Verschieben einer Azure Firewall in eine andere Region

In diesem Artikel erfahren Sie, wie Sie eine Azure Firewall verschieben, die ein Azure Virtual Network schützt.

Voraussetzungen

  • Sie sollten unbedingt Premium-SKU verwenden. Wenn Sie eine Standard-SKU verwenden, sollten Sie vor der Verlagerung die Migration von einer vorhandenen Standard-SKU Azure Firewall zu Premium-SKU in Betracht ziehen.

  • Die folgenden Informationen müssen gesammelt werden, um eine Azure Firewall-Verlagerung ordnungsgemäß zu planen und auszuführen:

    • Bereitstellungsmodell: Klassische Firewallregeln oder Firewallrichtlinie.
    • Name der Firewallrichtlinie. (Wenn das Bereitstellungsmodell Firewallrichtlinie verwendet wird.)
    • Diagnoseeinstellung auf Firewallinstanzebene. (Wenn Log Analytics-Arbeitsbereich verwendet wird.)
    • TLS-Inspektionskonfiguration (Transport Layer Security).: (Wenn Azure Key Vault, Zertifikat und verwaltete Identität verwendet werden.)
    • Steuerung der öffentlichen IP-Adresse. Bewerten Sie, ob jede externe Identität, die auf der öffentlichen IP-Adresse der Azure Firewall basiert, fest und vertrauenswürdig bleibt.
  • Azure Firewall Standard- und Premium-Ebenen weisen die folgenden Abhängigkeiten auf, die Sie möglicherweise in der Zielregion bereitstellen müssen:

  • Wenn Sie das TLS-Inspektionsfeature der Azure Firewall Premium-Stufe verwenden, müssen die folgenden Abhängigkeiten auch in der Zielregion bereitgestellt werden:

Ausfallzeit

Informationen zu den möglichen Ausfallzeiten finden Sie unter Cloud Adoption Framework für Azure: Auswählen einer Verlagerungsmethode.

Vorbereiten

Für die Vorbereitung auf die Verlagerung müssen Sie zuerst die Vorlage aus der Quellregion exportieren und ändern. Informationen zum Anzeigen einer ARM-Beispielvorlage für Azure Firewall finden Sie unter Überprüfen der Vorlage.

Exportieren der Vorlage

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Alle Ressourcen und dann Ihre Azure Firewall-Ressource aus.

  3. Wählen Sie auf der Seite Azure Firewall im linken Menü unter Automatisierung die Option Vorlage exportieren aus.

  4. Wählen Sie Herunterladen auf der Seite Vorlage exportieren aus.

  5. Suchen Sie die aus dem Portal heruntergeladene ZIP-Datei, und entpacken Sie sie in einen Ordner Ihrer Wahl.

    Diese ZIP-Datei enthält die JSON-Dateien, in denen die Vorlage und Skripts zum Bereitstellen der Vorlage enthalten sind.

Ändern der Vorlage

In diesem Abschnitt erfahren Sie, wie Sie die Vorlage ändern, die Sie im vorherigen Abschnitt generiert haben.

Wenn Sie klassische Firewallregeln ohne Firewallrichtlinie ausführen, migrieren Sie zur Firewallrichtlinie, bevor Sie mit den Schritten in diesem Abschnitt fortfahren. Informationen zum Migrieren von klassischen Firewallregeln zu Firewallrichtlinien finden Sie unter Migrieren der Azure Firewall-Konfiguration zur Azure Firewall-Richtlinie mithilfe von PowerShell.

  1. Melden Sie sich beim Azure-Portal an.

  2. Wenn Sie Premium-SKU mit aktivierter TLS-Inspektion verwenden,

    1. verschieben Sie den Schlüsseltresor, der für die TLS-Inspektion in die neue Zielregion verwendet wird. Folgen Sie dann den Verfahren zum Verschieben von Zertifikaten oder Generieren neuer Zertifikate für die TLS-Prüfung im neuen Schlüsseltresor in der Zielregion.
    2. verlagern Sie die verwaltete Identität in die neue Zielregion. Weisen Sie die entsprechenden Rollen für den Schlüsseltresor in der Zielregion und im Abonnement neu zu.
  3. Klicken Sie im Azure-Portal auf Ressource erstellen.

  4. Geben Sie unter Marketplace durchsuchen template deployment ein, und drücken Sie dann die EINGABETASTE.

  5. Wählen Sie Vorlagenbereitstellung und dann Erstellen aus.

  6. Wählen Sie Eigene Vorlage im Editor erstellen.

  7. Wählen Sie Datei laden aus, und befolgen Sie die Anweisungen zum Laden der template.json-Datei, die Sie im vorherigen Abschnitt heruntergeladen haben.

