Realoque o NSG (grupo de segurança de rede) do Azure para outra região

Artigo
03/05/2024

Este artigo mostra como realocar um NSG para uma nova região criando uma cópia da configuração de origem e das regras de segurança do NSG para outra região.

Pré-requisitos

Verifique se o grupo de segurança de rede do Azure está na região de destino do Azure.
Associe o novo NSG aos recursos na região de destino.
Para exportar uma configuração do NSG e implantar um modelo para criar um NSG em outra região, você precisará da função de Colaborador de Rede ou superior.
Identifique o layout de rede de origem e todos os recursos que você está usando no momento. Esse layout inclui, mas não se limita a, balanceadores de carga, IPs públicos e redes virtuais.
Verifique se sua assinatura do Azure permite que você crie NSGs na região de destino usada. Contacte o suporte para ativar a quota necessária.
Certifique-se de que a sua subscrição tem recursos suficientes para suportar a adição de NSGs para este processo. Veja Subscrição do Azure e limites de serviço, quotas e restrições.

Inatividade

Para entender os possíveis períodos de inatividade envolvidos, consulte Cloud Adoption Framework for Azure: Select a relocation method.

Preparação

As etapas a seguir mostram como preparar o grupo de segurança de rede para a configuração e a regra de segurança, mover usando um modelo do Gerenciador de Recursos e mover as regras de configuração e segurança do NSG para a região de destino usando o portal.

Para exportar e modificar um modelo usando o portal do Azure:

Inicie sessão no portal do Azure.
Selecione Todos os recursos e, em seguida, selecione sua conta de armazenamento.
Selecione >Modelo de exportação de automação>.
Escolha Implantar na folha Exportar modelo .
Selecione TEMPLATE>Edit parâmetros para abrir o arquivo parameters.json no editor online.

Para editar o parâmetro do nome NSG, altere a propriedade value em parameters:

        {
        "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
        "contentVersion": "1.0.0.0",
        "parameters": {
        "networkSecurityGroups_myVM1_nsg_name": {
           "value": "<target-nsg-name>"
            }
           }
        }

Altere o valor NSG de origem no editor para um nome de sua escolha para o NSG de destino. Certifique-se de colocar o nome entre aspas.
Selecione Salvar no editor.
Selecione TEMPLATE>Edit template para abrir o arquivo template.json no editor online.

Para editar a região de destino para onde as regras de configuração e segurança do NSG serão movidas, altere a propriedade location em recursos no editor online:

        "resources": [
        {
        "type": "Microsoft.Network/networkSecurityGroups",
        "apiVersion": "2019-06-01",
        "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
        "location": "<target-region>",
        "properties": {
            "provisioningState": "Succeeded",
            "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
         }
        }
       ]

Para obter códigos de localização de região, consulte Localizações do Azure. O código de uma região é o nome da região sem espaços, Central US = centralus.

Você também pode alterar outros parâmetros no modelo, se desejar, e são opcionais dependendo de seus requisitos:

Regras de segurança - Você pode editar quais regras são implantadas no NSG de destino adicionando ou removendo regras à seção securityRules no arquivo template.json :

   "resources": [
    {
    "type": "Microsoft.Network/networkSecurityGroups",
    "apiVersion": "2019-06-01",
    "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
    "location": "<target-region>",
    "properties": {
        "provisioningState": "Succeeded",
        "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
        "securityRules": [
            {
                "name": "RDP",
                "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                "properties": {
                    "provisioningState": "Succeeded",
                    "protocol": "TCP",
                    "sourcePortRange": "*",
                    "destinationPortRange": "3389",
                    "sourceAddressPrefix": "*",
                    "destinationAddressPrefix": "*",
                    "access": "Allow",
                    "priority": 300,
                    "direction": "Inbound",
                    "sourcePortRanges": [],
                    "destinationPortRanges": [],
                    "sourceAddressPrefixes": [],
                    "destinationAddressPrefixes": []
                     }
            },
        ]
    }

