Realocar o NSG (grupo de segurança de rede) do Azure para outra região

Este artigo mostra como realocar um NSG para uma nova região, criando uma cópia da configuração de origem e das regras de segurança do NSG para outra região.

Pré-requisitos

• Verifique se o grupo de segurança de rede do Azure está na região do Azure de destino.

• Associe o novo NSG aos recursos na região de destino.

• Para exportar uma configuração de NSG e implantar um modelo para criar um NSG em outra região, você precisará da função Colaborador de Rede ou superior.

• Identifique o layout de rede de origem e todos os recursos que você está usando atualmente. Esse layout inclui balanceadores de carga, IPs públicos, redes virtuais, entre outros.

• Verifique se a assinatura do Azure permite criar NSGs na região de destino usada. Contate o suporte para habilitar a cota necessária.

• Certifique-se de que sua assinatura tenha recursos suficientes para dar suporte à adição de NSGs para esse processo. Veja Assinatura do Azure e limites, cotas e restrições de serviço.

Tempo de inatividade

Para entender os possíveis tempos de inatividade envolvidos, confira Cloud Adoption Framework para o Azure: selecione um método de relocalização.

Preparar-se

As etapas a seguir mostram como preparar o grupo de segurança de rede para migrar a configuração e a regra de segurança usando um modelo do Resource Manager e migrar a configuração e as regras de segurança do NSG para a região de destino usando o portal.

Exportar e modificar um modelo

Portal

Para exportar e modificar um modelo com o portal do Azure:

1. Entre no portal do Azure.

2. Selecione Todos os recursos e, em seguida, selecione sua conta de armazenamento.

3. Selecione >Automação>Exportar modelo.

4. Escolha Implantar na folha Exportar modelo.

5. Selecione MODELO>Editar parâmetros para abrir o arquivo parameters.json no editor online.

6. Para editar o parâmetro do nome do NSG, altere a propriedade value em parameters:

           {
           "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
           "contentVersion": "1.0.0.0",
           "parameters": {
           "networkSecurityGroups_myVM1_nsg_name": {
              "value": "<target-nsg-name>"
               }
              }
           }
   

7. Altere o valor do NSG de origem no editor para um nome de sua escolha para o NSG de destino. É necessário colocar o nome entre aspas.

8. Selecione Salvar no editor.

9. Selecione MODELO>Editar modelo para abrir o arquivo template.json no editor online.

10. Para editar a região de destino em que a configuração e as regras de segurança do NSG serão movidas, altere a propriedade location em resources no editor online:

            "resources": [
            {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2019-06-01",
            "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
            "location": "<target-region>",
            "properties": {
                "provisioningState": "Succeeded",
                "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
             }
            }
           ]
    
    

11. Para obter códigos de localização de região, consulte Locais do Azure. O código de uma região é o nome da região em inglês sem espaços, por exemplo, EUA Central = centralus.

12. Você também pode alterar outros parâmetros no modelo se quiser, e eles podem ser opcionais dependendo dos seus requisitos:

    • Regras de segurança – você pode editar quais regras são implantadas no NSG de destino adicionando ou removendo regras na seção securityRules no arquivo template.jsno:

         "resources": [
          {
          "type": "Microsoft.Network/networkSecurityGroups",
          "apiVersion": "2019-06-01",
          "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
          "location": "<target-region>",
          "properties": {
              "provisioningState": "Succeeded",
              "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
              "securityRules": [
                  {
                      "name": "RDP",
                      "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                      "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                           }
                  },
              ]
          }
      

      Para concluir a adição ou a remoção das regras no NSG de destino, você também deve editar os tipos de regras personalizadas no final do arquivo template.jsno no formato do exemplo abaixo:

           {
            "type": "Microsoft.Network/networkSecurityGroups/securityRules",
            "apiVersion": "2019-06-01",
            "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
            "dependsOn": [
                "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
            ],
            "properties": {
                "provisioningState": "Succeeded",
                "protocol": "*",
                "sourcePortRange": "*",
                "destinationPortRange": "80",
                "sourceAddressPrefix": "*",
                "destinationAddressPrefix": "*",
                "access": "Allow",
                "priority": 310,
                "direction": "Inbound",
                "sourcePortRanges": [],
                "destinationPortRanges": [],
                "sourceAddressPrefixes": [],
                "destinationAddressPrefixes": []
            }
      

13. Selecione Salvar no editor online.

PowerShell

Para exportar e modificar um modelo com o PowerShell:

1. Entre em sua assinatura do Azure com o comando Connect-AzAccount e siga as instruções na tela:

   Connect-AzAccount
   

2. Obtenha a ID do recurso do NSG que você deseja migrar para a região de destino e coloque-a em uma variável usando Get-AzNetworkSecurityGroup:

   $sourceNSGID = (Get-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>).Id
   
   

3. Exporte o NSG de origem para um arquivo .json no diretório em que você executa o comando Export-AzResourceGroup:

   Export-AzResourceGroup -ResourceGroupName <source-resource-group-name> -Resource $sourceNSGID -IncludeParameterDefaultValue
   

4. O arquivo baixado será nomeado após o grupo de recursos do qual o recurso foi exportado. Localize o arquivo que foi exportado do comando chamado <resource-group-name>.json e abra-o em um editor de sua escolha:

   notepad <source-resource-group-name>.json
   

5. Para editar o parâmetro do nome do NSG, altere a propriedade defaultValue do nome do NSG de origem para o nome do NSG de destino. Verifique se o nome está entre aspas:

