Rilocare il gruppo di sicurezza di rete (NSG) di Azure in un'altra area

Questo articolo illustra come rilocare un gruppo di sicurezza di rete in una nuova area creando una copia delle regole di configurazione e di sicurezza di origine del gruppo di sicurezza di rete in un'altra area.

Prerequisiti

  • Assicurarsi che il gruppo di sicurezza di rete di Azure si trovi nell'area di Azure di destinazione.

  • Associare il nuovo gruppo di sicurezza di rete alle risorse nell'area di destinazione.

  • Per esportare una configurazione del gruppo di sicurezza di rete e distribuire un modello per creare un gruppo di sicurezza di rete in un'altra area, è necessario il ruolo di Collaboratore Rete o un ruolo superiore.

  • Identificare il layout di rete di origine e tutte le risorse attualmente in uso, Questo layout include, tra gli altri, servizi di bilanciamento del carico, indirizzi IP pubblici e reti virtuali.

  • Verificare che la sottoscrizione di Azure consenta di creare gruppi di sicurezza di rete nell'area di destinazione in uso. Contattare il supporto tecnico per abilitare la quota necessaria.

  • Assicurarsi che la sottoscrizione disponga di risorse sufficienti per supportare l'aggiunta di gruppi di sicurezza di rete per questo processo. Vedere Sottoscrizione di Azure e limiti, quote e vincoli dei servizi.

Tempo di inattività

Per comprendere i possibili tempi di inattività, vedere Cloud Adoption Framework per Azure: selezionare un metodo di rilocazione.

Preparazione

I passaggi seguenti illustrano come preparare il gruppo di sicurezza di rete per lo spostamento della regola di configurazione e di sicurezza usando un modello di Resource Manager e come spostare le regole di configurazione e sicurezza del gruppo di sicurezza di rete nell'area di destinazione usando il portale.

Esportare e modificare un modello

Per esportare e modificare un modello con il portale di Azure:

  1. Accedere al portale di Azure.

  2. Selezionare Tutte le risorse e quindi l'account di archiviazione.

  3. Selezionare >Automazione>Esporta il modello.

  4. Scegliere Implementa nel pannello Esporta il modello.

  5. Selezionare MODELLO>Modifica parametri per aprire il file parameters.json nell'editor online.

  6. Per modificare il parametro del nome del gruppo di sicurezza di rete, modificare la proprietà value in parametri:

            {
            "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
            "contentVersion": "1.0.0.0",
            "parameters": {
            "networkSecurityGroups_myVM1_nsg_name": {
               "value": "<target-nsg-name>"
                }
               }
            }
    
  7. Modificare il valore del gruppo di sicurezza di rete di origine nell'editor impostando un nome di propria scelta per il gruppo di sicurezza di rete di destinazione. Assicurarsi di immettere il nome tra virgolette.

  8. Selezionare Salva nell'editor.

  9. Selezionare MODELLO>Modifica modello per aprire il file template.json nell'editor online.

  10. Per modificare l'area di destinazione in cui verranno spostate le regole di configurazione e sicurezza del gruppo di sicurezza di rete, modificare la proprietà location in risorse nell'editor online:

            "resources": [
            {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2019-06-01",
            "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
            "location": "<target-region>",
            "properties": {
                "provisioningState": "Succeeded",
                "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
             }
            }
           ]
    
    
  11. Per ottenere i codici di posizione dell'area, vedere Località di Azure. Il codice per un'area è il nome dell'area senza spazi, Stati Uniti centrali = centralus.

  12. Se lo si desidera, è anche possibile modificare altri parametri nel modello, che sono facoltativi in base ai requisiti:

    • Regole di sicurezza: è possibile modificare le regole distribuite nel gruppo di sicurezza di rete di destinazione aggiungendo o rimuovendo le regole alla sezione securityRules nel file template.json:

         "resources": [
          {
          "type": "Microsoft.Network/networkSecurityGroups",
          "apiVersion": "2019-06-01",
          "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
          "location": "<target-region>",
          "properties": {
              "provisioningState": "Succeeded",
              "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
              "securityRules": [
                  {
                      "name": "RDP",
                      "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                      "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                           }
                  },
              ]
          }
      

      Per completare l'aggiunta o la rimozione delle regole nel gruppo di sicurezza di rete di destinazione, è necessario modificare anche i tipi di regola personalizzati alla fine del file di template.json nel formato dell'esempio seguente:

           {
            "type": "Microsoft.Network/networkSecurityGroups/securityRules",
            "apiVersion": "2019-06-01",
            "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
            "dependsOn": [
                "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
            ],
            "properties": {
                "provisioningState": "Succeeded",
                "protocol": "*",
                "sourcePortRange": "*",
                "destinationPortRange": "80",
                "sourceAddressPrefix": "*",
                "destinationAddressPrefix": "*",
                "access": "Allow",
                "priority": 310,
                "direction": "Inbound",
                "sourcePortRanges": [],
                "destinationPortRanges": [],
                "sourceAddressPrefixes": [],
                "destinationAddressPrefixes": []
            }
      
  13. Selezionare Salva nell'editor online.

Ripetere la distribuzione

  1. Selezionare NOZIONI DI BASE>Sottoscrizione per scegliere la sottoscrizione in cui verrà distribuito il gruppo di sicurezza di rete di destinazione.

  2. Selezionare NOZIONI DI BASE>Gruppo di risorse per scegliere il gruppo di risorse in cui verrà distribuito il gruppo di sicurezza di rete di destinazione. È possibile fare clic su Crea nuovo per creare un nuovo gruppo di risorse per il gruppo di sicurezza di rete di destinazione. Verificare che il nome non sia identico al nome del gruppo di risorse di origine del gruppo di sicurezza di rete esistente.

  3. Selezionare NOZIONI DI BASE>Posizione e impostare il percorso di destinazione in cui si desidera distribuire il gruppo di sicurezza di rete.

  4. In IMPOSTAZIONI, verificare che il nome corrisponda al nome immesso in precedenza nell'editor dei parametri.

  5. Selezionare la casella di controllo in CONDIZIONI.

  6. Selezionare il pulsante Acquista per distribuire il gruppo di sicurezza di rete di destinazione.

Discard

Se si vuole rimuovere il gruppo di sicurezza di rete di destinazione, eliminare il gruppo di risorse che contiene il gruppo di sicurezza di rete di destinazione. A tal fine, selezionare il gruppo di risorse dal dashboard nel portale, quindi selezionare Elimina nella parte superiore della pagina di panoramica.

Eseguire la pulizia

Per eseguire il commit delle modifiche e completare lo spostamento del gruppo di sicurezza di rete, eliminare il gruppo di sicurezza di rete o il gruppo di risorse di origine. A tal fine, selezionare il gruppo di sicurezza di rete o il gruppo di risorse dal dashboard nel portale e selezionare Elimina nella parte superiore di ogni pagina.

Passaggi successivi

In questa esercitazione è stato spostato un gruppo di sicurezza di rete di Azure da un'area a un'altra ed è stata eseguita la pulizia delle risorse di origine. Per altre informazioni sullo spostamento di risorse tra aree e sul ripristino di emergenza in Azure, vedere: