Merelokasi grup keamanan jaringan Azure (NSG) ke wilayah lain

Artikel ini menunjukkan kepada Anda cara merelokasi NSG ke wilayah baru dengan membuat salinan konfigurasi sumber dan aturan keamanan NSG ke wilayah lain.

Prasyarat

• Pastikan bahwa grup keamanan jaringan Azure berada di wilayah Azure target.

• Kaitkan NSG baru ke sumber daya di wilayah target.

• Untuk mengekspor konfigurasi NSG dan menerapkan templat guna membuat NSG di wilayah lain, Anda memerlukan peran Kontributor Jaringan atau yang lebih tinggi.

• Identifikasi tata letak jaringan sumber dan semua sumber daya yang saat ini Anda gunakan. Tata letak ini mencakup tetapi tidak terbatas pada load balancer, IP publik, dan jaringan virtual.

• Pastikan bahwa langganan Azure Anda memungkinkan Anda membuat NSG di wilayah target yang digunakan. Hubungi dukungan untuk mengaktifkan kuota yang diperlukan.

• Pastikan langganan Anda memiliki cukup sumber daya untuk mendukung penambahan NSG pada proses ini. Lihat Langganan Azure serta batas, kuota, dan batasan layanan.

Waktu henti

Untuk memahami kemungkinan waktu henti yang terlibat, lihat Cloud Adoption Framework untuk Azure: Pilih metode relokasi.

Siapkan

Langkah-langkah berikut menunjukkan cara menyiapkan kelompok keamanan jaringan untuk pemindahan aturan konfigurasi dan keamanan menggunakan templat Resource Manager, dan memindahkan konfigurasi NSG dan aturan keamanan ke wilayah target menggunakan portal.

Mengekspor dan mengubah templat

Portal

Untuk mengekspor dan mengubah templat dengan menggunakan portal Azure:

1. Masuk ke portal Azure.

2. Pilih Semua sumber daya lalu pilih akun penyimpanan Anda.

3. Pilih >Automasi>Ekspor templat.

4. Pilih Terapkan di blade templat Ekspor.

5. Pilih parameter Edit TEMPLAT>untuk membuka file parameters.json di editor online.

6. Untuk mengedit parameter nama NSG, ubah nilai properti di bawah parameter:

           {
           "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
           "contentVersion": "1.0.0.0",
           "parameters": {
           "networkSecurityGroups_myVM1_nsg_name": {
              "value": "<target-nsg-name>"
               }
              }
           }
   

7. Ubah nilai NSG sumber di editor menjadi nama pilihan Anda untuk NSG target. Pastikan nama tersebut diketik dalam tanda kutip.

8. Pilih Simpan di editor.

9. Pilih templat Edit TEMPLAT>untuk membuka file template.json di editor online.

10. Untuk mengedit wilayah target tempat konfigurasi NSG dan aturan keamanan akan dipindahkan, ubah properti lokasi di bawah sumber daya di editor online:

            "resources": [
            {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2019-06-01",
            "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
            "location": "<target-region>",
            "properties": {
                "provisioningState": "Succeeded",
                "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
             }
            }
           ]
    
    

11. Untuk mendapatkan kode lokasi wilayah, lihat Lokasi Azure. Kode untuk suatu wilayah adalah nama wilayah tanpa spasi, Central US = centralus.

12. Anda juga dapat mengubah parameter lain di templat jika Anda ingin, dan bersifat opsional tergantung pada kebutuhan Anda:

    • Aturan keamanan - Anda dapat mengedit aturan mana yang diterapkan ke NSG target dengan menambahkan atau menghapus aturan pada bagian securityRules di file template.json:

         "resources": [
          {
          "type": "Microsoft.Network/networkSecurityGroups",
          "apiVersion": "2019-06-01",
          "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
          "location": "<target-region>",
          "properties": {
              "provisioningState": "Succeeded",
              "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
              "securityRules": [
                  {
                      "name": "RDP",
                      "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                      "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                           }
                  },
              ]
          }
      