Para concluir a adição ou a remoção das regras no NSG de destino, você também deve editar os tipos de regras personalizadas no final do arquivo de template.json no formato do exemplo abaixo:

     {
      "type": "Microsoft.Network/networkSecurityGroups/securityRules",
      "apiVersion": "2019-06-01",
      "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
      "dependsOn": [
          "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
      ],
      "properties": {
          "provisioningState": "Succeeded",
          "protocol": "*",
          "sourcePortRange": "*",
          "destinationPortRange": "80",
          "sourceAddressPrefix": "*",
          "destinationAddressPrefix": "*",
          "access": "Allow",
          "priority": 310,
          "direction": "Inbound",
          "sourcePortRanges": [],
          "destinationPortRanges": [],
          "sourceAddressPrefixes": [],
          "destinationAddressPrefixes": []
      }

Selecione Salvar no editor online.

Para exportar e modificar um modelo usando o PowerShell:

Entre na sua assinatura do Azure com o comando Connect-AzAccount e siga as instruções na tela:
```
Connect-AzAccount
```
Obtenha o ID do recurso do NSG que você deseja mover para a região de destino e coloque-o em uma variável usando Get-AzNetworkSecurityGroup:
```
$sourceNSGID = (Get-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>).Id
```

Exporte o NSG de origem para um arquivo .json no diretório onde você executa o comando Export-AzResourceGroup:

Export-AzResourceGroup -ResourceGroupName <source-resource-group-name> -Resource $sourceNSGID -IncludeParameterDefaultValue

O arquivo baixado terá o nome do grupo de recursos do qual o recurso foi exportado. Localize o arquivo que foi exportado do comando chamado <resource-group-name>.json e abra-o em um editor de sua escolha:
```
notepad <source-resource-group-name>.json
```

Para editar o parâmetro do nome NSG, altere a propriedade defaultValue do nome NSG de origem para o nome do NSG de destino, verifique se o nome está entre aspas:

        {
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "networkSecurityGroups_myVM1_nsg_name": {
        "defaultValue": "<target-nsg-name>",
        "type": "String"
        }
    }

Para editar a região de destino para onde a configuração do NSG e as regras de segurança serão movidas, altere a propriedade location em recursos:

        "resources": [
        {
        "type": "Microsoft.Network/networkSecurityGroups",
        "apiVersion": "2019-06-01",
        "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
        "location": "<target-region>",
        "properties": {
            "provisioningState": "Succeeded",
            "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78", 
         }
        }

Para obter códigos de local de região, você pode usar o cmdlet Get-AzLocation do Azure PowerShell executando o seguinte comando:
```
Get-AzLocation | format-table
```

Você também pode alterar outros parâmetros no nome> do grupo de recursos.json se desejar, e são opcionais dependendo de <seus requisitos:

Regras de segurança - Você pode editar quais regras são implantadas no NSG de destino adicionando ou removendo regras à seção securityRules no <arquivo resource-group-name>.json arquivo:

   "resources": [
          {
          "type": "Microsoft.Network/networkSecurityGroups",
          "apiVersion": "2019-06-01",
          "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
          "location": "TARGET REGION",
          "properties": {
               "provisioningState": "Succeeded",
               "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
          "securityRules": [
            {
                "name": "RDP",
                "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                "properties": {
                     "provisioningState": "Succeeded",
                     "protocol": "TCP",
                     "sourcePortRange": "*",
                     "destinationPortRange": "3389",
                     "sourceAddressPrefix": "*",
                     "destinationAddressPrefix": "*",
                     "access": "Allow",
                     "priority": 300,
                     "direction": "Inbound",
                     "sourcePortRanges": [],
                     "destinationPortRanges": [],
                     "sourceAddressPrefixes": [],
                     "destinationAddressPrefixes": []
                    }
                ]
    }

