نقل Azure Firewall إلى منطقة أخرى

مقالة
07/26/2024

توضح لك هذه المقالة كيفية نقل جدار حماية Azure الذي يحمي شبكة Azure الظاهرية.

المتطلبات الأساسية

نوصي بشدة باستخدام Premium SKU. إذا كنت تستخدم Standard SKU، ففكر في الترحيل من Standard SKU Azure Firewall إلى Premium SKU قبل الانتقال.
يجب جمع المعلومات التالية من أجل تخطيط وتنفيذ نقل جدار حماية Azure بشكل صحيح:
- نموذج التوزيع.قواعد جدار الحماية الكلاسيكية أو نهج جدار الحماية.
- اسم نهج جدار الحماية. (إذا يتم استخدام نموذج توزيع نهج جدار الحماية).
- إعداد التشخيص على مستوى مثيل جدار الحماية. (إذا تم استخدام مساحة عمل Log Analytics).
- تكوين فحص TLS (أمان طبقة النقل).: (إذا تم استخدام Azure Key Vault والشهادة والهوية المدارة.)
- عنصر تحكم IP العام. تقييم أن أي هوية خارجية تعتمد على عنوان IP العام لجدار حماية Azure تظل ثابتة وموثوقة.
تحتوي طبقات Azure Firewall Standard وPremium على التبعيات التالية التي قد تحتاج إلى نشرها في المنطقة المستهدفة:
- الشبكة الافتراضية في Azure
- (إذا تم استخدامه) مساحة عمل Log Analytics
إذا كنت تستخدم ميزة فحص TLS لطبقة Azure Firewall Premium، فيجب أيضا نشر التبعيات التالية في المنطقة المستهدفة:
- Azure Key Vault
- هوية Azure المدارة

وقت التعطل

لفهم أوقات التعطل المحتملة المتضمنة، راجع Cloud Adoption Framework ل Azure: حدد أسلوب نقل.

تجهيز

للتحضير للنقل، تحتاج أولا إلى تصدير القالب وتعديله من منطقة المصدر. لعرض نموذج قالب ARM لجدار حماية Azure، راجع مراجعة القالب.

قم بتسجيل الدخول إلى بوابة Azure.
حدد All resources ثم حدد مورد Azure Firewall.
في صفحة Azure Firewall ، حدد Export template ضمن Automation في القائمة اليسرى.
اختر Download في صفحة Export template .
حدد موقع الملف .zip الذي قمت بتنزيله من المدخل، وقم بفك ضغط الملف إلى مجلد من اختيارك.

يحتوي هذا الملف المضغوط على ملفات .json التي تتضمن القالب والبرامج النصية لتوزيع القالب.

سجل الدخول إلى اشتراك Azure باستخدام Connect-AzAccount الأمر واتبع التوجيهات التي تظهر على الشاشة:


Connect-AzAccount

إذا كانت هويتك مقترنة بأكثر من اشتراك واحد، فقم بتعيين اشتراكك النشط إلى اشتراك مورد Azure Firewall الذي تريد نقله.


$context = Get-AzSubscription -SubscriptionId <subscription-id>
Set-AzContext $context

تصدير قالب مورد Azure Firewall المصدر عن طريق تشغيل الأوامر التالية:


$resource = Get-AzResource `
  -ResourceGroupName <resource-group-name> `
  -ResourceName <resource-name> `
  -ResourceType <resource-type>

Export-AzResourceGroup `
  -ResourceGroupName <resource-group-name> `
  -Resource $resource.ResourceId

حدد موقع في template.json الدليل الحالي.

تعديل القالب

في هذا القسم، ستتعلم كيفية تعديل القالب الذي أنشأته في القسم السابق.

إذا كنت تقوم بتشغيل قواعد جدار الحماية الكلاسيكية بدون نهج جدار الحماية، فرحل إلى نهج جدار الحماية قبل المتابعة مع الخطوات الواردة في هذا القسم. لمعرفة كيفية الترحيل من قواعد جدار الحماية الكلاسيكية إلى نهج جدار الحماية، راجع ترحيل تكوين جدار حماية Azure إلى نهج جدار حماية Azure باستخدام PowerShell.

مدخل Microsoft Azure
بوويرشيل

قم بتسجيل الدخول إلى بوابة Azure.
إذا كنت تستخدم Premium SKU مع تمكين فحص TLS،
1. نقل مخزن المفاتيح المستخدم لفحص TLS إلى المنطقة المستهدفة الجديدة. ثم اتبع الإجراءات لنقل الشهادات أو إنشاء شهادات جديدة لفحص TLS إلى مخزن المفاتيح الجديد في المنطقة المستهدفة.
2. نقل الهوية المدارة إلى المنطقة المستهدفة الجديدة. أعد تعيين الأدوار المقابلة لمخزن المفاتيح في المنطقة المستهدفة والاشتراك.
في مدخل Azure، حدد Create a resource.
في البحث في السوق، اكتب template deployment، ثم اضغط على مفتاح الإدخال Enter.
حدد نشر القالب وحدد إنشاء.
حدد Build your own template in the editor.
حدد تحميل الملف، ثم اتبع الإرشادات لتحميل template.json الملف الذي قمت بتنزيله في القسم السابق
في template.json الملف، استبدل:
- firewallName بالقيمة الافتراضية لاسم جدار حماية Azure.
- azureFirewallPublicIpId بمعرف عنوان IP العام الخاص بك في المنطقة المستهدفة.
- virtualNetworkName باسم الشبكة الظاهرية في المنطقة المستهدفة.
- firewallPolicy.id بمعرف النهج الخاص بك.
إنشاء نهج جدار حماية جديد باستخدام تكوين منطقة المصدر وتعكس التغييرات التي أدخلتها المنطقة المستهدفة الجديدة (نطاقات عناوين IP، IP العام، مجموعات القواعد).
إذا كنت تستخدم Premium SKU وتريد تمكين فحص TLS، فقم بتحديث نهج جدار الحماية الذي تم إنشاؤه حديثا وتمكين فحص TLS باتباع الإرشادات هنا.
مراجعة وتحديث التكوين للمواضيع أدناه لتعكس التغييرات المطلوبة للمنطقة المستهدفة.
- مجموعات IP. لتضمين عناوين IP من المنطقة المستهدفة، إذا كانت مختلفة عن المصدر، يجب مراجعة مجموعات IP. يجب تعديل عناوين IP المضمنة في المجموعات.
- مناطق. تكوين مناطق التوفر (AZ) في المنطقة المستهدفة.
- نفق إجباري.تأكد من نقل الشبكة الظاهرية وأن الشبكة الفرعية لإدارة جدار الحماية موجودة قبل نقل جدار حماية Azure. قم بتحديث عنوان IP في المنطقة المستهدفة من الجهاز الظاهري للشبكة (NVA) الذي يجب أن يعيد جدار حماية Azure توجيه نسبة استخدام الشبكة إليه، في المسار المعرف من قبل المستخدم (UDR).
- نظام أسماء المجالات (DNS). راجع عناوين IP لخوادم DNS المخصصة المخصصة لتعكس منطقتك المستهدفة. إذا تم تمكين ميزة وكيل DNS، فتأكد من تكوين إعدادات خادم DNS للشبكة الظاهرية وتعيين عنوان IP الخاص بجدار حماية Azure كخادم DNS مخصص.
- نطاقات IP الخاصة (SNAT). - إذا تم تحديد نطاقات مخصصة ل SNAT، فمن المستحسن أن تقوم بالمراجعة والضبط في النهاية لتضمين مساحة عنوان المنطقة المستهدفة.
- العلامات. - تحقق من أي علامة قد تعكس أو تشير إلى موقع جدار الحماية الجديد وتحديثها في النهاية.
- إعدادات التشخيص. عند إعادة إنشاء جدار حماية Azure في المنطقة المستهدفة، تأكد من مراجعة إعداد التشخيص وتكوينه ليعكس المنطقة المستهدفة (مساحة عمل Log Analytics أو حساب التخزين أو Event Hub أو حل شريك تابع لجهة خارجية).
قم بتحرير الخاصية location في template.json الملف إلى المنطقة المستهدفة (يعين المثال التالي المنطقة المستهدفة إلى centralus.):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

للعثور على رمز الموقع للمنطقة المستهدفة، راجع موقع البيانات في Azure.

احفظ الملف template.json.