      Untuk menyelesaikan penambahan atau penghapusan aturan dalam NSG target, Anda juga harus mengedit tipe aturan kustom di akhir file template.json dalam format contoh di bawah ini:

           {
            "type": "Microsoft.Network/networkSecurityGroups/securityRules",
            "apiVersion": "2019-06-01",
            "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
            "dependsOn": [
                "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
            ],
            "properties": {
                "provisioningState": "Succeeded",
                "protocol": "*",
                "sourcePortRange": "*",
                "destinationPortRange": "80",
                "sourceAddressPrefix": "*",
                "destinationAddressPrefix": "*",
                "access": "Allow",
                "priority": 310,
                "direction": "Inbound",
                "sourcePortRanges": [],
                "destinationPortRanges": [],
                "sourceAddressPrefixes": [],
                "destinationAddressPrefixes": []
            }
      

13. Pilih Simpan di editor online.

PowerShell

Untuk mengekspor dan mengubah templat dengan menggunakan PowerShell:

1. Masuk ke langganan Azure Anda dengan perintah Connect-AzAccount dan ikuti petunjuk di layar:

   Connect-AzAccount
   

2. Dapatkan ID sumber daya NSG yang ingin Anda pindahkan ke wilayah target lalu letakkan dalam variabel menggunakan Get-AzNetworkSecurityGroup:

   $sourceNSGID = (Get-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>).Id
   
   

3. Ekspor NSG sumber ke file .json ke direktori tempat Anda menjalankan perintah Export-AzResourceGroup:

   Export-AzResourceGroup -ResourceGroupName <source-resource-group-name> -Resource $sourceNSGID -IncludeParameterDefaultValue
   

4. File yang diunduh akan diberi nama sesuai dengan grup sumber daya tempat sumber daya diekspor. Temukan file yang diekspor dari perintah bernama <resource-group-name>.json dan buka di editor pilihan Anda:

   notepad <source-resource-group-name>.json
   

5. Untuk mengedit parameter nama NSG, ubah properti defaultValue milik nama NSG sumber menjadi nama NSG target, dan pastikan namanya dalam tanda kutip:

           {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "networkSecurityGroups_myVM1_nsg_name": {
           "defaultValue": "<target-nsg-name>",
           "type": "String"
           }
       }
   
   

6. Untuk mengedit wilayah target tempat konfigurasi NSG dan aturan keamanan akan dipindahkan, ubah properti lokasi di bawah sumber daya:

           "resources": [
           {
           "type": "Microsoft.Network/networkSecurityGroups",
           "apiVersion": "2019-06-01",
           "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
           "location": "<target-region>",
           "properties": {
               "provisioningState": "Succeeded",
               "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78", 
            }
           }
   

7. Untuk mendapatkan kode lokasi wilayah, Anda dapat menggunakan cmdlet Azure PowerShell Get-AzLocation dengan menjalankan perintah berikut:

   
   Get-AzLocation | format-table
   
   

8. Anda juga dapat mengubah parameter lain dalam file <.resource-group-name>json jika ingin, tetapi opsional tergantung kebutuhan Anda:

   • Aturan keamanan - Anda dapat mengedit aturan mana yang diterapkan ke NSG target dengan menambahkan atau menghapus aturan pada bagian securityRules di file<resource-group-name>.json file:

        "resources": [
               {
               "type": "Microsoft.Network/networkSecurityGroups",
               "apiVersion": "2019-06-01",
               "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
               "location": "TARGET REGION",
               "properties": {
                    "provisioningState": "Succeeded",
                    "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
               "securityRules": [
                 {
                     "name": "RDP",
                     "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                     "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                         }
                     ]
         }  
     
     

     Untuk menyelesaikan penambahan atau penghapusan aturan dalam NSG target, Anda juga harus mengedit tipe aturan kustom di akhir file <resource-group-name>.json dalam format contoh di bawah ini:

        {
         "type": "Microsoft.Network/networkSecurityGroups/securityRules",
         "apiVersion": "2019-06-01",
         "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
         "dependsOn": [
             "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
         ],
         "properties": {
             "provisioningState": "Succeeded",
             "protocol": "*",
             "sourcePortRange": "*",
             "destinationPortRange": "80",
             "sourceAddressPrefix": "*",
             "destinationAddressPrefix": "*",
             "access": "Allow",
             "priority": 310,
             "direction": "Inbound",
             "sourcePortRanges": [],
             "destinationPortRanges": [],
             "sourceAddressPrefixes": [],
             "destinationAddressPrefixes": []
         }
     

9. Simpan file <resource-group-name>.json.

Menyebarkan ulang

Portal

1. Pilih Langganan BASICS>untuk memilih langganan tempat NSG target akan disebarkan.

2. Pilih grup Sumber Daya BASICS>untuk memilih grup sumber daya tempat NSG target akan disebarkan. Anda dapat mengklik Buat baru untuk membuat grup sumber daya baru untuk NSG target. Pastikan nama tersebut tidak sama dengan grup sumber daya sumber dari NSG yang ada.

3. Pilih Lokasi DASAR>diatur ke lokasi target tempat Anda ingin NSG disebarkan.

4. Di bagian PENGATURAN, pastikan nama tersebut cocok dengan nama yang Anda masukkan di editor parameter di atas.

5. Centang kotak di bagianSYARAT DAN KETENTUAN.

6. Pilih tombol Beli untuk menyebarkan grup keamanan jaringan target.

PowerShell

1. Buat grup sumber daya di wilayah target untuk NSG target yang akan disebarkan menggunakan New-AzResourceGroup:

   New-AzResourceGroup -Name <target-resource-group-name> -location <target-region>
   

2. Sebarkan file <resource-group-name>.json yang diedit ke grup sumber daya yang Anda buat di langkah sebelumnya menggunakan New-AzResourceGroupDeployment:

   
   New-AzResourceGroupDeployment -ResourceGroupName <target-resource-group-name> -TemplateFile <source-resource-group-name>.json
   
   

3. Untuk memverifikasi sumber daya yang dibuat di wilayah target, gunakan Get-AzResourceGroup dan Get-AzNetworkSecurityGroup:

   
   Get-AzResourceGroup -Name <target-resource-group-name>
   
   

   
   Get-AzNetworkSecurityGroup -Name <target-nsg-name> -ResourceGroupName <target-resource-group-name>
   
   

Membuang

Portal

Jika Anda ingin menghapus NSG target, hapus grup sumber daya yang berisi NSG target. Untuk melakukannya, pilih grup sumber daya dari dasbor Anda di portal dan pilih Hapus di bagian atas halaman gambaran umum.

PowerShell

Setelah penyebaran, jika Anda ingin memulai kembali atau membuang NSG di target, hapus grup sumber daya yang dibuat di target, kemudian NSG yang dipindahkan akan dihapus. Untuk menghapus grup sumber daya, gunakan Remove-AzResourceGroup:

Remove-AzResourceGroup -Name <target-resource-group-name>

Penghapusan

Portal

Untuk menerapkan perubahan dan menyelesaikan pemindahan NSG, hapus NSG sumber atau grup sumber daya. Untuk melakukannya, pilih kelompok keamanan jaringan atau grup sumber daya dari dasbor Anda di portal dan pilih Hapus di bagian atas setiap halaman.

PowerShell

Untuk menerapkan perubahan dan menyelesaikan pemindahan NSG, hapus NSG sumber atau grup sumber daya, gunakan Remove-AzResourceGroup atau Remove-AzNetworkSecurityGroup:

Remove-AzResourceGroup -Name <source-resource-group-name>

Remove-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>

Langkah berikutnya

Di tutorial ini, Anda memindahkan kelompok keamanan jaringan Azure dari satu wilayah ke yang lainnya dan membersihkan sumber daya sumber. Untuk mempelajari selengkapnya tentang memindahkan sumber daya antar wilayah dan pemulihan bencana di Azure, lihat:

• Memindahkan sumber daya ke grup sumber daya atau langganan baru
• Memindahkan Azure VM ke wilayah lain