Przenoszenie Azure Firewall do innego regionu

W tym artykule pokazano, jak przenieść Azure Firewall, który chroni Azure Virtual Network.

Wymagania wstępne

• Zdecydowanie zalecamy używanie SKU Premium. Jeśli korzystasz z SKU Standard, rozważ migrację z istniejącej SKU Standard Azure Firewall do SKU Premium przed przeniesieniem.

• Aby prawidłowo zaplanować i wykonać relokację Azure Firewall, należy zebrać następujące informacje:

  • Model wdrażania.Klasyczne reguły zapory lub zasady zapory.
  • Nazwa zasad zapory. (Jeśli jest używany model wdrażania zasad zapory ).
  • Ustawienie diagnostyczne na poziomie wystąpienia zapory. (Jeśli jest używany obszar roboczy Log Analytics).
  • Konfiguracja inspekcji TLS (Transport Layer Security).: (Jeśli używane są Azure Key Vault, certyfikat i tożsamość zarządzana).
  • Kontrola publicznego adresu IP. Upewnij się, że każda tożsamość zewnętrzna, polegająca na publicznym adresie IP należącym do Azure Firewall, pozostaje stała i zaufana.

• Azure Firewall warstwy Standardowa i Premium mają następujące zależności, które można wdrożyć w regionie docelowym:

  • Azure Virtual Network
  • (Jeśli jest używany) Log Analytics Workspace

• Jeśli używasz funkcji inspekcji protokołu TLS w warstwie Azure Firewall Premium, w regionie docelowym należy również wdrożyć następujące zależności:

  • Azure Key Vault
  • Azure Managed Identity

Przestój

Aby zrozumieć możliwe przestoje, zobacz Cloud Adoption Framework, dla platformy Azure: Wybierz metodę migracji.

Przygotuj się

Aby przygotować się do relokacji, należy najpierw wyeksportować i zmodyfikować szablon z regionu źródłowego. Aby wyświetlić przykładowy szablon usługi ARM dla Azure Firewall, zobacz przegląd szablonu.

Szablon eksportu

portal

1. Zaloguj się do portalu Azure.
2. Wybierz Wszystkie zasoby a następnie wybierz zasób Azure Firewall.
3. Na stronie Azure Firewall wybierz Eksportuj szablon w obszarze Automation w menu po lewej stronie.
4. Wybierz pozycję Pobierz na stronie Eksportuj szablon .
5. Znajdź plik .zip pobrany z portalu i rozpakuj ten plik do wybranego folderu.

Ten plik zip zawiera pliki .json zawierające szablon i skrypty do wdrożenia szablonu.

PowerShell

1. Zaloguj się do subskrypcji Azure przy użyciu polecenia Connect-AzAccount i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie:

   Connect-AzAccount
   

2. Jeśli twoja tożsamość jest powiązana z więcej niż jedną subskrypcją, ustaw aktywną subskrypcję na tę, do której należy zasób Azure Firewall, który chcesz przenieść.

   $context = Get-AzSubscription -SubscriptionId <subscription-id>
   Set-AzContext $context
   

3. Wyeksportuj szablon zasobu źródłowego Azure Firewall, uruchamiając następujące polecenia:

   $resource = Get-AzResource `
     -ResourceGroupName <resource-group-name> `
     -ResourceName <resource-name> `
     -ResourceType <resource-type>
   
   Export-AzResourceGroup `
     -ResourceGroupName <resource-group-name> `
     -Resource $resource.ResourceId
   

4. Znajdź element template.json w bieżącym katalogu.

Modyfikowanie szablonu

W tej sekcji dowiesz się, jak zmodyfikować szablon wygenerowany w poprzedniej sekcji.

Jeśli korzystasz z klasycznych reguł zapory bez polityki zapory, przeprowadź migrację do polityki zapory przed przystąpieniem do kroków opisanych w tej sekcji. Aby dowiedzieć się, jak przeprowadzić migrację z klasycznych reguł zapory do polityki zapory, zobacz Migrate Azure Firewall configuration to Azure Firewall policy using PowerShell.

Portal Azure

1. Zaloguj się do portalu Azure.

2. Jeśli używasz jednostki SKU Premium z włączoną inspekcją protokołu TLS,

   1. Przenieś magazyn kluczy używany do inspekcji protokołu TLS w nowym regionie docelowym. Następnie postępuj zgodnie z procedurami przenoszenia certyfikatów lub generowania nowych certyfikatów na potrzeby inspekcji protokołu TLS do nowego magazynu kluczy w regionie docelowym.
   2. Przenieś tożsamość zarządzaną do nowego regionu docelowego. Ponownie przypisz odpowiednie role dla magazynu kluczy w regionie docelowym i subskrypcji.

