Udostępnij za pośrednictwem


Przenoszenie sieciowej grupy zabezpieczeń platformy Azure do innego regionu

W tym artykule pokazano, jak przenieść sieciową grupę zabezpieczeń do nowego regionu, tworząc kopię źródłowej konfiguracji i reguł zabezpieczeń sieciowej grupy zabezpieczeń do innego regionu.

Wymagania wstępne

  • Upewnij się, że sieciowa grupa zabezpieczeń platformy Azure znajduje się w docelowym regionie świadczenia usługi Azure.

  • Skojarz nową sieciową grupę zabezpieczeń z zasobami w regionie docelowym.

  • Aby wyeksportować konfigurację sieciowej grupy zabezpieczeń i wdrożyć szablon w celu utworzenia sieciowej grupy zabezpieczeń w innym regionie, potrzebna będzie rola Współautor sieci lub nowsza.

  • Zidentyfikuj układ sieci źródłowej i wszystkie aktualnie używane zasoby. Ten układ obejmuje moduły równoważenia obciążenia, publiczne adresy IP i sieci wirtualne, ale nie są ograniczone.

  • Sprawdź, czy twoja subskrypcja platformy Azure umożliwia tworzenie sieciowych grup zabezpieczeń w regionie docelowym, który jest używany. Skontaktuj się z pomocą techniczną, aby włączyć wymagany limit przydziału.

  • Upewnij się, że twoja subskrypcja ma wystarczającą ilość zasobów do obsługi dodawania sieciowych grup zabezpieczeń na potrzeby tego procesu. Zobacz Azure subscription and service limits, quotas, and constraints (Limity, przydziały i ograniczenia usługi i subskrypcji platformy Azure).

Przestój

Aby zrozumieć możliwe przestoje, zobacz Cloud Adoption Framework for Azure: Select a relocation method (Przewodnik Cloud Adoption Framework dla platformy Azure: wybieranie metody relokacji).

Przygotowywanie

W poniższych krokach pokazano, jak przygotować sieciową grupę zabezpieczeń do przeniesienia konfiguracji i reguły zabezpieczeń przy użyciu szablonu usługi Resource Manager oraz przenieść konfigurację i reguły zabezpieczeń sieciowej grupy zabezpieczeń do regionu docelowego przy użyciu portalu.

Eksportowanie i modyfikowanie szablonu

Aby wyeksportować i zmodyfikować szablon przy użyciu witryny Azure Portal:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz pozycję Wszystkie zasoby , a następnie wybierz konto magazynu.

  3. Wybierz pozycję >Szablon eksportu usługi Automation>.

  4. Wybierz pozycję Wdróż w bloku Eksportuj szablon .

  5. Wybierz pozycję SZABLON>Edytuj parametry, aby otworzyć plik parameters.json w edytorze online.

  6. Aby edytować parametr nazwy sieciowej grupy zabezpieczeń, zmień właściwość value w obszarze parametry:

            {
            "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
            "contentVersion": "1.0.0.0",
            "parameters": {
            "networkSecurityGroups_myVM1_nsg_name": {
               "value": "<target-nsg-name>"
                }
               }
            }
    
  7. Zmień źródłową wartość sieciowej grupy zabezpieczeń w edytorze na nazwę wybraną dla docelowej sieciowej grupy zabezpieczeń. Upewnij się, że nazwa została ujęta w cudzysłów.

  8. Wybierz pozycję Zapisz w edytorze.

  9. Wybierz pozycję SZABLON>Edytuj szablon, aby otworzyć plik template.json w edytorze online.

  10. Aby edytować region docelowy, w którym zostanie przeniesiona konfiguracja sieciowej grupy zabezpieczeń i reguły zabezpieczeń, zmień właściwość lokalizacji w obszarze zasobów w edytorze online:

            "resources": [
            {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2019-06-01",
            "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
            "location": "<target-region>",
            "properties": {
                "provisioningState": "Succeeded",
                "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
             }
            }
           ]
    
    
  11. Aby uzyskać kody lokalizacji regionów, zobacz Lokalizacje platformy Azure. Kod regionu to nazwa regionu bez spacji Środkowe stany USA = .