قم بتسجيل الدخول إلى بوابة Azure.
إذا كنت تستخدم Premium SKU مع تمكين فحص TLS،
1. قم بنقل مخزن المفاتيح المستخدم لفحص TLS إلى المنطقة المستهدفة الجديدة واتبع الإجراءات لنقل الشهادات أو إنشاء شهادات جديدة لفحص TLS في مخزن المفاتيح الجديد في المنطقة المستهدفة.
2. نقل الهوية المدارة إلى المنطقة المستهدفة الجديدة وإعادة تعيين الأدوار المقابلة لمخزن المفاتيح في المنطقة المستهدفة والاشتراك.
في template.json الملف، استبدل:
- firewallName بالقيمة الافتراضية لاسم جدار حماية Azure.
- azureFirewallPublicIpId بمعرف عنوان IP العام الخاص بك في المنطقة المستهدفة.
- virtualNetworkName باسم الشبكة الظاهرية في المنطقة المستهدفة.
- firewallPolicy.id بمعرف النهج الخاص بك.
إنشاء نهج جدار حماية جديد باستخدام تكوين منطقة المصدر وتعكس التغييرات التي أدخلتها المنطقة المستهدفة الجديدة (نطاقات عناوين IP، IP العام، مجموعات القواعد).
مراجعة وتحديث التكوين للمواضيع أدناه لتعكس التغييرات المطلوبة للمنطقة المستهدفة.
- مجموعات IP. لتضمين عناوين IP من المنطقة المستهدفة، إذا كانت مختلفة عن المصدر، يجب مراجعة مجموعات IP. يجب تعديل عناوين IP المضمنة في المجموعات.
- مناطق. تكوين مناطق التوفر (AZ) في المنطقة المستهدفة.
- نفق إجباري.تأكد من نقل الشبكة الظاهرية وأن الشبكة الفرعية لإدارة جدار الحماية موجودة قبل نقل جدار حماية Azure. قم بتحديث عنوان IP في المنطقة المستهدفة من الجهاز الظاهري للشبكة (NVA) الذي يجب أن يعيد جدار حماية Azure توجيه نسبة استخدام الشبكة إليه، في المسار المعرف من قبل المستخدم (UDR).
- نظام أسماء المجالات (DNS). راجع عناوين IP لخوادم DNS المخصصة المخصصة لتعكس منطقتك المستهدفة. إذا تم تمكين ميزة وكيل DNS، فتأكد من تكوين إعدادات خادم DNS للشبكة الظاهرية وتعيين عنوان IP الخاص بجدار حماية Azure كخادم DNS مخصص.
- نطاقات IP الخاصة (SNAT). - إذا تم تحديد نطاقات مخصصة ل SNAT، فمن المستحسن أن تقوم بالمراجعة والضبط في النهاية لتضمين مساحة عنوان المنطقة المستهدفة.
- العلامات. - تحقق من أي علامة قد تعكس أو تشير إلى موقع جدار الحماية الجديد وتحديثها في النهاية.
- إعدادات التشخيص. عند إعادة إنشاء جدار حماية Azure في المنطقة المستهدفة، تأكد من مراجعة إعداد التشخيص وتكوينه ليعكس المنطقة المستهدفة (مساحة عمل Log Analytics أو حساب التخزين أو Event Hub أو حل شريك تابع لجهة خارجية).
قم بتحرير الخاصية location في template.json الملف إلى المنطقة المستهدفة (يعين المثال التالي المنطقة المستهدفة إلى centralus.):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

للعثور على رمز الموقع للمنطقة المستهدفة، راجع موقع البيانات في Azure.

إعادة التوزيع

انشر القالب لإنشاء جدار حماية Azure جديد في المنطقة المستهدفة.

مدخل Microsoft Azure
بوويرشيل

أدخل قيم الخصائص أو حددها:
- الاشتراك: تحديد اشتراك Azure.
- مجموعة الموارد: حدد إنشاء جديد، وامنح مجموعة الموارد اسماً.
- الموقع: حدد موقع Azure.
يتم الآن نشر جدار حماية Azure باستخدام التكوين المعتمد ليعكس التغييرات المطلوبة في المنطقة المستهدفة.
تحقق من التكوين والوظائف.

احصل على معرف الاشتراك حيث تريد نشر IP العام الهدف عن طريق تشغيل الأمر التالي:


Get-AzSubscription

قم بتشغيل الأوامر التالية لنشر القالب الخاص بك:


$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. eastus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"

1. The Azure Firewall is now deployed with the adopted configuration to reflect the needed changes in the target region. 
1. Verify configuration and functionality.

مشاركة عبر