécurité réseau que vous souhaitez déplacer vers la région cible, puis placez-le dans une variable à l’aide de Get-AzNetworkSecurityGroup :

   $sourceNSGID = (Get-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>).Id
   
   

3. Exportez le groupe de sécurité réseau source vers un fichier .json dans le répertoire où vous exécutez la commande Export-AzResourceGroup :

   Export-AzResourceGroup -ResourceGroupName <source-resource-group-name> -Resource $sourceNSGID -IncludeParameterDefaultValue
   

4. Le fichier téléchargé est nommé d’après le groupe de ressources à partir duquel la ressource a été exportée. Recherchez le fichier nommé <resource-group-name>.json qui a été exporté à partir de la commande, et ouvrez-le dans l’éditeur de votre choix :

   notepad <source-resource-group-name>.json
   

5. Pour modifier le paramètre du nom de groupe de sécurité réseau, remplacez la propriété defaultValue par le nom de votre groupe de sécurité réseau cible, en veillant à placer le nom entre guillemets :

           {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "networkSecurityGroups_myVM1_nsg_name": {
           "defaultValue": "<target-nsg-name>",
           "type": "String"
           }
       }
   
   

6. Pour modifier la région cible où la configuration et les règles de sécurité du groupe de sécurité réseau seront déplacées, modifiez la propriété location sous resources :

           "resources": [
           {
           "type": "Microsoft.Network/networkSecurityGroups",
           "apiVersion": "2019-06-01",
           "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
           "location": "<target-region>",
           "properties": {
               "provisioningState": "Succeeded",
               "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78", 
            }
           }
   

7. Pour obtenir les codes d’emplacement des régions, vous pouvez utiliser l’applet de commande Azure PowerShell Get-AzLocation en exécutant la commande suivante :

   
   Get-AzLocation | format-table
   
   

8. Vous pouvez également modifier d’autres paramètres dans le fichier <nom_groupe_de_ressources>.json ; ces paramètres sont facultatifs en fonction de vos besoins :

   • Règles de sécurité : vous pouvez modifier les règles déployées dans le groupe de sécurité réseau cible en ajoutant ou en supprimant des règles dans la section securityRules du fichier <nom_groupe_de_ressources>.json :

        "resources": [
               {
               "type": "Microsoft.Network/networkSecurityGroups",
               "apiVersion": "2019-06-01",
               "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
               "location": "TARGET REGION",
               "properties": {
                    "provisioningState": "Succeeded",
                    "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
               "securityRules": [
                 {
                     "name": "RDP",
                     "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                     "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                         }
                     ]
         }  
     
     

     Pour terminer l’ajout ou la suppression des règles dans le groupe de sécurité réseau cible, vous devez également modifier les types de règles personnalisées à la fin du fichier <nom_groupe_de_ressources>.json selon le format de l’exemple ci-dessous :

        {
         "type": "Microsoft.Network/networkSecurityGroups/securityRules",
         "apiVersion": "2019-06-01",
         "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
         "dependsOn": [
             "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
         ],
         "properties": {
             "provisioningState": "Succeeded",
             "protocol": "*",
             "sourcePortRange": "*",
             "destinationPortRange": "80",
             "sourceAddressPrefix": "*",
             "destinationAddressPrefix": "*",
             "access": "Allow",
             "priority": 310,
             "direction": "Inbound",
             "sourcePortRanges": [],
             "destinationPortRanges": [],
             "sourceAddressPrefixes": [],
             "destinationAddressPrefixes": []
         }
     

9. Enregistrez le fichier <resource-group-name>.json.

Redeploy

Portail

1. Sélectionnez DE BASE>Abonnement pour choisir l’abonnement dans lequel le NSG sera déployé.

2. Sélectionnez DE BASE>Groupe de ressources pour choisir le groupe de ressources dans lequel le NSG sera déployé. Vous pouvez cliquer sur Créer pour créer un groupe de ressources pour le groupe de sécurité réseau cible. Vérifiez que le nom n’est pas identique à celui du groupe de ressources source du groupe de sécurité réseau existant.

3. Sélectionnez DE BASE>Emplacement est défini sur l’emplacement cible dans lequel vous souhaitez déployer le NSG.

4. Sous PARAMÈTRES, vérifiez que le nom correspond à celui que vous avez entré dans l’éditeur de paramètres ci-dessus.

5. Cochez la case sous CONDITIONS GÉNÉRALES.

6. Sélectionnez le bouton Acheter pour déployer le groupe de sécurité réseau cible.

PowerShell

1. Créez un groupe de ressources dans la région cible pour le groupe de sécurité réseau cible à déployer à l’aide de New-AzResourceGroup :

   New-AzResourceGroup -Name <target-resource-group-name> -location <target-region>
   

2. Déployez le fichier <nom_groupe_de_ressources>.json modifié sur le groupe de ressources créé à l’étape précédente à l’aide de New-AzResourceGroupDeployment :

   
   New-AzResourceGroupDeployment -ResourceGroupName <target-resource-group-name> -TemplateFile <source-resource-group-name>.json
   
   

3. Pour vérifier que les ressources ont été créées dans la région cible, utilisez Get-AzResourceGroup et Get-AzNetworkSecurityGroup :

   
   Get-AzResourceGroup -Name <target-resource-group-name>
   
   

   
   Get-AzNetworkSecurityGroup -Name <target-nsg-name> -ResourceGroupName <target-resource-group-name>
   
   

Abandonner

Portail

Si vous souhaitez abandonner le groupe de sécurité réseau cible, supprimez le groupe de ressources contenant le groupe de sécurité réseau cible. Pour ce faire, sélectionnez le groupe de ressources à partir de votre tableau de bord dans le portail, puis sélectionnez Supprimer en haut de la page de vue d’ensemble.

PowerShell

Après le déploiement, si vous souhaitez recommencer ou ignorer le groupe de sécurité réseau dans la cible, supprimez le groupe de ressources qui a été créé dans la cible et le groupe de sécurité réseau déplacé sera supprimé. Pour supprimer le groupe de ressources, utilisez Remove-AzResourceGroup :

Remove-AzResourceGroup -Name <target-resource-group-name>

Nettoyer

Portail

Pour valider les modifications et terminer le déplacement du groupe de sécurité réseau, supprimez le groupe de ressources ou le groupe de sécurité réseau source. Pour ce faire, sélectionnez le groupe de sécurité réseau ou le groupe de ressources à partir de votre tableau de bord dans le portail, puis sélectionnez Supprimer en haut de chaque page.

PowerShell

Pour valider les modifications et terminer le déplacement du groupe de sécurité réseau, supprimez le groupe de ressources ou le groupe de sécurité réseau source avec Remove-AzResourceGroup ou Remove-AzNetworkSecurityGroup :

Remove-AzResourceGroup -Name <source-resource-group-name>

Remove-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>

Étapes suivantes

Dans ce tutoriel, vous avez déplacé un groupe de sécurité réseau Azure d’une région à une autre et nettoyé les ressources sources. Pour en savoir plus sur le déplacement de ressources entre régions et la reprise d’activité après sinistre dans Azure, consultez :

• Déplacer des ressources vers un nouveau groupe de ressource ou un nouvel abonnement
• Déplacer des machines virtuelles Azure vers une autre région