  12. Możesz również zmienić inne parametry w szablonie, jeśli wybierzesz, i są opcjonalne w zależności od wymagań:

    • Reguły zabezpieczeń — można edytować, które reguły są wdrażane w docelowej sieciowej grupie zabezpieczeń, dodając lub usuwając reguły do sekcji securityRules w pliku template.json :

         "resources": [
          {
          "type": "Microsoft.Network/networkSecurityGroups",
          "apiVersion": "2019-06-01",
          "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
          "location": "<target-region>",
          "properties": {
              "provisioningState": "Succeeded",
              "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
              "securityRules": [
                  {
                      "name": "RDP",
                      "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                      "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                           }
                  },
              ]
          }
      

      Aby ukończyć dodawanie lub usuwanie reguł w docelowej sieciowej grupie zabezpieczeń, należy również edytować niestandardowe typy reguł na końcu pliku template.json w formacie poniższego przykładu:

           {
            "type": "Microsoft.Network/networkSecurityGroups/securityRules",
            "apiVersion": "2019-06-01",
            "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
            "dependsOn": [
                "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
            ],
            "properties": {
                "provisioningState": "Succeeded",
                "protocol": "*",
                "sourcePortRange": "*",
                "destinationPortRange": "80",
                "sourceAddressPrefix": "*",
                "destinationAddressPrefix": "*",
                "access": "Allow",
                "priority": 310,
                "direction": "Inbound",
                "sourcePortRanges": [],
                "destinationPortRanges": [],
                "sourceAddressPrefixes": [],
                "destinationAddressPrefixes": []
            }
      
  13. Wybierz pozycję Zapisz w edytorze online.

Wdróż ponownie

  1. Wybierz pozycję Podstawowa>subskrypcja, aby wybrać subskrypcję, w której zostanie wdrożona docelowa sieciowa grupa zabezpieczeń.

  2. Wybierz pozycję PODSTAWOWA>Grupa zasobów, aby wybrać grupę zasobów, w której zostanie wdrożona docelowa sieciowa grupa zabezpieczeń. Możesz kliknąć pozycję Utwórz nową , aby utworzyć nową grupę zasobów dla docelowej sieciowej grupy zabezpieczeń. Upewnij się, że nazwa nie jest taka sama jak źródłowa grupa zasobów istniejącej sieciowej grupy zabezpieczeń.

  3. Wybierz pozycję PODSTAWOWA>Lokalizacja jest ustawiona na lokalizację docelową, w której chcesz wdrożyć sieciową grupę zabezpieczeń.

  4. Sprawdź w obszarze USTAWIENIA , czy nazwa jest zgodna z nazwą wprowadzoną w edytorze parametrów powyżej.

  5. Zaznacz pole wyboru w obszarze WARUNKI I POSTANOWIENIA.

  6. Wybierz przycisk Kup, aby wdrożyć docelową sieciowa grupa zabezpieczeń.

Odrzuć

Jeśli chcesz odrzucić docelową sieciową grupę zabezpieczeń, usuń grupę zasobów zawierającą docelową sieciową grupę zabezpieczeń. W tym celu wybierz grupę zasobów z pulpitu nawigacyjnego w portalu i wybierz pozycję Usuń w górnej części strony przeglądu.

Czyszczenie

Aby zatwierdzić zmiany i zakończyć przenoszenie sieciowej grupy zabezpieczeń, usuń źródłową sieciową grupę zabezpieczeń lub grupę zasobów. W tym celu wybierz sieciowa grupa zabezpieczeń lub grupę zasobów z pulpitu nawigacyjnego w portalu i wybierz pozycję Usuń w górnej części każdej strony.

Następne kroki

W tym samouczku przeniesiono sieciową grupę zabezpieczeń platformy Azure z jednego regionu do innego i oczyszczono zasoby źródłowe. Aby dowiedzieć się więcej na temat przenoszenia zasobów między regionami i odzyskiwaniem po awarii na platformie Azure, zobacz: