Merelokasi Azure Firewall ke wilayah lain

Artikel
07/26/2024

Artikel ini memperlihatkan kepada Anda cara merelokasi Azure Firewall yang melindungi Azure Virtual Network.

Prasyarat

Kami sangat menyarankan Anda menggunakan SKU Premium. Jika Anda menggunakan SKU Standar, pertimbangkan untuk bermigrasi dari SKU Standar Azure Firewall yang ada ke SKU Premium sebelum Anda direlokasi.
Informasi berikut harus dikumpulkan untuk merencanakan dan menjalankan relokasi Azure Firewall dengan benar:
- Model penyebaran.Aturan Firewall Klasik atau kebijakan Firewall.
- Nama kebijakan firewall. (Jika Model penyebaran kebijakan firewall digunakan).
- Pengaturan diagnostik di tingkat instans firewall. (Jika ruang kerja Analitik Log digunakan).
- Konfigurasi Inspeksi TLS (Keamanan Lapisan Transportasi).: (Jika Azure Key Vault, Sertifikat, dan Identitas Terkelola digunakan.)
- Kontrol IP publik. Menilai bahwa identitas eksternal apa pun yang mengandalkan IP publik Azure Firewall tetap tetap dan tepercaya.
Tingkat Azure Firewall Standard dan Premium memiliki dependensi berikut yang mungkin perlu Anda sebarkan di wilayah target:
- Microsoft Azure Virtual Network
- (Jika digunakan) Ruang Kerja Analitik Log
Jika Anda menggunakan fitur Inspeksi TLS tingkat Azure Firewall Premium, dependensi berikut juga perlu disebarkan di wilayah target:
- Azure Key Vault
- Identitas Terkelola Azure

Waktu henti

Untuk memahami kemungkinan waktu henti yang terlibat, lihat Cloud Adoption Framework untuk Azure: Pilih metode relokasi.

Siapkan

Untuk mempersiapkan relokasi, Anda harus terlebih dahulu mengekspor dan memodifikasi templat dari wilayah sumber. Untuk melihat contoh templat ARM untuk Azure Firewall, lihat meninjau templat.

Masuk ke portal Azure.
Pilih Semua sumber daya lalu pilih sumber daya Azure Firewall Anda.
Pada halaman Azure Firewall , pilih Ekspor templat di bawah Automation di menu sebelah kiri.
Pilih Unduh di halaman Ekspor templat.
Temukan file .zip yang telah Anda unduh dari portal, dan unzip file tersebut ke folder pilihan Anda.

File zip ini berisi file .json yang menyertakan templat dan skrip untuk menyebarkan templat.

Masuk ke langganan Azure Anda dengan Connect-AzAccount perintah dan ikuti petunjuk di layar:


Connect-AzAccount

Jika identitas Anda dikaitkan dengan lebih dari satu langganan, atur langganan aktif Anda ke langganan sumber daya Azure Firewall yang ingin Anda pindahkan.


$context = Get-AzSubscription -SubscriptionId <subscription-id>
Set-AzContext $context

Ekspor templat sumber daya Azure Firewall sumber daya Anda dengan menjalankan perintah berikut:


$resource = Get-AzResource `
  -ResourceGroupName <resource-group-name> `
  -ResourceName <resource-name> `
  -ResourceType <resource-type>

Export-AzResourceGroup `
  -ResourceGroupName <resource-group-name> `
  -Resource $resource.ResourceId

Temukan di template.json direktori Anda saat ini.

Mengubah template

Di bagian ini, Anda mempelajari cara memodifikasi templat yang Anda buat di bagian sebelumnya.

Jika Anda menjalankan aturan firewall klasik tanpa kebijakan Firewall, migrasikan ke kebijakan Firewall sebelum melanjutkan langkah-langkah di bagian ini. Untuk mempelajari cara bermigrasi dari aturan firewall klasik ke kebijakan Firewall, lihat Memigrasikan konfigurasi Azure Firewall ke kebijakan Azure Firewall menggunakan PowerShell.

