Verschieben einer Azure Netzwerksicherheitsgruppe (NSG) in eine andere Region

In diesem Artikel wird gezeigt, wie Sie eine NSG in eine neue Region verschieben, indem Sie eine Kopie der Quellkonfiguration und Sicherheitsregeln der NSG in eine andere Region erstellen.

Voraussetzungen

  • Stellen Sie sicher, dass sich die Azure-Netzwerksicherheitsgruppe in der Azure-Zielregion befindet.

  • Verknüpfen Sie den neuen NSG mit Ressourcen in der Zielregion.

  • Damit Sie eine NSG-Konfiguration exportieren und eine Vorlage bereitstellen können, um eine NSG in einer anderen Region zu erstellen, benötigen Sie mindestens die Rolle „Netzwerkmitwirkender“.

  • Identifizieren Sie das Layout des Quellnetzwerks und alle Ressourcen, die Sie aktuell verwenden. Dieses Layout umfasst Load Balancer, Netzwerksicherheitsgruppen, öffentliche IP-Adressen und virtuelle Netzwerke, ohne darauf beschränkt zu sein.

  • Vergewissern Sie sich, dass Sie mit Ihrem Azure-Abonnement NSGs in der verwendeten Zielregion erstellen können. Wenden Sie sich an den Support, um das erforderliche Kontingent zu aktivieren.

  • Stellen Sie sicher, dass Ihr Abonnement genügend Ressourcen hat, um das Hinzufügen von NSGs für diesen Prozess zu unterstützen. Weitere Informationen finden Sie unter Einschränkungen für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.

Ausfallzeit

Informationen zu den möglichen Ausfallzeiten finden Sie unter Cloud Adoption Framework für Azure: Auswählen einer Verlagerungsmethode.

Vorbereiten

In den folgenden Schritten wird gezeigt, wie Sie eine Netzwerksicherheitsgruppe vorbereiten, damit deren Konfiguration und Sicherheitsregeln mit einer Resource Manager-Vorlage verschoben werden können, und wie Sie die NSG-Konfiguration und -Sicherheitsregeln über das Portal in die Zielregion verschieben.

Exportieren und Ändern einer Vorlage

So exportieren und ändern Sie eine Vorlage mithilfe des Azure-Portals:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie die Option Alle Ressourcen und dann Ihr Speicherkonto aus.

  3. Wählen Sie >Automation>Vorlage exportieren aus.

  4. Wählen Sie Bereitstellen auf dem Blatt Vorlage exportieren aus.

  5. Wählen Sie VORLAGE>Parameter bearbeiten aus, um die Datei parameters.json im Online-Editor zu öffnen.

  6. Um den Parameter für den Namen der NSG zu bearbeiten, ändern Sie Eigenschaft value unter parameters:

            {
            "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
            "contentVersion": "1.0.0.0",
            "parameters": {
            "networkSecurityGroups_myVM1_nsg_name": {
               "value": "<target-nsg-name>"
                }
               }
            }
    
  7. Ändern Sie den für die Quell-NSG angegebenen Namen im Editor in den Namen für die Ziel-NSG. Stellen Sie sicher, dass Sie den Namen in Anführungszeichen einschließen.

  8. Wählen Sie im Editor die Option Speichern aus.

  9. Wählen Sie VORLAGE>Parameter bearbeiten aus, um die Datei template.json im Online-Editor zu öffnen.

  10. Um die Zielregion zu bearbeiten, in die die NSG-Konfiguration und -Sicherheitsregeln verschoben werden, ändern Sie im Online-Editor die Eigenschaft location unter resources:

            "resources": [
            {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2019-06-01",
            "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
            "location": "<target-region>",
            "properties": {
                "provisioningState": "Succeeded",
                "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
             }
            }
           ]
    
    
  11. Informationen zum Abrufen von Regionsstandortcodes finden Sie unter Azure-Standorte. Der Code für eine Region ist der Regionsname ohne Leerzeichen, USA, Mitte = centralus.

