Rilocare il gruppo di sicurezza di rete di Azure (NSG) in un'altra area

Questo articolo illustra come spostare un gruppo di sicurezza di rete in una nuova area creando una copia della configurazione di origine e delle regole di sicurezza del gruppo di sicurezza di rete in un'altra area.

Prerequisiti

• Assicurarsi che il gruppo di sicurezza di rete di Azure si trova nell'area di Azure di destinazione.

• Associare il nuovo gruppo di sicurezza di rete alle risorse nell'area di destinazione.

• Per esportare una configurazione del gruppo di sicurezza di rete e distribuire un modello per creare un gruppo di sicurezza di rete in un'altra area, è necessario il ruolo Collaboratore rete o versione successiva.

• Identificare il layout di rete di origine e tutte le risorse attualmente in uso, Questo layout include, ad esempio, servizi di bilanciamento del carico, indirizzi IP pubblici e reti virtuali.

• Verificare che la sottoscrizione di Azure consenta di creare gruppi di sicurezza di rete nell'area di destinazione usata. Contattare il supporto tecnico per abilitare la quota necessaria.

• Assicurarsi che la sottoscrizione disponga di risorse sufficienti per supportare l'aggiunta di gruppi di sicurezza di rete per questo processo. Vedere Sottoscrizione di Azure e limiti, quote e vincoli dei servizi.

Tempo di inattività

Per comprendere i possibili tempi di inattività coinvolti, vedere Cloud Adoption Framework per Azure: Selezionare un metodo di rilocazione.

Preparazione

I passaggi seguenti illustrano come preparare il gruppo di sicurezza di rete per lo spostamento della configurazione e della regola di sicurezza usando un modello di Resource Manager e spostare la configurazione e le regole di sicurezza del gruppo di sicurezza di rete nell'area di destinazione usando il portale.

Esportare e modificare un modello

Portale

Per esportare e modificare un modello usando portale di Azure:

1. Accedere al portale di Azure.

2. Selezionare Tutte le risorse e quindi l'account di archiviazione.

3. Selezionare Modello di esportazione >automazione>.

4. Scegliere Distribuisci nel pannello Esporta modello.

5. Selezionare MODELLO>Modifica parametri per aprire il file parameters.json nell'editor online.

6. Per modificare il parametro del nome del gruppo di sicurezza di rete, modificare la proprietà value in parametri:

           {
           "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
           "contentVersion": "1.0.0.0",
           "parameters": {
           "networkSecurityGroups_myVM1_nsg_name": {
              "value": "<target-nsg-name>"
               }
              }
           }
   

7. Modificare il valore del gruppo di sicurezza di rete di origine nell'editor impostando un nome di propria scelta per il gruppo di sicurezza di rete di destinazione. Assicurarsi di immettere il nome tra virgolette.

8. Selezionare Salva nell'editor.

9. Selezionare MODELLO>Modifica modello per aprire il file template.json nell'editor online.

10. Per modificare l'area di destinazione in cui verranno spostate la configurazione del gruppo di sicurezza di rete e le regole di sicurezza, modificare la proprietà location in risorse nell'editor online:

            "resources": [
            {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2019-06-01",
            "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
            "location": "<target-region>",
            "properties": {
                "provisioningState": "Succeeded",
                "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
             }
            }
           ]
    
    

11. Per ottenere i codici di posizione dell'area, vedere Località di Azure. Il codice per un'area è il nome dell'area senza spazi, Stati Uniti centrali = centralus.

12. Se lo si desidera, è anche possibile modificare altri parametri nel modello, che sono facoltativi in base ai requisiti:

    • Regole di sicurezza: è possibile modificare le regole distribuite nel gruppo di sicurezza di rete di destinazione aggiungendo o rimuovendo regole alla sezione securityRules nel file template.json :

         "resources": [
          {
          "type": "Microsoft.Network/networkSecurityGroups",
          "apiVersion": "2019-06-01",
          "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
          "location": "<target-region>",
          "properties": {
              "provisioningState": "Succeeded",
              "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
              "securityRules": [
                  {
                      "name": "RDP",
                      "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                      "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                           }
                  },
              ]
          }
      

      Per completare l'aggiunta o la rimozione delle regole nel gruppo di sicurezza di rete di destinazione, è necessario modificare anche i tipi di regola personalizzati alla fine del file template.json nel formato dell'esempio seguente:

           {
            "type": "Microsoft.Network/networkSecurityGroups/securityRules",
            "apiVersion": "2019-06-01",
            "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
            "dependsOn": [
                "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
            ],
            "properties": {
                "provisioningState": "Succeeded",
                "protocol": "*",
                "sourcePortRange": "*",
                "destinationPortRange": "80",
                "sourceAddressPrefix": "*",
                "destinationAddressPrefix": "*",
                "access": "Allow",
                "priority": 310,
                "direction": "Inbound",
                "sourcePortRanges": [],
                "destinationPortRanges": [],
                "sourceAddressPrefixes": [],
                "destinationAddressPrefixes": []
            }
      

13. Selezionare Salva nell'editor online.

PowerShell

Per esportare e modificare un modello tramite PowerShell:

1. Accedere alla propria sottoscrizione di Azure con il comando Connect-AzAccount e seguire le istruzioni visualizzate:

   Connect-AzAccount
   

2. Ottenere l'ID risorsa del gruppo di sicurezza di rete che si vuole spostare nell'area di destinazione e inserirlo in una variabile usando Get-AzNetworkSecurityGroup:

   $sourceNSGID = (Get-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>).Id
   
   

3. Esportare il gruppo di sicurezza di rete di origine in un file .json nella directory in cui si esegue il comando Export-AzResourceGroup:

   Export-AzResourceGroup -ResourceGroupName <source-resource-group-name> -Resource $sourceNSGID -IncludeParameterDefaultValue
   

4. Il file scaricato avrà il nome del gruppo di risorse da cui è stata esportata la risorsa. Individuare il file che è stato esportato dal comando <resource-group-name>.json e aprirlo nell'editor desiderato:

   notepad <source-resource-group-name>.json
   

5. Per modificare il parametro del nome del gruppo di sicurezza di rete, modificare la proprietà defaultValue del nome del gruppo di sicurezza di rete di origine con il nome del gruppo di sicurezza di rete di destinazione, assicurarsi che il nome sia tra virgolette:

           {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "networkSecurityGroups_myVM1_nsg_name": {
           "defaultValue": "<target-nsg-name>",
           "type": "String"
           }
       }
   
   

6. Per modificare l'area di destinazione in cui verranno spostate la configurazione del gruppo di sicurezza di rete e le regole di sicurezza, modificare la proprietà location nelle risorse:

           "resources": [
           {
           "type": "Microsoft.Network/networkSecurityGroups",
           "apiVersion": "2019-06-01",
           "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
           "location": "<target-region>",
           "properties": {
               "provisioningState": "Succeeded",
               "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78", 
            }
           }
   

7. Per ottenere i codici di posizione dell'area, è possibile usare il cmdlet di Azure PowerShell Get-AzLocation eseguendo questo comando:

   
   Get-AzLocation | format-table
   
   

8. È anche possibile modificare altri parametri nel <nome-gruppo> di risorse.json se si sceglie e sono facoltativi a seconda dei requisiti:

   • Regole di sicurezza: è possibile modificare le regole distribuite nel gruppo di sicurezza di rete di destinazione aggiungendo o rimuovendo regole alla sezione securityRules nel <file resource-group-name>.json :

        "resources": [
               {
               "type": "Microsoft.Network/networkSecurityGroups",
               "apiVersion": "2019-06-01",
               "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
               "location": "TARGET REGION",
               "properties": {
                    "provisioningState": "Succeeded",
                    "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
               "securityRules": [
                 {
                     "name": "RDP",
                     "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                     "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                         }
                     ]
         }  
     
     

     Per completare l'aggiunta o la rimozione delle regole nel gruppo di sicurezza di rete di destinazione, è necessario modificare anche i tipi di regola personalizzati alla fine del <file resource-group-name>.json nel formato dell'esempio seguente:

        {
         "type": "Microsoft.Network/networkSecurityGroups/securityRules",
         "apiVersion": "2019-06-01",
         "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
         "dependsOn": [
             "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
         ],
         "properties": {
             "provisioningState": "Succeeded",
             "protocol": "*",
             "sourcePortRange": "*",
             "destinationPortRange": "80",
             "sourceAddressPrefix": "*",
             "destinationAddressPrefix": "*",
             "access": "Allow",
             "priority": 310,
             "direction": "Inbound",
             "sourcePortRanges": [],
             "destinationPortRanges": [],
             "sourceAddressPrefixes": [],
             "destinationAddressPrefixes": []
         }
     

9. Salvare il file <resource-group-name>.json.

Ripetere la distribuzione

Portale

1. Selezionare Sottoscrizione BASICS>per scegliere la sottoscrizione in cui verrà distribuito il gruppo di sicurezza di rete di destinazione.

2. Selezionare Gruppo di risorse BASICS>per scegliere il gruppo di risorse in cui verrà distribuito il gruppo di sicurezza di rete di destinazione. È possibile fare clic su Crea nuovo per creare un nuovo gruppo di risorse per il gruppo di sicurezza di rete di destinazione. Verificare che il nome non corrisponda al gruppo di risorse di origine del gruppo di sicurezza di rete esistente.

3. Selezionare BasicS Location (Percorso BASICS>) impostato sul percorso di destinazione in cui si vuole distribuire il gruppo di sicurezza di rete.

4. In IMPOSTAZIONI, verificare che il nome corrisponda al nome immesso in precedenza nell'editor dei parametri.

5. Selezionare la casella di controllo in CONDIZIONI.

6. Selezionare il pulsante Acquista per distribuire il gruppo di sicurezza di rete di destinazione.

PowerShell

1. Creare un gruppo di risorse nell'area di destinazione per il gruppo di sicurezza di rete di destinazione da distribuire usando New-AzResourceGroup:

   New-AzResourceGroup -Name <target-resource-group-name> -location <target-region>
   

2. Distribuire il file <resource-group-name>.json modificato nel gruppo di risorse creato nel passaggio precedente utilizzando New-AzResourceGroupDeployment:

   
   New-AzResourceGroupDeployment -ResourceGroupName <target-resource-group-name> -TemplateFile <source-resource-group-name>.json
   
   

3. Per verificare che le risorse siano state create nell'area di destinazione, usare Get-AzResourceGroup e Get-AzNetworkSecurityGroup:

   
   Get-AzResourceGroup -Name <target-resource-group-name>
   
   

   
   Get-AzNetworkSecurityGroup -Name <target-nsg-name> -ResourceGroupName <target-resource-group-name>
   
   

Discard

Portale

Se si vuole eliminare il gruppo di sicurezza di rete di destinazione, eliminare il gruppo di risorse che contiene il gruppo di sicurezza di rete di destinazione. A tal fine, selezionare il gruppo di risorse dal dashboard nel portale, quindi selezionare Elimina nella parte superiore della pagina di panoramica.

PowerShell

Dopo la distribuzione, se si vuole ricominciare o rimuovere il gruppo di sicurezza di rete nella destinazione, eliminare il gruppo di risorse creato nella destinazione e il gruppo di sicurezza di rete spostato verrà eliminato. Per rimuovere il gruppo di risorse, usare Remove-AzResourceGroup:

Remove-AzResourceGroup -Name <target-resource-group-name>

Eseguire la pulizia

Portale

Per eseguire il commit delle modifiche e completare lo spostamento del gruppo di sicurezza di rete, eliminare il gruppo di sicurezza di rete o il gruppo di risorse di origine. A tale scopo, selezionare il gruppo di sicurezza di rete o il gruppo di risorse dal dashboard nel portale e selezionare Elimina nella parte superiore di ogni pagina.

PowerShell

Per eseguire il commit delle modifiche e completare lo spostamento del gruppo di sicurezza di rete, eliminare il gruppo di sicurezza di rete o il gruppo di risorse di origine, usare Remove-AzResourceGroup o Remove-AzNetworkSecurityGroup:

Remove-AzResourceGroup -Name <source-resource-group-name>

Remove-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>

Passaggi successivi

In questa esercitazione è stato spostato un gruppo di sicurezza di rete di Azure da un'area a un'altra ed è stata eseguita la pulizia delle risorse di origine. Per altre informazioni sullo spostamento di risorse tra aree e sul ripristino di emergenza in Azure, vedere:

• Spostare le risorse in un nuovo gruppo di risorse o una nuova sottoscrizione
• Spostare macchine virtuali di Azure in un'altra area