Rilocare Firewall di Azure in un'altra regione

Questo articolo illustra come rilocare un Firewall di Azure che protegge un Rete virtuale di Azure.

Prerequisiti

Consigliamo vivamente di utilizzare lo SKU Premium. Se si utilizza lo SKU Standard, è consigliabile migrare da uno SKU Standard esistente di Firewall di Azure allo SKU Premium prima dello spostamento.
Per pianificare ed eseguire correttamente una rilocazione Firewall di Azure, è necessario raccogliere le informazioni seguenti:
- Modello di distribuzione.Regole classiche del firewall o Criterio firewall.
- Nome della politica del firewall. (Se si utilizza il modello di distribuzione con un criterio firewall).
- Impostazione di diagnostica a livello di istanza del firewall. Se viene utilizzata l'area di lavoro di Log Analytics.
- configurazione di ispezione TLS (Transport Layer Security). : (se vengono usati Azure Key Vault, certificato e identità gestita).
- Controllo dell’IP pubblico. Valutare che qualsiasi identità esterna basata su Firewall di Azure IP pubblico rimanga fissa e attendibile.
Firewall di Azure livelli Standard e Premium hanno le dipendenze seguenti che possono essere distribuite nell'area di destinazione:
- Rete virtuale di Azure
- (Se usato) Log Analytics Workspace
Se si usa la funzionalità Di ispezione TLS di Firewall di Azure livello Premium, è necessario distribuire anche le dipendenze seguenti nell'area di destinazione:
- Azure Key Vault
- Identità gestita di Azure

Tempo di inattività

Per comprendere i possibili tempi di inattività, vedere Cloud Adoption Framework per Azure: selezionare un metodo di rilocazione.

Preparazione

Per prepararsi alla rilocazione, in primo luogo è necessario esportare e modificare il modello dall'area di origine. Per visualizzare un modello di Resource Manager di esempio per Firewall di Azure, vedere esaminare il modello.

Accedere al portale Azure.
Selezionare Tutte le risorse e quindi selezionare la risorsa Firewall di Azure.
Nella pagina Firewall di Azure selezionare Esporta modello in Automation nel menu a sinistra.
Scegliere Scarica nella pagina Esporta modello.
Individuare il file .zip scaricato dal portale e decomprimere il file in una cartella di propria scelta.

Questo file ZIP contiene i file .json che includono il modello e gli script per distribuire il modello.

Accedere alla sottoscrizione Azure con il comando Connect-AzAccount e seguire le istruzioni visualizzate:
```
Connect-AzAccount
```
Se l'identità è associata a più sottoscrizioni, impostare la sottoscrizione attiva sulla sottoscrizione della risorsa di Firewall di Azure che si desidera spostare.
```
$context = Get-AzSubscription -SubscriptionId <subscription-id>
Set-AzContext $context
```

Esportare il modello della risorsa di origine Firewall di Azure eseguendo i comandi seguenti:

$resource = Get-AzResource `
  -ResourceGroupName <resource-group-name> `
  -ResourceName <resource-name> `
  -ResourceType <resource-type>

Export-AzResourceGroup `
  -ResourceGroupName <resource-group-name> `
  -Resource $resource.ResourceId

Individuare template.json nella directory corrente.

Modificare il modello

In questa sezione si spiega come modificare il modello generato nella sezione precedente.

Se sono in esecuzione le regole classiche del firewall senza il criterio firewall, eseguire la migrazione al criterio firewall prima di procedere con la procedura descritta in questa sezione. Per informazioni su come eseguire la migrazione dalle regole classiche del firewall ai criteri del firewall, consultare Migrare la configurazione di Firewall di Azure ai criteri di Firewall di Azure tramite PowerShell.