  12. Sie können wahlweise auch andere Parameter in der Vorlage ändern, die abhängig von Ihren Anforderungen optional sind:

    • Sicherheitsregeln: Sie können festlegen, welche Regeln in der Ziel-NSG bereitgestellt werden, indem Sie dem Abschnitt securityRules in der Datei template.json Regeln hinzufügen oder Regeln aus diesem Abschnitt entfernen:

         "resources": [
          {
          "type": "Microsoft.Network/networkSecurityGroups",
          "apiVersion": "2019-06-01",
          "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
          "location": "<target-region>",
          "properties": {
              "provisioningState": "Succeeded",
              "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
              "securityRules": [
                  {
                      "name": "RDP",
                      "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                      "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                           }
                  },
              ]
          }
      

      Um das Hinzufügen oder Entfernen von Regeln in der Ziel-NSG abzuschließen, müssen Sie außerdem die benutzerdefinierten Regeltypen am Ende der Datei template.json im Format des folgenden Beispiels bearbeiten:

           {
            "type": "Microsoft.Network/networkSecurityGroups/securityRules",
            "apiVersion": "2019-06-01",
            "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
            "dependsOn": [
                "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
            ],
            "properties": {
                "provisioningState": "Succeeded",
                "protocol": "*",
                "sourcePortRange": "*",
                "destinationPortRange": "80",
                "sourceAddressPrefix": "*",
                "destinationAddressPrefix": "*",
                "access": "Allow",
                "priority": 310,
                "direction": "Inbound",
                "sourcePortRanges": [],
                "destinationPortRanges": [],
                "sourceAddressPrefixes": [],
                "destinationAddressPrefixes": []
            }
      
  13. Wählen Sie im Online-Editor die Option Speichern aus.

Erneute Bereitstellung

  1. Wählen Sie GRUNDEINSTELLUNGEN>Abonnement, um das Abonnement auszuwählen, in dem die Ziel-NSG bereitgestellt wird.

  2. Wählen Sie GRUNDEINSTELLUNGEN>Ressourcengruppe, um die Ressourcengruppe auszuwählen, in der die Ziel-NSG bereitgestellt wird. Sie können auf Neu erstellen klicken, um eine neue Ressourcengruppe für die Ziel-NSG zu erstellen. Stellen Sie sicher, dass der Name nicht mit dem Namen der Quellressourcengruppe der vorhandenen NSG übereinstimmt.

  3. Wählen Sie GRUNDEINSTELLUNGEN>Standort und legen Sie diesen Wert auf den Zielstandort fest, an dem die NSG bereitgestellt werden soll.

  4. Stellen Sie unter EINSTELLUNGEN sicher, dass der Name mit dem Namen übereinstimmt, den Sie oben im Parameter-Editor eingegeben haben.

  5. Aktivieren Sie das Kontrollkästchen unter NUTZUNGSBEDINGUNGEN.

  6. Wählen Sie die Schaltfläche Erwerben, um die Zielnetzwerksicherheitsgruppe bereitzustellen.

Verwerfen

Wenn Sie die Ziel-NSG verwerfen möchten, löschen Sie die Ressourcengruppe, die die Ziel-NSG enthält. Wählen Sie hierzu im Portal die Ressourcengruppe im Dashboard aus, und klicken Sie oben auf der Übersichtsseite auf Löschen.

Bereinigung

Um die Änderungen zu übernehmen und das Verschieben der NSG abzuschließen, löschen Sie die Quell-NSG oder -ressourcengruppe. Wählen Sie hierzu im Portal die Netzwerksicherheitsgruppe oder Ressourcengruppe im Dashboard aus, und klicken Sie oben auf jeder Seite auf Löschen.

Nächste Schritte

In diesem Tutorial haben Sie eine Azure-Netzwerksicherheitsgruppe aus einer Region in eine andere verschoben und die Quellressourcen bereinigt. Weitere Informationen zum Verschieben von Ressourcen zwischen Regionen und zur Notfallwiederherstellung in Azure finden Sie unter: