Dela via

Migrera från flödesloggar för nätverkssäkerhetsgrupp till virtuella nätverksflödesloggar

  • Artikel

Viktigt!

Den 30 september 2027 dras nätverkssäkerhetsgruppens flödesloggar tillbaka. Som en del av den här tillbakadragningen kommer du inte längre att kunna skapa nya NSG-flödesloggar från och med den 30 juni 2025. Vi rekommenderar att du migrerar till flödesloggar för virtuella nätverk, vilket övervinner begränsningarna i NSG-flödesloggar. Efter slutdatumet stöds inte längre trafikanalys som är aktiverad med NSG-flödesloggar, och befintliga NSG-flödesloggresurser i dina prenumerationer tas bort. NSG-flödesloggposter tas dock inte bort och fortsätter att följa deras respektive kvarhållningsprinciper. Mer information finns i det officiella meddelandet.

I den här artikeln får du lära dig hur du migrerar dina befintliga flödesloggar för nätverkssäkerhetsgrupper till flödesloggar för virtuella nätverk med hjälp av ett migreringsskript. Flödesloggar för virtuella nätverk övervinner några av begränsningarna i flödesloggarna för nätverkssäkerhetsgrupper. Mer information finns i Flödesloggar för virtuellt nätverk.

Kommentar

Använd migreringsskriptet:

  • när du inte har aktiverat flödesloggning på alla nätverksgränssnitt eller undernät i ett virtuellt nätverk och du inte vill aktivera flödesloggning för virtuella nätverk på alla, eller
  • när flödesloggarna för nätverkssäkerhetsgruppen i ett virtuellt nätverk har olika konfigurationer och du vill skapa flödesloggar för virtuella nätverk med de olika konfigurationerna som flödesloggar för nätverkssäkerhetsgruppen.

Använd Azure Policy:

  • när du har samma nätverkssäkerhetsgrupp tillämpad på alla nätverksgränssnitt eller undernät i ett virtuellt nätverk,
  • när du har samma nätverkssäkerhetsgruppsflödesloggkonfigurationer för alla nätverksgränssnitt eller undernät i ett virtuellt nätverk, eller
  • när du vill aktivera flödesloggning för virtuella nätverk på den virtuella nätverksnivån.

Mer information finns i Distribuera och konfigurera flödesloggar för virtuella nätverk med hjälp av en inbyggd princip.

Förutsättningar

Generera migreringsskript

I det här avsnittet får du lära dig hur du genererar och laddar ned migreringsfilerna för de flödesloggar för nätverkssäkerhetsgruppen som du vill migrera.

  1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

    Skärmbild som visar hur du söker efter Network Watcher i Azure Portal.

  2. Under Loggar väljer du Migrera flödesloggar.

    Skärmbild som visar migreringssidan för nätverkssäkerhetsgruppens flödesloggar i Azure Portal.

  3. Välj de prenumerationer som innehåller flödesloggarna för nätverkssäkerhetsgruppen som du vill migrera.

  4. För varje prenumeration väljer du de regioner som innehåller de flödesloggar som du vill migrera. Totalt antal NSG-flödesloggar visar det totala antalet flödesloggar som finns i de valda prenumerationerna. Valda NSG-flödesloggar visar antalet flödesloggar i de valda regionerna.

  5. När du har valt prenumerationer och regioner väljer du Ladda ned skript och JSON-fil för att ladda ned migreringsfilerna som en zip-fil.

    Skärmbild som visar hur du genererar ett migreringsskript i Azure Portal.

  6. Extrahera MigrateFlowLogs.zip filen på den lokala datorn. Zip-filen innehåller följande två filer:

    • en skriptfil: MigrationFromNsgToAzureFlowLogging.ps1
    • en JSON-fil: RegionSubscriptionConfig.json.

Köra migreringsskript

I det här avsnittet får du lära dig hur du använder skriptfilen som du laddade ned i föregående avsnitt för att migrera flödesloggarna för nätverkssäkerhetsgruppen.

Viktigt!

När du börjar köra skriptet bör du inte göra några ändringar i topologin i de regioner och prenumerationer i flödesloggarna som du migrerar.