  8. Ersetzen Sie in der template.json-Datei Folgendes:

    • firewallName durch den Standardwert Ihres Azure Firewall-Namens.
    • azureFirewallPublicIpId durch die ID Ihrer öffentlichen IP-Adresse in der Zielregion.
    • virtualNetworkName durch den Namen des virtuellen Netzwerks in der Zielregion.
    • firewallPolicy.id durch Ihre Richtlinien-ID.
  9. Erstellen Sie eine neue Firewallrichtlinie mithilfe der Konfiguration der Quellregion, um Änderungen widerzuspiegeln, die von der neuen Zielregion (IP-Adressbereiche, öffentliche IP-Adresse, Regelsammlungen) eingeführt wurden.

  10. Wenn Sie Premium-SKU verwenden und TLS-Inspektion aktivieren möchten, aktualisieren Sie die neu erstellte Firewallrichtlinie, und aktivieren Sie die TLS-Inspektion, indem Sie den Anweisungen hier folgen.

  11. Überprüfen und aktualisieren Sie die Konfiguration hinsichtlich der folgenden Themen, damit sie die für die Zielregion erforderlichen Änderungen widerspiegelt.

    • IP-Adressgruppen Um IP-Adressen aus der Zielregion einzuschließen, sollten IP-Gruppen überprüft werden. Die in den Gruppen enthaltenen IP-Adressen müssen geändert werden.
    • Zonen. Konfigurieren Sie die Verfügbarkeitszonen (AZ) in der Zielregion.
    • Tunnelerzwingung. Stellen Sie sicher, dass Sie das virtuelle Netzwerk verschoben haben und dass das Verwaltungssubnetz der Firewall vorhanden ist, bevor die Azure Firewall verschoben wird. Aktualisieren Sie die IP-Adresse in der Zielregion der virtuellen Netzwerkanwendung (Network Virtual Appliance, NVA), an die die Azure Firewall den Datenverkehr umleiten soll, in der benutzerdefinierten Route (User Defined Route, UDR).
    • DNS Überprüfen Sie IP-Adressen für Ihre benutzerdefinierten DNS-Server, sodass sie Ihre Zielregion widerspiegeln. Wenn das Feature DNS-Proxy aktiviert ist, stellen Sie sicher, dass Sie die DNS-Servereinstellungen Ihres virtuellen Netzwerks konfigurieren und die private IP-Adresse der Azure Firewall-Instanz als benutzerdefinierten DNS-Server festlegen.
    • Private IP-Adressbereiche (SNAT). – Wenn benutzerdefinierte Bereiche für SNAT definiert sind, empfiehlt es sich, den Adressraum der Zielregion zu überprüfen und schließlich anzupassen.
    • Tags – Überprüfen und aktualisieren Sie schließlich alle Tags, die den neuen Firewallspeicherort widerspiegeln oder referenzieren können.
    • Diagnoseeinstellungen. Überprüfen Sie bei der Neuerstellen der Azure Firewall in der Zielregion unbedingt die Diagnoseeinstellung und konfigurieren Sie sie so, dass sie der Zielregion entspricht (Log Analytics-Arbeitsbereich, Speicherkonto, Event Hub oder Partnerlösung von Drittanbietern).
  12. Bearbeiten Sie die Eigenschaft location in der Datei template.json in der Zielregion. (Im folgenden Beispiel wird der Zielbereich auf centralus festgelegt):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Informationen zum Ermitteln des Ortscodes für Ihre Zielregion finden Sie unter Datenresidenz in Azure.

  1. Speichern Sie die Datei template.json.

Erneute Bereitstellung

Stellen Sie die Vorlage bereit, um eine neue Azure Firewall in der Zielregion zu erstellen.

  1. Geben Sie die Eigenschaftswerte ein oder wählen Sie sie aus:

    • Abonnement: Wählen Sie ein Azure-Abonnement aus.

    • Ressourcengruppe: Wählen Sie Neu erstellen aus, und benennen Sie die Ressourcengruppe.

    • Standort: Wählen Sie einen Azure-Standort aus.

  2. Die Azure Firewall wird jetzt mit der übernommenen Konfiguration bereitgestellt, um die erforderlichen Änderungen in der Zielregion widerzuspiegeln.

  3. Überprüfen Sie die Konfiguration und Funktionalität.