portale Azure
PowerShell

Accedere al portale Azure.
Se si usa lo SKU Premium con l’ispezione TLS abilitata,
1. Rilocare l'insieme di credenziali delle chiavi utilizzato per l'ispezione TLS nella nuova area di destinazione. Successivamente, seguire le procedure per spostare i certificati o generare nuovi certificati per l'ispezione TLS nel nuovo insieme di credenziali delle chiavi nell'area di destinazione.
2. Rilocare l'identità gestita nella nuova area di destinazione. Riassegnare i ruoli corrispondenti per l'insieme di credenziali delle chiavi nell'area di destinazione e nella sottoscrizione.
Nel portale di Azure selezionare Crea una risorsa.
In Cerca nel Marketplace digitare template deployment, quindi premere INVIO.
Selezionare Distribuzione modello e quindi scegliere Crea.
Selezionare Creare un modello personalizzato nell'editor.
Selezionare Carica file e seguire le istruzioni per caricare il file template.json scaricato nella sezione precedente
Nel file template.json sostituire:
- firewallName con il valore predefinito del nome del tuo Firewall di Azure.
- azureFirewallPublicIpId con l'ID dell'indirizzo IP pubblico nell'area di destinazione.
- virtualNetworkName con il nome della rete virtuale nell'area di destinazione.
- firewallPolicy.id con l'ID criterio.
Creare un nuovo criterio firewall usando la configurazione dell'area di origine e tenendo conto delle modifiche introdotte dalla nuova area di destinazione (intervalli di indirizzi IP, IP pubblico, raccolte di regole).
Se si usa lo SKU Premium e si desidera abilitare l'ispezione TLS, aggiornare il criterio firewall appena creato e abilitare l'ispezione TLS seguendo le istruzioni riportate qui.
Esaminare e aggiornare le impostazioni seguenti per riflettere le modifiche necessarie per l'area di destinazione.
- Gruppi IP. Per includere gli indirizzi IP dall'area di destinazione, se diversi da quelli dell’origine, è necessario esaminare i gruppi IP. È necessario modificare gli indirizzi IP inclusi nei gruppi.
- Zone. Configurare le zone di disponibilità (AZ) nell'area di destinazione.
- Forced Tunneling.Ensure di aver spostato la rete virtuale e che il firewall Management Subnet sia presente prima della rilocazione del Firewall di Azure. Aggiornare l'indirizzo IP nell'area di destinazione dell'appliance virtuale di rete a cui il Firewall di Azure deve reindirizzare il traffico, nella route definita dall'utente.
- DNS. Esaminare gli indirizzi IP per i server DNS personalizzati in modo che riflettano l'area di destinazione. Se la funzionalità proxy DNS è abilitata, assicurarsi di configurare le impostazioni del server DNS della rete virtuale e impostare l'indirizzo IP privato dell'Firewall di Azure come server DNS Server DNS personalizzato.
- Intervalli IP privati (SNAT). - Se vengono definiti intervalli personalizzati per SNAT, è consigliabile esaminarli ed eventualmente modificarli per includere lo spazio degli indirizzi dell'area di destinazione.
- Categorie. - Verificare e aggiornare i tag che riflettono o fanno riferimento alla nuova posizione del firewall.
- Impostazioni di diagnostica. Quando si ricrea il Firewall di Azure nell'area di destinazione, assicurarsi di esaminare l'impostazione Impostazioni di diagnostica e configurarla per riflettere l'area di destinazione (Log Analytics area di lavoro, account di archiviazione, hub eventi o soluzione partner di terze parti).
Modificare la proprietà location nel file template.json per l’area di destinazione (nell'esempio seguente l'area di destinazione è impostata su centralus):
```
"resources": [
{
  "type": "Microsoft.Network/azureFirewalls",
  "apiVersion": "2023-09-01",
  "name": "[parameters('azureFirewalls_fw_name')]",
  "location": "centralus",}]
```
Per trovare il codice di posizione per l'area di destinazione, vedere Residenza dei dati in Azure.
Salvare il file template.json.

Accedere al portale Azure.
Se si usa lo SKU Premium con l’ispezione TLS abilitata,
1. Rilocare il vault delle chiavi usato per l'ispezione TLS nella nuova area di destinazione e seguire le procedure per trasferire o generare nuovi certificati per l'ispezione TLS nel nuovo vault delle chiavi nell'area di destinazione.
2. Rilocare l'identità gestita nella nuova area di destinazione e riassegnare i ruoli corrispondenti per il Key Vault nella regione di destinazione e nella sottoscrizione.
Nel file template.json sostituire:
- firewallName con il valore predefinito del nome del tuo Firewall di Azure.
- azureFirewallPublicIpId con l'ID dell'indirizzo IP pubblico nell'area di destinazione.
- virtualNetworkName con il nome della rete virtuale nell'area di destinazione.
- firewallPolicy.id con l'ID criterio.
Creare un nuovo criterio firewall usando la configurazione dell'area di origine e tenendo conto delle modifiche introdotte dalla nuova area di destinazione (intervalli di indirizzi IP, IP pubblico, raccolte di regole).
Esaminare e aggiornare le proprietà seguenti per riflettere le modifiche necessarie per l'area di destinazione.
- Gruppi IP. Per includere gli indirizzi IP dall'area di destinazione, se diversi da quelli dell’origine, è necessario esaminare i gruppi IP. È necessario modificare gli indirizzi IP inclusi nei gruppi.
- Zone. Configurare le zone di disponibilità (AZ) nell'area di destinazione.
- Forced Tunneling.Ensure di aver spostato la rete virtuale e che il firewall Management Subnet sia presente prima della rilocazione del Firewall di Azure. Aggiornare l'indirizzo IP nell'area di destinazione dell'appliance virtuale di rete a cui il Firewall di Azure deve reindirizzare il traffico, nella route definita dall'utente.
- DNS. Esaminare gli indirizzi IP per i server DNS personalizzati in modo che riflettano l'area di destinazione. Se la funzionalità proxy DNS è abilitata, assicurarsi di configurare le impostazioni del server DNS della rete virtuale e impostare l'indirizzo IP privato dell'Firewall di Azure come server DNS Server DNS personalizzato.
- Intervalli IP privati (SNAT). - Se vengono definiti intervalli personalizzati per SNAT, è consigliabile esaminarli ed eventualmente modificarli per includere lo spazio degli indirizzi dell'area di destinazione.
- Categorie. - Verificare e aggiornare i tag che riflettono o fanno riferimento alla nuova posizione del firewall.
- Impostazioni di diagnostica. Quando si ricrea il Firewall di Azure nell'area di destinazione, assicurarsi di esaminare l'impostazione Impostazioni di diagnostica e configurarla per riflettere l'area di destinazione (Log Analytics area di lavoro, account di archiviazione, hub eventi o soluzione partner di terze parti).

Modificare la proprietà location nel file template.json per l’area di destinazione (nell'esempio seguente l'area di destinazione è impostata su centralus):

"resources": [
  {
    "type": "Microsoft.Network/azureFirewalls",
    "apiVersion": "2023-09-01",
    "name": "[parameters('azureFirewalls_fw_name')]",
    "location": "centralus",
  }
]

Per trovare il codice di posizione per l'area di destinazione, vedere Residenza dei dati in Azure.

Ripetere la distribuzione

Distribuire il modello per creare una nuova Firewall di Azure nell'area di destinazione.

portale Azure
PowerShell

Immettere o selezionare i valori della proprietà:
- Sottoscrizione: selezionare una sottoscrizione Azure.
- Gruppo di risorse: selezionare Crea nuovo e assegnare un nome al gruppo di risorse.
- Località: selezionare una località di Azure.
Il Firewall di Azure viene ora distribuito con la configurazione adottata per riflettere le modifiche necessarie nell'area di destinazione.
Verificare la configurazione e la funzionalità.

Ottieni l'ID dell'abbonamento in cui desideri distribuire l'indirizzo IP pubblico di destinazione eseguendo il seguente comando:
```
Get-AzSubscription
```

Eseguire i comandi seguenti per distribuire il modello:

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. eastus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"

Il Firewall di Azure viene ora distribuito con la configurazione adottata per riflettere le modifiche necessarie nell'area di destinazione.
Verificare la configurazione e la funzionalità.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-14