  1. Kör skriptfilen MigrationFromNsgToAzureFlowLogging.ps1.

  2. Ange 1 för alternativet Kör analys .

    .\MigrationFromNsgToAzureFlowLogging.ps1

Select one of the following options for flowlog migration:
1. Run analysis
2. Delete NSG flowlogs
3. Quit

  3. Ange JSON-filnamnet.

    Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json

  4. Ange antalet trådar eller lämna tomt för att använda standardvärdet 16.

    Please enter the number of threads you would like to use, press enter for using default value of 16:

    När analysen är klar visas analysrapporten på skärmen och i en html-fil i samma katalog som migreringsfilerna. Rapporten visar antalet flödesloggar för nätverkssäkerhetsgrupper som ska inaktiveras och antalet virtuella nätverksflödesloggar som skapas för att ersätta dem. Antalet virtuella nätverksflödesloggar som skapas beror på vilken typ av migrering du väljer. Om den nätverkssäkerhetsgrupp som du migrerar flödesloggen till exempel är associerad med tre nätverksgränssnitt i samma virtuella nätverk kan du välja migrering med aggregering så att en enda virtuell nätverksflödesloggresurs tillämpas på det virtuella nätverket. Du kan också välja migrering utan sammansättning för att ha tre virtuella nätverksflödesloggar (en virtuell nätverksflödesloggresurs per nätverksgränssnitt).

    Kommentar

    Se AnalysisReport-<subscriptionId>-<region>-<time>.html filen för en fullständig rapport över den analys som du utförde. Filen är tillgänglig i samma katalog i skriptet.

  5. Ange 2 eller 3 för att välja den typ av migrering som du vill utföra.

    Select one of the following options for flowlog migration:
1. Re-Run analysis
2. Proceed with migration with aggregation
3. Proceed with migration without aggregation
4. Quit

  6. När du ser sammanfattningen av migreringen på skärmen kan du avbryta migreringen och återställa ändringarna. Om du vill acceptera och fortsätta med migreringen anger du n, annars anger du y. När du har godkänt ändringarna kan du inte återställa dem.

    Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n

    Kommentar

    Behåll skript- och analysrapportfilerna som referens om du har problem med migreringen.

  7. Kontrollera Azure Portal för att bekräfta att statusen för nätverkssäkerhetsgruppens flödesloggar som du migrerade blev inaktiverad. Kontrollera även de nyligen skapade flödesloggarna för virtuella nätverk som ett resultat av migreringsprocessen.

    Skärmbild som visar den nyligen skapade flödesloggen för virtuella nätverk som ett resultat av migreringen från flödesloggen för nätverkssäkerhetsgruppen.

  8. Lägg till ett filter för att endast visa flödesloggar för nätverkssäkerhetsgrupper från de prenumerationer och regioner som du väljer. Du kan hoppa över det här steget om du bara har migrerat ett fåtal flödesloggar för nätverkssäkerhetsgrupper.

    Skärmbild som visar hur du använder ett filter för att endast visa flödesloggar för nätverkssäkerhetsgrupp.

  9. Välj de flödesloggar som du vill ta bort och välj sedan Ta bort

    Skärmbild som visar hur du väljer och tar bort flödesloggarna för migrerade nätverkssäkerhetsgrupper.

  10. Ange ta bort och välj sedan Ta bort för att bekräfta borttagningen.

    Skärmbild som visar hur du bekräftar borttagningen av migrerade flödesloggar.

Att tänka på

  • Skalningsuppsättning med en lastbalanserare: Migreringsskriptet möjliggör flödesloggning för virtuella nätverk på det undernät som har de virtuella skalningsuppsättningsdatorerna.

    Kommentar

    Om nätverkssäkerhetsgruppens flödesloggning inte är aktiverad i alla nätverksgränssnitt i skalningsuppsättningen, eller om nätverksgränssnitten inte delar samma flödeslogg för nätverkssäkerhetsgruppen, skapas en flödeslogg för virtuellt nätverk i undernätet med samma konfigurationer som ett av nätverksgränssnitten i skalningsuppsättningen.

  • PaaS: Migreringsskriptet stöder inte miljöer med PaaS-lösningar som har flödesloggar för nätverkssäkerhetsgrupper i en användares prenumeration, men målresurser finns i olika prenumerationer. För sådana miljöer bör du manuellt aktivera flödesloggning för virtuella nätverk i det virtuella nätverket eller undernätet för PaaS-lösningen.

Relaterat innehåll