Migrowanie z dzienników przepływu sieciowej grupy zabezpieczeń do dzienników przepływu sieci wirtualnej

Ważne

30 września 2027 r. dzienniki przepływów sieciowej grupy zabezpieczeń zostaną wycofane. W ramach tego wycofania nie będzie już można tworzyć nowych dzienników przepływów sieciowej grupy zabezpieczeń od 30 czerwca 2025 r. Zalecamy migrację do dzienników przepływów sieci wirtualnej, co pozwala wyeliminować ograniczenia dzienników przepływów sieciowej grupy zabezpieczeń. Po dacie wycofania analiza ruchu włączona z dziennikami przepływów sieciowej grupy zabezpieczeń nie będzie już obsługiwana, a istniejące zasoby przepływów sieciowej grupy zabezpieczeń w subskrypcjach zostaną usunięte. Jednak rekordy dzienników przepływu sieciowej grupy zabezpieczeń nie zostaną usunięte i będą nadal zgodne z odpowiednimi zasadami przechowywania. Więcej informacji znajdziesz w oficjalnym ogłoszeniu.

Z tego artykułu dowiesz się, jak migrować istniejące dzienniki przepływu sieciowej grupy zabezpieczeń do dzienników przepływu sieci wirtualnej przy użyciu skryptu migracji. Dzienniki przepływu sieci wirtualnej pokonują niektóre ograniczenia dzienników przepływu sieciowej grupy zabezpieczeń. Aby uzyskać więcej informacji, zobacz Dzienniki przepływu sieci wirtualnej.

Uwaga

Użyj skryptu migracji:

• jeśli nie masz włączonego rejestrowania przepływu we wszystkich interfejsach sieciowych lub podsieciach w sieci wirtualnej i nie chcesz włączać rejestrowania przepływu sieci wirtualnej na wszystkich z nich lub
• gdy dzienniki przepływu sieciowej grupy zabezpieczeń w sieci wirtualnej mają różne konfiguracje i chcesz utworzyć dzienniki przepływu sieci wirtualnej z tymi różnymi konfiguracjami jako dzienniki przepływu sieciowej grupy zabezpieczeń.

Użyj usługi Azure Policy:

• jeśli masz tę samą sieciową grupę zabezpieczeń zastosowaną do wszystkich interfejsów sieciowych lub podsieci w sieci wirtualnej,
• jeśli masz te same konfiguracje dziennika przepływu sieciowej grupy zabezpieczeń dla wszystkich interfejsów sieciowych lub podsieci w sieci wirtualnej lub
• jeśli chcesz włączyć rejestrowanie przepływu sieci wirtualnej na poziomie sieci wirtualnej.

Aby uzyskać więcej informacji, zobacz Wdrażanie i konfigurowanie dzienników przepływu sieci wirtualnej przy użyciu wbudowanych zasad.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

• Program PowerShell 7 zainstalowany na maszynie. Aby uzyskać więcej informacji, zobacz Instalowanie programu PowerShell w systemach Windows, Linux i macOS. Ten artykuł wymaga modułu Az programu PowerShell. Aby uzyskać więcej informacji, zobacz How to install Azure PowerShell (Jak zainstalować program Azure PowerShell). Aby dowiedzieć się, jaka wersja została zainstalowana, uruchom polecenie Get-Module -ListAvailable Az.

• Niezbędne uprawnienia RBAC dla subskrypcji dzienników przepływu i obszarów roboczych usługi Log Analytics (jeśli analiza ruchu jest włączona dla dowolnego dziennika przepływu sieciowej grupy zabezpieczeń). Aby uzyskać więcej informacji, zobacz Uprawnienia usługi Network Watcher.

• Dzienniki przepływu sieciowej grupy zabezpieczeń w regionie lub więcej. Aby uzyskać więcej informacji, zobacz Tworzenie dzienników przepływu sieciowej grupy zabezpieczeń.

Generowanie skryptu migracji

W tej sekcji dowiesz się, jak wygenerować i pobrać pliki migracji dla dzienników przepływu sieciowej grupy zabezpieczeń, które mają zostać zmigrowane.

1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher z wyników wyszukiwania.

   

2. W obszarze Dzienniki wybierz pozycję Migruj dzienniki przepływu.

   

3. Wybierz subskrypcje zawierające dzienniki przepływu sieciowej grupy zabezpieczeń, które chcesz przeprowadzić migrację.

4. Dla każdej subskrypcji wybierz regiony zawierające dzienniki przepływu, które chcesz przeprowadzić migrację. Łączna liczba dzienników przepływu sieciowej grupy zabezpieczeń przedstawia łączną liczbę dzienników przepływu, które znajdują się w wybranych subskrypcjach. Wybrane dzienniki przepływu sieciowej grupy zabezpieczeń zawierają liczbę dzienników przepływu w wybranych regionach.

5. Po wybraniu subskrypcji i regionów wybierz pozycję Pobierz skrypt i plik JSON, aby pobrać pliki migracji jako plik zip.

   

6. Wyodrębnij MigrateFlowLogs.zip plik na komputerze lokalnym. Plik zip zawiera następujące dwa pliki:

   • plik skryptu: MigrationFromNsgToAzureFlowLogging.ps1
   • plik JSON: RegionSubscriptionConfig.json.

