この記事では、Azure Virtual Networkを保護するAzure Firewallを再配置する方法について説明します。
[前提条件]
Premium SKU を使用することを強くお勧めします。 Standard SKU を使用している場合は、再配置<前に>既存の Standard SKU Azure Firewallから Premium SKU への移行を検討してください。
Azure Firewall再配置を適切に計画して実行するには、次の情報を収集する必要があります。
- デプロイ モデル。"クラシック ファイアウォール規則" または "Firewall ポリシー"。
- Firewall ポリシー名 ("Firewall ポリシー" デプロイ モデルを使用している場合)。
- ファイアウォール インスタンス レベルでの診断設定 (Log Analytics ワークスペースが使用されている場合)。
- TLS (トランスポート層セキュリティ) 検査構成.: (Azure Key Vault、証明書、マネージド ID が使用されている場合)。
- パブリック IP の制御。 Azure Firewall のパブリック IP に依存しているすべての外部 ID が固定され、信頼され続けることを評価します。
Azure Firewall Standard レベルと Premium レベルには、ターゲット リージョンにデプロイできる次の依存関係があります。
- Azure 仮想ネットワーク
- (使用する場合) Log Analytics ワークスペース
Azure Firewall Premium レベルの TLS 検査機能を使用している場合は、次の依存関係もターゲット リージョンにデプロイする必要があります。
稼働停止時間 (ダウンタイム)
発生する可能性のあるダウンタイムを理解するには、「Azureのクラウド導入フレームワーク: 再配置方法の選択を参照してください。
準備する
再配置の準備を行うには、まず、ソース リージョンからテンプレートをエクスポートして変更する必要があります。 Azure Firewall用のサンプル ARM テンプレートを表示するには、テンプレートの確認を参照してください。
テンプレートをエクスポートする
- Azure ポータルにサインインします。
- すべてのリソースを選択し、Azure Firewall リソースを選択します。
Azure Firewall ページで、左側のメニューのAutomation> の下にある を選択します。Export template - エクスポート テンプレート ページで、ダウンロード を選択します。
- ポータルからダウンロードした .zip ファイルを見つけて、選択したフォルダーにそのファイルを解凍します。
このzipファイルには、テンプレートを展開するためのテンプレートとスクリプトを含む.jsonファイルが含まれています。
テンプレートを変更する
このセクションでは、前のセクションで生成したテンプレートを変更する方法について説明します。
ファイアウォール ポリシーを使用しないでクラシック ファイアウォール規則を実行している場合は、このセクションの手順に進む前にファイアウォール ポリシーに移行してください。 クラシック ファイアウォール規則からファイアウォール ポリシーに移行する方法については、「PowerShell を使用してAzure Firewallの構成をAzure Firewallポリシーに移行する」を参照してください。
Azure ポータルにサインインします。
TLS 検査を有効にした Premium SKU を使用している場合は、次の手順を行います。
- 新しいターゲット リージョンに、TLS 検査に使用されるキー コンテナーを再配置します。 次に、手順に従って、ターゲット リージョンの新しいキー コンテナーに TLS 検査用の証明書を移動するか、新しく生成します。
- 新しいターゲット リージョンにマネージド ID を再配置します。 ターゲット リージョンとサブスクリプションで、キー コンテナーの対応するロールを再割り当てします。
Azure ポータルで、リソースの作成 を選択します。
[Marketplace を検索] に「
template deployment」と入力し、Enter キーを押します。[テンプレートのデプロイ]、[作成] の順に選択します。
独自のテンプレートをエディターに作成を選択します。
[ファイルを読み込む] を選択し、手順に従って、前のセクションでダウンロードした
template.jsonファイルを読み込みますtemplate.jsonファイルで、次のように置き換えます。- Azure Firewall 名の既定値を持つ
firewallName -
azureFirewallPublicIpIdをターゲット地域のあなたのパブリック IP アドレスの ID に置き換えます。 -
virtualNetworkNameをターゲット リージョンの仮想ネットワークの名前に置き換えます。 -
firewallPolicy.idをポリシー ID に置き換えます。
- Azure Firewall 名の既定値を持つ
ソース リージョンの構成を使用して新しいファイアウォール ポリシーを作成し、新しいターゲット リージョンによって導入された変更 (IP アドレス範囲、パブリック IP、ルール コレクション) を反映します。
Premium SKU を使用しており、TLS 検査を有効にする場合は、新しく作成したファイアウォール ポリシーを更新し、こちらの手順に従って TLS 検査を有効にします。
次の設定を確認して更新し、ターゲット リージョンに必要な変更を反映します。
- IP グループ。 ターゲット リージョンの IP アドレスがソースと異なる場合は、それを含めるために、"IP グループ" を確認する必要があります。 グループに含まれている IP アドレスを変更する必要があります。
- ゾーン。 ターゲット リージョンの可用性ゾーン (AZ) を構成します。
- Forced Tunneling.仮想ネットワークを再配置したことAzure Firewallが再配置される前にファイアウォール 管理サブネットが存在することを確認します。 Azure Firewallがトラフィックをリダイレクトするネットワーク仮想アプライアンス (NVA) のターゲット リージョンの IP アドレスを、ユーザー定義ルート (UDR) で更新します。
- DNS。 カスタム DNS サーバー の IP アドレスを確認して、ターゲット リージョンを反映します。 DNS プロキシ機能が有効になっている場合は、仮想ネットワーク DNS サーバーの設定を構成し、Azure Firewallのプライベート IP アドレスを Custom DNS サーバーとして設定してください。
- プライベート IP 範囲 (SNAT)。 - SNAT にカスタム範囲が定義されている場合は、ターゲット リージョンのアドレス空間が含まれていることを確認し、最終的に調整することをお勧めします。
- タグ。 - 新しいファイアウォールの場所を反映または参照するタグを確認して更新します。
- 診断設定。 ターゲット リージョンでAzure Firewallを再作成するときは、必ず Diagnostic Setting を確認し、ターゲット リージョン (Log Analytics ワークスペース、ストレージ アカウント、イベント ハブ、またはサード パーティ のパートナー ソリューション) を反映するように構成してください。
locationファイルのtemplate.jsonプロパティをターゲット リージョンに編集します (次の例は、ターゲット リージョンをcentralusに設定しています)。"resources": [ { "type": "Microsoft.Network/azureFirewalls", "apiVersion": "2023-09-01", "name": "[parameters('azureFirewalls_fw_name')]", "location": "centralus",}]ターゲットリージョンのロケーションコードを見つけるには、Azure におけるデータレジデンシーのページを参照してください。
template.jsonファイルを保存します。
再デプロイ
テンプレートをデプロイして、ターゲット リージョンに新しいAzure Firewallを作成します。
プロパティ値を入力または選択します。
- サブスクリプション: Azure サブスクリプションを選択します。
- [リソース グループ] : [新規作成] を選択して、リソース グループに名前を付けます。
- 場所: Azureの場所を選択します。
Azure Firewallは、ターゲット リージョンで必要な変更を反映するために、採用された構成でデプロイされるようになりました。
構成と機能を確認します。