Portal Azure
PowerShell

Masuk ke portal Azure.
Jika Anda menggunakan SKU Premium dengan Inspeksi TLS diaktifkan,
1. Relokasi brankas kunci yang digunakan untuk inspeksi TLS ke wilayah target baru. Kemudian, ikuti prosedur untuk memindahkan sertifikat atau menghasilkan sertifikat baru untuk inspeksi TLS ke brankas kunci baru di wilayah target.
2. Relokasi identitas terkelola ke wilayah target baru. Menetapkan ulang peran yang sesuai untuk brankas kunci di wilayah target dan langganan.
Di portal Microsoft Azure, pilih Buat sumber daya.
Di Cari Marketplace, ketik template deployment, lalu tekan Enter.
Pilih Penyebaran templat dan pilih Buat.
Pilih Buat template Anda sendiri di editor.
Pilih Muat file, lalu ikuti instruksi untuk memuat template.json file yang Anda unduh di bagian sebelumnya
template.json Dalam file, ganti:
- firewallName dengan nilai default nama Azure Firewall Anda.
- azureFirewallPublicIpId dengan ID alamat IP publik Anda di wilayah target.
- virtualNetworkName dengan nama jaringan virtual di wilayah target.
- firewallPolicy.id dengan ID kebijakan Anda.
Buat kebijakan firewall baru menggunakan konfigurasi wilayah sumber dan mencerminkan perubahan yang diperkenalkan oleh wilayah target baru (Rentang Alamat IP, IP Publik, Kumpulan Aturan).
Jika Anda menggunakan SKU Premium dan ingin mengaktifkan Inspeksi TLS, perbarui kebijakan firewall yang baru dibuat dan aktifkan inspeksi TLS dengan mengikuti instruksi di sini.
Tinjau dan perbarui konfigurasi untuk topik di bawah ini untuk mencerminkan perubahan yang diperlukan untuk wilayah target.
- Grup IP. Untuk menyertakan alamat IP dari wilayah target, jika berbeda dari sumbernya, Grup IP harus ditinjau. Alamat IP yang disertakan dalam grup harus dimodifikasi.
- Zona. Konfigurasikan Zona ketersediaan (AZ) di wilayah target.
- Penerowongan Paksa.Pastikan Anda telah merelokasi jaringan virtual dan subnet Manajemen firewall ada sebelum Azure Firewall direlokasi. Perbarui Alamat IP di wilayah target Network Virtual Appliance (NVA) tempat Azure Firewall harus mengalihkan lalu lintas, di Rute yang Ditentukan Pengguna (UDR).
- DNS. Tinjau Alamat IP untuk Server DNS kustom Anda untuk mencerminkan wilayah target Anda. Jika fitur Proksi DNS diaktifkan, pastikan untuk mengonfigurasi pengaturan server DNS jaringan virtual Anda dan mengatur alamat IP privat Azure Firewall sebagai server DNS Kustom.
- Rentang IP privat (SNAT). - Jika rentang kustom didefinisikan untuk SNAT, disarankan agar Anda meninjau dan akhirnya menyesuaikan untuk menyertakan ruang alamat wilayah target.
- Tag. - Verifikasi dan akhirnya perbarui tag apa pun yang mungkin mencerminkan atau merujuk ke lokasi firewall baru.
- Pengaturan Diagnostik. Saat membuat ulang Azure Firewall di wilayah target, pastikan untuk meninjau Pengaturan Diagnostik dan mengonfigurasinya untuk mencerminkan wilayah target (ruang kerja Analitik Log, akun penyimpanan, Pusat Aktivitas, atau solusi mitra pihak ketiga).
location Edit properti dalam template.json file ke wilayah target (Contoh berikut mengatur wilayah target ke centralus.):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Untuk menemukan kode lokasi untuk wilayah target Anda, lihat Residensi data di Azure.

Simpan file template.json.