Uruchamianie skryptu migracji

W tej sekcji dowiesz się, jak używać pliku skryptu pobranego w poprzedniej sekcji, aby przeprowadzić migrację dzienników przepływu sieciowej grupy zabezpieczeń.

Ważne

Po rozpoczęciu uruchamiania skryptu nie należy wprowadzać żadnych zmian w topologii w regionach i subskrypcjach dzienników przepływu, które migrujesz.

1. Uruchom plik MigrationFromNsgToAzureFlowLogging.ps1skryptu .

2. Wprowadź wartość 1 dla opcji Uruchom analizę .

   .\MigrationFromNsgToAzureFlowLogging.ps1
   
   Select one of the following options for flowlog migration:
   1. Run analysis
   2. Delete NSG flowlogs
   3. Quit
   

3. Wprowadź nazwę pliku JSON.

   Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json
   

4. Wprowadź liczbę wątków lub pozostaw wartość pustą, aby użyć wartości domyślnej 16.

   Please enter the number of threads you would like to use, press enter for using default value of 16:    
   

   Po zakończeniu analizy zobaczysz raport analizy na ekranie i w pliku HTML w tym samym katalogu plików migracji. Raport zawiera listę dzienników przepływu sieciowej grupy zabezpieczeń, które zostaną wyłączone, oraz liczbę utworzonych dzienników przepływu sieci wirtualnej w celu ich zastąpienia. Liczba utworzonych dzienników przepływu sieci wirtualnej zależy od wybranego typu migracji. Jeśli na przykład sieciowa grupa zabezpieczeń, którą migrujesz, jest skojarzona z trzema interfejsami sieciowymi w tej samej sieci wirtualnej, możesz wybrać migrację z agregacją , aby zastosować jeden zasób dziennika przepływu sieci wirtualnej do sieci wirtualnej. Możesz również wybrać migrację bez agregacji , aby mieć trzy dzienniki przepływu sieci wirtualnej (jeden zasób dziennika przepływu sieci wirtualnej na interfejs sieciowy).

   Uwaga

   Zobacz AnalysisReport-<subscriptionId>-<region>-<time>.html plik, aby uzyskać pełny raport analizy, która została wykonana. Plik jest dostępny w tym samym katalogu skryptu.

5. Wprowadź wartość 2 lub 3 , aby wybrać typ migracji, którą chcesz wykonać.

   Select one of the following options for flowlog migration:
   1. Re-Run analysis
   2. Proceed with migration with aggregation
   3. Proceed with migration without aggregation
   4. Quit
   

6. Po wyświetleniu podsumowania migracji na ekranie możesz anulować migrację i przywrócić zmiany. Aby zaakceptować i kontynuować migrację, wprowadź n, w przeciwnym razie wprowadź wartość y. Po zaakceptowaniu zmian nie można ich przywrócić.

   Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n
   

   Uwaga

   Zachowaj pliki raportów skryptu i analizy, aby uzyskać informacje na wypadek problemów z migracją.

7. Sprawdź witrynę Azure Portal, aby potwierdzić, że stan migrowanych dzienników przepływu sieciowej grupy zabezpieczeń został wyłączony. Sprawdź również nowo utworzone dzienniki przepływu sieci wirtualnej w wyniku procesu migracji.

   

8. Dodaj filtr, aby wyświetlić tylko listę dzienników przepływu sieciowej grupy zabezpieczeń z wybranej subskrypcji i regionów. Ten krok można pominąć, jeśli przeprowadzono migrację tylko kilku dzienników przepływu sieciowej grupy zabezpieczeń.

   

9. Wybierz dzienniki przepływu, które chcesz usunąć, a następnie wybierz pozycję Usuń

   

10. Wprowadź polecenie usuń , a następnie wybierz pozycję Usuń , aby potwierdzić usunięcie.

    

Kwestie wymagające rozważenia

• Zestaw skalowania z modułem równoważenia obciążenia: skrypt migracji umożliwia rejestrowanie przepływu sieci wirtualnej w podsieci z maszynami wirtualnymi zestawu skalowania.

  Uwaga

  Jeśli rejestrowanie przepływu sieciowej grupy zabezpieczeń nie jest włączone we wszystkich interfejsach sieciowych zestawu skalowania lub interfejsy sieciowe nie współużytkują tego samego dziennika przepływu sieciowej grupy zabezpieczeń, dziennik przepływu sieci wirtualnej jest tworzony w podsieci z tymi samymi konfiguracjami co jeden z interfejsów sieciowych zestawu skalowania.

• PaaS: Skrypt migracji nie obsługuje środowisk z rozwiązaniami PaaS, które mają dzienniki przepływu sieciowej grupy zabezpieczeń w subskrypcji użytkownika, ale zasoby docelowe znajdują się w różnych subskrypcjach. W przypadku takich środowisk należy ręcznie włączyć rejestrowanie przepływu sieci wirtualnej w sieci wirtualnej lub podsieci rozwiązania PaaS.

Powiązana zawartość

• Dzienniki przepływu sieciowej grupy zabezpieczeń
• Dzienniki przepływu sieci wirtualnej
• Zarządzanie dziennikami przepływów sieci wirtualnej przy użyciu usługi Azure Policy