           {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "networkSecurityGroups_myVM1_nsg_name": {
           "defaultValue": "<target-nsg-name>",
           "type": "String"
           }
       }
   
   

6. Para editar a região de destino em que a configuração e as regras de segurança do NSG serão movidas, altere a propriedade location em resources:

           "resources": [
           {
           "type": "Microsoft.Network/networkSecurityGroups",
           "apiVersion": "2019-06-01",
           "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
           "location": "<target-region>",
           "properties": {
               "provisioningState": "Succeeded",
               "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78", 
            }
           }
   

7. Para obter códigos de localização de região, você pode usar o cmdlet do Azure PowerShell Get-AzLocation executando o seguinte comando:

   
   Get-AzLocation | format-table
   
   

8. Você também pode alterar outros parâmetros no arquivo <resource-group-name>.json se quiser, e eles podem ser opcionais dependendo dos seus requisitos:

   • Regras de segurança – você pode editar quais regras são implantadas no NSG de destino adicionando ou removendo regras na seção securityRules no arquivo <resource-group-name>.json:

        "resources": [
               {
               "type": "Microsoft.Network/networkSecurityGroups",
               "apiVersion": "2019-06-01",
               "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
               "location": "TARGET REGION",
               "properties": {
                    "provisioningState": "Succeeded",
                    "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
               "securityRules": [
                 {
                     "name": "RDP",
                     "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                     "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                         }
                     ]
         }  
     
     

     Para concluir a adição ou a remoção das regras no NSG de destino, você também deve editar os tipos de regras personalizadas no fim do arquivo <resource-group-name>.json no formato do exemplo abaixo:

        {
         "type": "Microsoft.Network/networkSecurityGroups/securityRules",
         "apiVersion": "2019-06-01",
         "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
         "dependsOn": [
             "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
         ],
         "properties": {
             "provisioningState": "Succeeded",
             "protocol": "*",
             "sourcePortRange": "*",
             "destinationPortRange": "80",
             "sourceAddressPrefix": "*",
             "destinationAddressPrefix": "*",
             "access": "Allow",
             "priority": 310,
             "direction": "Inbound",
             "sourcePortRanges": [],
             "destinationPortRanges": [],
             "sourceAddressPrefixes": [],
             "destinationAddressPrefixes": []
         }
     

9. Salve o arquivo <resource-group-name>.json.

Reimplantar

Portal

1. Selecione BÁSICO>Assinatura para escolher a assinatura na qual o NSG de destino será implantado.

2. Selecione BÁSICO>Grupo de recursos para escolher o grupo de recursos no qual o NSG de destino será implantado. Você pode selecionar Criar novo para criar um novo grupo de recursos para o NSG de destino. Verifique se o nome não é o mesmo que o grupo de recursos de origem do NSG existente.

3. Verifique se BÁSICO>Local está definido como o local de destino onde você deseja que o NSG seja implantado.

4. Em CONFIGURAÇÕES, verifique se o nome corresponde àquele que você inseriu anteriormente no editor de parâmetros.

5. Marque a caixa em TERMOS E CONDIÇÕES.

6. Selecione o botão Comprar para implantar o grupo de segurança de rede de destino.

PowerShell

1. Crie um grupo de recursos na região de destino para o NSG de destino a ser implantado usando New-AzResourceGroup:

   New-AzResourceGroup -Name <target-resource-group-name> -location <target-region>
   

2. Implante o arquivo <resource-group-name>.json editado no grupo de recursos criado na etapa anterior usandoNew-AzResourceGroupDeployment:

   
   New-AzResourceGroupDeployment -ResourceGroupName <target-resource-group-name> -TemplateFile <source-resource-group-name>.json
   
   

3. Para verificar se os recursos foram criados na região de destino, use Get-AzResourceGroup e Get-AzNetworkSecurityGroup:

   
   Get-AzResourceGroup -Name <target-resource-group-name>
   
   

   
   Get-AzNetworkSecurityGroup -Name <target-nsg-name> -ResourceGroupName <target-resource-group-name>
   
   

Descartar

Portal

Se você quiser descartar o NSG de destino, exclua o grupo de recursos que o contém. Para fazer isso, selecione o grupo de recursos em seu painel no portal e, em seguida, selecione Excluir na parte superior da página de visão geral.

PowerShell

Após a implantação, se você quiser iniciar ou descartar o NSG no destino, exclua o grupo de recursos que foi criado no destino, e o NSG movido será excluído. Para remover o grupo de recursos, use Remove-AzResourceGroup:

Remove-AzResourceGroup -Name <target-resource-group-name>

Limpar

Portal

Para confirmar as alterações e concluir a migração do NSG, exclua o NSG ou o grupo de recursos de origem. Para fazer isso, selecione o grupo de segurança de rede ou o grupo de recursos no seu painel no portal e selecione Excluir na parte superior de cada página.

PowerShell

Para confirmar as alterações e concluir a movimentação do NSG, exclua o NSG de origem ou o grupo de recursos e use Remove-AzResourceGroup ou Remove-AzNetworkSecurityGroup:

Remove-AzResourceGroup -Name <source-resource-group-name>

Remove-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>

Próximas etapas

Neste tutorial, você moveu um grupo de segurança de rede do Azure de uma região para outra e limpou os recursos de origem. Para saber mais sobre como mover recursos entre regiões e recuperação de desastres no Azure, confira:

• Mover recursos para um novo grupo de recursos ou assinatura
• Mover as VMs do Azure para outra região