Masuk ke portal Azure.
Jika Anda menggunakan SKU Premium dengan Inspeksi TLS diaktifkan,
1. Relokasi brankas kunci yang digunakan untuk inspeksi TLS ke wilayah target baru dan ikuti prosedur untuk memindahkan sertifikat atau menghasilkan sertifikat baru untuk inspeksi TLS di brankas kunci baru di wilayah target.
2. Relokasi identitas terkelola ke wilayah target baru dan menetapkan ulang peran yang sesuai untuk brankas kunci di wilayah target dan langganan.
template.json Dalam file, ganti:
- firewallName dengan nilai default nama Azure Firewall Anda.
- azureFirewallPublicIpId dengan ID alamat IP publik Anda di wilayah target.
- virtualNetworkName dengan nama jaringan virtual di wilayah target.
- firewallPolicy.id dengan ID kebijakan Anda.
Buat kebijakan firewall baru menggunakan konfigurasi wilayah sumber dan mencerminkan perubahan yang diperkenalkan oleh wilayah target baru (Rentang Alamat IP, IP Publik, Kumpulan Aturan).
Tinjau dan perbarui konfigurasi untuk topik di bawah ini untuk mencerminkan perubahan yang diperlukan untuk wilayah target.
- Grup IP. Untuk menyertakan alamat IP dari wilayah target, jika berbeda dari sumbernya, Grup IP harus ditinjau. Alamat IP yang disertakan dalam grup harus dimodifikasi.
- Zona. Konfigurasikan Zona ketersediaan (AZ) di wilayah target.
- Penerowongan Paksa.Pastikan Anda telah merelokasi jaringan virtual dan subnet Manajemen firewall ada sebelum Azure Firewall direlokasi. Perbarui Alamat IP di wilayah target Network Virtual Appliance (NVA) tempat Azure Firewall harus mengalihkan lalu lintas, di Rute yang Ditentukan Pengguna (UDR).
- DNS. Tinjau Alamat IP untuk Server DNS kustom Anda untuk mencerminkan wilayah target Anda. Jika fitur Proksi DNS diaktifkan, pastikan untuk mengonfigurasi pengaturan server DNS jaringan virtual Anda dan mengatur alamat IP privat Azure Firewall sebagai server DNS Kustom.
- Rentang IP privat (SNAT). - Jika rentang kustom didefinisikan untuk SNAT, disarankan agar Anda meninjau dan akhirnya menyesuaikan untuk menyertakan ruang alamat wilayah target.
- Tag. - Verifikasi dan akhirnya perbarui tag apa pun yang mungkin mencerminkan atau merujuk ke lokasi firewall baru.
- Pengaturan Diagnostik. Saat membuat ulang Azure Firewall di wilayah target, pastikan untuk meninjau Pengaturan Diagnostik dan mengonfigurasinya untuk mencerminkan wilayah target (ruang kerja Analitik Log, akun penyimpanan, Pusat Aktivitas, atau solusi mitra pihak ketiga).
location Edit properti dalam template.json file ke wilayah target (Contoh berikut mengatur wilayah target ke centralus.):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Untuk menemukan kode lokasi untuk wilayah target Anda, lihat Residensi data di Azure.

Menyebarkan ulang

Sebarkan templat untuk membuat Azure Firewall baru di wilayah target.

Portal Azure
PowerShell

Masukkan atau pilih nilai berikut:
- Langganan: Pilih langganan Azure.
- Grup sumber daya: Pilih Buat baru dan beri nama grup sumber daya.
- Lokasi: Pilih lokasi Azure.
Azure Firewall sekarang disebarkan dengan konfigurasi yang diadopsi untuk mencerminkan perubahan yang diperlukan di wilayah target.
Verifikasi konfigurasi dan fungsionalitas.

Dapatkan ID langganan tempat Anda ingin menyebarkan IP publik target dengan menjalankan perintah berikut:


Get-AzSubscription

Jalankan perintah berikut untuk menyebarkan templat Anda:


$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. eastus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"

1. The Azure Firewall is now deployed with the adopted configuration to reflect the needed changes in the target region. 
1. Verify configuration and functionality.

Bagikan melalui