3. W portalu Azure wybierz pozycję Utwórz zasób.

4. W wyszukiwarce Marketplace wpisz template deployment i naciśnij Enter.

5. Wybierz pozycję Wdrożenie szablonu i wybierz pozycję Utwórz.

6. Wybierz pozycję Utwórz własny szablon w edytorze.

7. Wybierz pozycję Załaduj plik, a następnie postępuj zgodnie z instrukcjami, aby załadować template.json plik pobrany w poprzedniej sekcji

8. We wspomnianym pliku template.json zastąp:

   • firewallName z domyślną wartością dla nazwy Twojego Azure Firewall.
   • azureFirewallPublicIpId z identyfikatorem publicznego adresu IP w regionie docelowym.
   • virtualNetworkName z nazwą sieci wirtualnej w regionie docelowym.
   • firewallPolicy.id z identyfikatorem polityki.

9. Utwórz nową politykę zapory przy użyciu konfiguracji regionu źródłowego i odzwierciedl zmiany wprowadzone przez docelowy region (zakresy adresów IP, publiczne IP, kolekcje reguł).

10. Jeśli używasz jednostki SKU w warstwie Premium i chcesz włączyć inspekcję protokołu TLS, zaktualizuj nowo utworzone zasady zapory i włącz inspekcję protokołu TLS, postępując zgodnie z instrukcjami podanymi tutaj.

11. Przejrzyj i zaktualizuj następujące ustawienia, aby odzwierciedlić zmiany wymagane dla regionu docelowego.

    • Grupy adresów IP. Aby uwzględnić adresy IP z regionu docelowego, jeśli różni się od źródła, należy przejrzeć grupy adresów IP . Adresy IP zawarte w grupach muszą zostać zmodyfikowane.
    • Zones. Skonfiguruj strefy dostępności (AZ) w regionie docelowym.
    • Forced Tunneling.Upewnij się, że przeniesiono sieć wirtualną i że Podsieć zarządzania jest obecna przed przeniesieniem Azure Firewall. Zaktualizuj adres IP w regionie docelowym wirtualnego urządzenia sieciowego (WUS), do którego Azure Firewall powinien przekierowywać ruch w trasie zdefiniowanej przez użytkownika (UDR).
    • DNS. Przejrzyj adresy IP niestandardowych serwerów DNS , aby odzwierciedlić region docelowy. Jeśli włączono funkcję serwera proxy DNS należy skonfigurować ustawienia serwera DNS sieci wirtualnej i ustawić prywatny adres IP Azure Firewall jako Dostosowy serwer DNS.
    • Zakresy prywatnych adresów IP (SNAT). — Jeśli niestandardowe zakresy są zdefiniowane dla protokołu SNAT, zaleca się przejrzenie i ostatecznie dostosowanie w celu uwzględnienia przestrzeni adresowej regionu docelowego.
    • Tags. — Weryfikowanie i aktualizowanie wszystkich tagów, które odzwierciedlają lub odwołują się do nowej lokalizacji zapory.
    • Ustawienia diagnostyczne. Podczas ponownego tworzenia Azure Firewall w regionie docelowym należy przejrzeć Ustawienia diagnostyki i skonfigurować je tak, aby odzwierciedlały region docelowy (obszar roboczy Log Analytics, konto magazynu, centrum zdarzeń lub rozwiązanie partnera zewnętrznego).

12. Edytuj właściwość location w pliku template.json na region docelowy (poniższy przykład ustawia region docelowy na centralus).

    "resources": [
    {
      "type": "Microsoft.Network/azureFirewalls",
      "apiVersion": "2023-09-01",
      "name": "[parameters('azureFirewalls_fw_name')]",
      "location": "centralus",}]
    

    Aby znaleźć kod lokalizacji dla regionu docelowego, zobacz Lokowanie danych w Azure.

13. Zapisz plik template.json.

PowerShell

1. Zaloguj się do portalu Azure.

2. Jeśli używasz jednostki SKU Premium z włączoną inspekcją protokołu TLS,

   1. Przenieś magazyn kluczy używany do inspekcji protokołu TLS do nowego regionu docelowego i postępuj zgodnie z procedurami przenoszenia certyfikatów lub generowania nowych certyfikatów na potrzeby inspekcji protokołu TLS w nowym magazynie kluczy w regionie docelowym.
   2. Przenieś tożsamość zarządzaną do nowego regionu docelowego, a następnie ponownie przypisz odpowiednie role dla magazynu kluczy w tym regionie docelowym oraz w subskrypcji.

3. We wspomnianym pliku template.json zastąp:

   • firewallName z domyślną wartością dla nazwy Twojego Azure Firewall.
   • azureFirewallPublicIpId z identyfikatorem publicznego adresu IP w regionie docelowym.
   • virtualNetworkName z nazwą sieci wirtualnej w regionie docelowym.
   • firewallPolicy.id z identyfikatorem polityki.

4. Utwórz nową politykę zapory przy użyciu konfiguracji regionu źródłowego i odzwierciedl zmiany wprowadzone przez docelowy region (zakresy adresów IP, publiczne IP, kolekcje reguł).

5. Przejrzyj i zaktualizuj następujące właściwości, aby odzwierciedlić zmiany wymagane dla regionu docelowego.

   • Grupy adresów IP. Aby uwzględnić adresy IP z regionu docelowego, jeśli różni się od źródła, należy przejrzeć grupy adresów IP . Adresy IP zawarte w grupach muszą zostać zmodyfikowane.
   • Zones. Skonfiguruj strefy dostępności (AZ) w regionie docelowym.
   • Forced Tunneling.Upewnij się, że przeniesiono sieć wirtualną i że Podsieć zarządzania jest obecna przed przeniesieniem Azure Firewall. Zaktualizuj adres IP w regionie docelowym wirtualnego urządzenia sieciowego (WUS), do którego Azure Firewall powinien przekierowywać ruch w trasie zdefiniowanej przez użytkownika (UDR).
   • DNS. Przejrzyj adresy IP niestandardowych serwerów DNS , aby odzwierciedlić region docelowy. Jeśli włączono funkcję serwera proxy DNS należy skonfigurować ustawienia serwera DNS sieci wirtualnej i ustawić prywatny adres IP Azure Firewall jako Dostosowy serwer DNS.
   • Zakresy prywatnych adresów IP (SNAT). — Jeśli niestandardowe zakresy są zdefiniowane dla protokołu SNAT, zaleca się przejrzenie i ostatecznie dostosowanie w celu uwzględnienia przestrzeni adresowej regionu docelowego.
   • Tags. — Weryfikowanie i aktualizowanie wszystkich tagów, które odzwierciedlają lub odwołują się do nowej lokalizacji zapory.
   • Ustawienia diagnostyczne. Podczas ponownego tworzenia Azure Firewall w regionie docelowym należy przejrzeć ustawienia diagnostyczne i skonfigurować je tak, aby odzwierciedlały region docelowy (obszar roboczy Log Analytics, konto magazynu, centrum zdarzeń lub rozwiązanie partnerskie innej firmy).

6. Edytuj właściwość location w pliku template.json na region docelowy (poniższy przykład ustawia region docelowy na centralus).

   "resources": [
     {
       "type": "Microsoft.Network/azureFirewalls",
       "apiVersion": "2023-09-01",
       "name": "[parameters('azureFirewalls_fw_name')]",
       "location": "centralus",
     }
   ]
   

Aby znaleźć kod lokalizacji dla regionu docelowego, zobacz Lokowanie danych w Azure.

Redeploy

Wdróż szablon, aby utworzyć nową Azure Firewall w regionie docelowym.

Portal Azure

1. Wprowadź lub wybierz wartości właściwości:

   • Subskrypcja: wybierz subskrypcję Azure.
   • Grupa zasobów: wybierz pozycję Utwórz nową i nadaj grupie zasobów nazwę.
   • Lokalizacja: wybierz lokalizację Azure.

2. Azure Firewall jest teraz wdrażana z przyjętą konfiguracją, aby odzwierciedlić wymagane zmiany w regionie docelowym.

3. Zweryfikuj konfigurację i funkcjonalność.

PowerShell

1. Uzyskaj identyfikator subskrypcji, w którym chcesz wdrożyć docelowy publiczny adres IP, uruchamiając następujące polecenie:

   Get-AzSubscription
   

2. Uruchom następujące polecenia, aby wdrożyć szablon:

   $resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
   $location = Read-Host -Prompt "Enter the location (i.e. eastus)"
   
   New-AzResourceGroup -Name $resourceGroupName -Location "$location"
   New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"
   

3. Azure Firewall jest teraz wdrażana z przyjętą konfiguracją, aby odzwierciedlić wymagane zmiany w regionie docelowym.

4. Zweryfikuj konfigurację i funkcjonalność.

Powiązana zawartość

• Przenoszenie zasobów do nowej grupy zasobów lub subskrypcji
• Przenieś maszyny wirtualne Azure do innego regionu