Para concluir a adição ou a remoção das regras no NSG de destino, você também deve editar os tipos de regras personalizadas no final do <arquivo resource-group-name>.json no formato do exemplo abaixo:

   {
    "type": "Microsoft.Network/networkSecurityGroups/securityRules",
    "apiVersion": "2019-06-01",
    "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
    "dependsOn": [
        "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
    ],
    "properties": {
        "provisioningState": "Succeeded",
        "protocol": "*",
        "sourcePortRange": "*",
        "destinationPortRange": "80",
        "sourceAddressPrefix": "*",
        "destinationAddressPrefix": "*",
        "access": "Allow",
        "priority": 310,
        "direction": "Inbound",
        "sourcePortRanges": [],
        "destinationPortRanges": [],
        "sourceAddressPrefixes": [],
        "destinationAddressPrefixes": []
    }

Salve o <arquivo resource-group-name>.json arquivo.

Voltar a implementar

Portal
PowerShell

Selecione Assinatura BASICS>para escolher a assinatura onde o NSG de destino será implantado.
Selecione Grupo de recursos BASICS para escolher o grupo de>recursos onde o NSG de destino será implantado. Você pode clicar em Criar novo para criar um novo grupo de recursos para o NSG de destino. Verifique se o nome não é o mesmo que o grupo de recursos de origem do NSG existente.
Selecione BASICS Location é definido para o local de>destino onde você deseja que o NSG seja implantado.
Verifique em CONFIGURAÇÕES se o nome corresponde ao nome que você inseriu no editor de parâmetros acima.
Marque a caixa em TERMOS E CONDIÇÕES.
Selecione o botão Comprar para implantar o grupo de segurança de rede de destino.

Crie um grupo de recursos na região de destino para que o NSG de destino seja implantado usando New-AzResourceGroup:
```
New-AzResourceGroup -Name <target-resource-group-name> -location <target-region>
```
Implante o arquivo editado <resource-group-name>.json no grupo de recursos criado na etapa anterior usando New-AzResourceGroupDeployment:
```
New-AzResourceGroupDeployment -ResourceGroupName <target-resource-group-name> -TemplateFile <source-resource-group-name>.json
```

Para verificar se os recursos foram criados na região de destino, use Get-AzResourceGroup e Get-AzNetworkSecurityGroup:


Get-AzResourceGroup -Name <target-resource-group-name>


Get-AzNetworkSecurityGroup -Name <target-nsg-name> -ResourceGroupName <target-resource-group-name>

Eliminar

Portal
PowerShell

Se desejar descartar o NSG de destino, exclua o grupo de recursos que contém o NSG de destino. Para fazer isso, selecione o grupo de recursos no seu painel no portal e selecione Excluir na parte superior da página de visão geral.

Após a implantação, se desejar recomeçar ou descartar o NSG no destino, exclua o grupo de recursos que foi criado no destino e o NSG movido será excluído. Para remover o grupo de recursos, use Remove-AzResourceGroup:


Remove-AzResourceGroup -Name <target-resource-group-name>

Limpeza

Portal
PowerShell

Para confirmar as alterações e concluir a movimentação do NSG, exclua o NSG de origem ou o grupo de recursos. Para fazer isso, selecione o grupo de segurança de rede ou grupo de recursos no seu painel no portal e selecione Excluir na parte superior de cada página.

Para confirmar as alterações e concluir a movimentação do NSG, exclua o NSG ou grupo de recursos de origem, use Remove-AzResourceGroup ou Remove-AzNetworkSecurityGroup:


Remove-AzResourceGroup -Name <source-resource-group-name>


Remove-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>

Próximos passos

Neste tutorial, você moveu um grupo de segurança de rede do Azure de uma região para outra e limpou os recursos de origem. Para saber mais sobre como mover recursos entre regiões e recuperação de desastres no Azure, consulte:

Partilhar via