你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从网络安全组流日志迁移到虚拟网络流日志
重要
2027 年 9 月 30 日,网络安全组 (NSG) 流日志将停用。 在此停用过程中,从 2025 年 6 月 30 日起,你将无法再创建新的 NSG 流日志。 建议迁移到虚拟网络流日志,从而克服 NSG 流日志的限制。 自停用日期之后,将不再支持使用 NSG 流日志启用的流量分析,并且订阅中的现有 NSG 流日志资源将被删除。 但是,不会删除 NSG 流日志记录,并将继续遵循其各自的保留策略。 有关详细信息,请查看官方公告。
本文介绍如何使用迁移脚本将现有网络安全组流日志迁移到虚拟网络流日志。 虚拟网络流日志克服了网络安全组流日志的一些限制。 有关详细信息,请参阅虚拟网络流日志。
注意
使用迁移脚本:
- 如果未在虚拟网络中的所有网络接口或子网上启用流日志记录,并且你不想对所有网络接口或子网启用虚拟网络流日志记录;或者
- 如果虚拟网络中的网络安全组流日志具有不同的配置,并且你想要创建虚拟网络流日志,并将这些不同的配置用作网络安全组流日志。
使用 Azure Policy:
- 如果对虚拟网络中的所有网络接口或子网应用了相同的网络安全组,
- 如果对虚拟网络中的所有网络接口或子网使用相同的网络安全组流日志配置,或者
- 如果你想要在虚拟网络级别上启用虚拟网络流日志记录。
有关详细信息,请参阅使用内置策略部署和配置虚拟网络流日志。
先决条件
具有活动订阅的 Azure 帐户。 免费创建帐户。
计算机上已 安装 PowerShell 7。 有关详细信息,请参阅在 Windows、Linux 和 macOS 上安装 PowerShell。 本文需要 Az PowerShell 模块。 有关详细信息,请参阅如何安装 Azure PowerShell。 要查找已安装的版本,请运行
Get-Module -ListAvailable Az
。对流日志订阅和 Log Analytics 工作区订阅的必要 RBAC 权限(如果为任何网络安全组流日志启用了流量分析)。 有关详细信息,请参阅网络观察程序权限。
至少一个区域中的网络安全组流日志。 有关详细信息,请参阅创建网络安全组流日志。
生成迁移脚本
本部分介绍如何为要迁移的网络安全组流日志生成和下载迁移文件。
在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中,选择“网络观察程序”。
在“日志”下,选择“迁移流日志”。
选择包含要迁移的网络安全组流日志的订阅。
为每个订阅选择包含要迁移的流日志的区域。 “NSG 流日志总数”显示所选订阅中的流日志总数。 “所选 NSG 流日志数”显示所选区域中的流日志数。
选择订阅和区域后,选择“下载脚本和 JSON 文件”,以 zip 文件的形式下载迁移文件。
在本地计算机上提取
MigrateFlowLogs.zip
文件。 zip 文件包含以下两个文件:- 脚本文件:
MigrationFromNsgToAzureFlowLogging.ps1
- JSON 文件:
RegionSubscriptionConfig.json
。
- 脚本文件:
运行迁移脚本
本部分介绍如何使用在上一部分中下载的脚本文件迁移网络安全组流日志。
重要
开始运行脚本后,不应该对要迁移的流日志的区域和订阅中的拓扑进行任何更改。
运行脚本文件
MigrationFromNsgToAzureFlowLogging.ps1
。针对“运行分析”选项输入 1。
.\MigrationFromNsgToAzureFlowLogging.ps1 Select one of the following options for flowlog migration: 1. Run analysis 2. Delete NSG flowlogs 3. Quit
输入 JSON 文件名。
Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json
输入线程数,或留空以使用默认值 16。
Please enter the number of threads you would like to use, press enter for using default value of 16:
分析完成后,你将在屏幕上看到分析报告,也可在与迁移文件相同的目录中查看 html 文件格式的分析报告。 该报告列出了将禁用的网络安全组流日志数,以及为了替换它们而创建的虚拟网络流日志数。 创建的虚拟网络流日志数取决于所选迁移的类型。 例如,如果其流日志要进行迁移的网络安全组与同一虚拟网络中的三个网络接口相关联,则可以选择“使用聚合迁移”将单个虚拟网络流日志资源应用于虚拟网络。 也可以选择“不使用聚合迁移”,此时有三个虚拟网络流日志(每个网络接口一个虚拟网络流日志资源)。
注意
请查看
AnalysisReport-<subscriptionId>-<region>-<time>.html
文件获取所执行的分析的完整报告。 此文件在与脚本相同的目录中提供。输入 2 或 3 以选择要执行的迁移类型。
Select one of the following options for flowlog migration: 1. Re-Run analysis 2. Proceed with migration with aggregation 3. Proceed with migration without aggregation 4. Quit
在屏幕上看到迁移摘要后,可以取消迁移并还原更改。 若要接受并继续进行迁移,请输入 n,否则请输入 y。 接受更改后,便无法还原更改。
Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n
注意
请保留脚本和分析报告文件,以便在迁移过程中遇到任何问题时参考。
检查 Azure 门户,确认迁移完成的网络安全组流日志的状态已变为禁用。 检查迁移过程后新建的虚拟网络流日志。
添加筛选器以仅列出所选订阅和区域的网络安全组流日志。 如果只迁移了几个网络安全组流日志,则可以跳过此步骤。
选择要删除的流日志,然后选择“删除”
输入“删除”,然后选择“删除”以确认删除。
注意事项
使用负载均衡器的规模集:迁移脚本在具有规模集虚拟机的子网上启用虚拟网络流日志记录。
注意
如果未在规模集的所有网络接口上启用网络安全组流日志记录,或者网络接口不共享相同的网络安全组流日志,则会在子网上创建虚拟网络流日志,其配置与规模集的网络接口之一相同。
PaaS:迁移脚本不支持具有用户订阅中网络安全组流日志但目标资源位于不同订阅中的 PaaS 解决方案的环境。 对于此类环境,应在 PaaS 解决方案的虚拟网络或子网上手动启用虚拟网络流日志记录。