Realocar Firewall do Azure para outra região

Este artigo mostra como realocar um Firewall do Azure que protege um Rede Virtual do Azure.

Pré-requisitos

É altamente recomendável que você use o SKU Premium. Se você estiver no SKU Standard, considere migrar de um Firewall do Azure de SKU Standard existente para o SKU Premium antes da realocação.
As seguintes informações devem ser coletadas para planejar e executar corretamente uma realocação Firewall do Azure:
- Modelo de implantação.Regras de firewall clássico ou política de firewall.
- Nome da política de firewall. (Se o modelo de implantação Política de firewall é usado).
- Configuração de diagnóstico no nível da instância do firewall. (Se o workspace do Log Analytics for usado).
- Configuração de Inspeção TLS (Transport Layer Security): (Se Azure Key Vault, Certificado e Identidade Gerenciada forem usados.)
- Controle IP público. Avalie que qualquer identidade externa que dependa de Firewall do Azure IP público permanece fixa e confiável.
Firewall do Azure camadas Standard e Premium têm as seguintes dependências que podem ser implantadas na região de destino:
- Rede Virtual do Azure
- (Se usado) Log Analytics Workspace
Se você estiver usando o recurso inspeção TLS da camada Premium Firewall do Azure, as seguintes dependências também precisarão ser implantadas na região de destino:
- Azure Key Vault
- Azure Managed Identity

Tempo de inatividade

Para entender os possíveis tempos de inatividade envolvidos, consulte Cloud Adoption Framework para Azure: selecione um método de realocação.

Preparar-se

Para se preparar para a realocação, primeiro você precisa exportar e modificar o modelo da região de origem. Para exibir um modelo ARM de exemplo para Firewall do Azure, consulte revisar o modelo.

Entre no portal Azure.
Selecione Todos recursos e selecione o recurso Firewall do Azure.
Na página Firewall do Azure, selecione Export template em Automation no menu à esquerda.
Escolha Baixar na página Exportar modelo.
Localize o arquivo .zip que você baixou do portal e descompacte-o na pasta desejada.

Esse arquivo zip contém os arquivos .json que incluem o modelo e os scripts para implantar o modelo.

Entre em sua assinatura Azure com o comando Connect-AzAccount e siga as instruções na tela:
```
Connect-AzAccount
```
Se sua identidade estiver associada a mais de uma assinatura, defina sua assinatura ativa como assinatura do recurso Firewall do Azure que você deseja mover.
```
$context = Get-AzSubscription -SubscriptionId <subscription-id>
Set-AzContext $context
```

Exporte o modelo do recurso de Firewall do Azure de origem executando os seguintes comandos:

$resource = Get-AzResource `
  -ResourceGroupName <resource-group-name> `
  -ResourceName <resource-name> `
  -ResourceType <resource-type>

Export-AzResourceGroup `
  -ResourceGroupName <resource-group-name> `
  -Resource $resource.ResourceId

Localize o template.json no seu diretório atual.

Modificar um modelo

Nesta seção, você aprenderá a modificar o modelo que gerou na seção anterior.

Se você estiver executando regras de firewall clássicas sem a política de Firewall, migre para a política de Firewall antes de prosseguir com as etapas desta seção. Para saber como migrar de regras de firewall clássicas para política de firewall, consulte Migrar a configuração do Firewall do Azure para política do Firewall do Azure usando PowerShell.

Azure portal
PowerShell

Entre no portal Azure.
Se você estiver usando o SKU Premium com a Inspeção do TLS habilitada,
1. Realoque o cofre de chaves usado para inspeção do TLS na nova região de destino. Em seguida, siga os procedimentos para mover certificados ou gerar novos certificados para inspeção do TLS no novo cofre de chaves na região de destino.
2. Realoque a identidade gerenciada para a nova região de destino. Reatribua as funções correspondentes para o cofre de chaves na região de destino e na assinatura.
No portal Azure, selecione Criar um recurso.
Em Pesquisar no Marketplace, digite template deploymente pressione Enter.
Selecione a Implantação de modelo e selecione Criar.
Selecione Criar seu próprio modelo no editor.
Selecione Carregar arquivo e siga as instruções para carregar o arquivo template.json que você baixou na última seção
No arquivo template.json, substitua:
- firewallName com o valor padrão do nome do seu Firewall do Azure.
- azureFirewallPublicIpId com a ID do seu endereço de IP público na região de destino.
- virtualNetworkName com o nome da rede virtual na região de destino.
- firewallPolicy.id com a ID da política.
Crie uma política de firewall usando a configuração da região de origem e reflita as alterações introduzidas pela nova região de destino (Intervalos de Endereços IP, IP Público, Coleções de Regras).
Se você estiver usando o SKU Premium e quiser habilitar a Inspeção do TLS, atualize a política de firewall recém-criada e habilite a inspeção do TLS seguindo as instruções mostradas aqui.
Examine e atualize as seguintes configurações para refletir as alterações necessárias para a região de destino.
- Grupos de IP. Para incluir endereços IP da região de destino, se diferente da origem, os Grupos de IP devem ser revisados. Os endereços IP incluídos nos grupos precisam ser modificados.
- Zonas. Configure as zonas de disponibilidade (AZs) na região de destino.
- Forced Tunneling.Ensure que você realocou a rede virtual e que o firewall Management Subnet está presente antes que o Firewall do Azure seja realocado. Atualize o Endereço IP na região de destino da NVA (Solução de Virtualização de Rede) para a qual o Firewall do Azure deve redirecionar o tráfego, na UDR (Rota Definida pelo Usuário).
- DNS. Examine os endereços IP dos servidores DNS personalizados para refletir sua região de destino. Se o recurso DNS Proxy estiver habilitado, defina as configurações do servidor DNS de rede virtual e defina o endereço IP privado do Firewall do Azure como um servidor DNS Custom.
- Intervalos de IP privado (SNAT). – Se intervalos personalizados estiverem definidos para SNAT, é recomendável que você revise e, eventualmente, ajuste para incluir o espaço de endereços da região de destino.
- Etiquetas. - Verifique e atualize as marcas que refletem ou se referem ao novo local do firewall.
- Configurações de diagnóstico. Ao recriar o Firewall do Azure na região de destino, examine a configuração Diagnostic e configure-a para refletir a região de destino (Log Analytics workspace, conta de armazenamento, hubs de eventos ou solução de parceiro de terceiros).
Edite a propriedade location no arquivo template.json para a região de destino (o seguinte exemplo define a região de destino como centralus):
```
"resources": [
{
  "type": "Microsoft.Network/azureFirewalls",
  "apiVersion": "2023-09-01",
  "name": "[parameters('azureFirewalls_fw_name')]",
  "location": "centralus",}]
```
Para localizar o código da região de destino, consulte Residência de dados no Azure.
Salve o arquivo template.json.

Entre no portal Azure.
Se você estiver usando o SKU Premium com a Inspeção do TLS habilitada,
1. Realoque o cofre de chaves usado para inspeção do TLS na nova região de destino e siga os procedimentos para mover certificados ou gerar novos certificados para inspeção TLS no novo cofre de chaves na região de destino.
2. Realoque a identidade gerenciada para a nova região de destino e reatribua as funções correspondentes para o cofre de chaves na região de destino e na assinatura.
No arquivo template.json, substitua:
- firewallName com o valor padrão do nome do seu Firewall do Azure.
- azureFirewallPublicIpId com a ID do seu endereço de IP público na região de destino.
- virtualNetworkName com o nome da rede virtual na região de destino.
- firewallPolicy.id com a ID da política.
Crie uma política de firewall usando a configuração da região de origem e reflita as alterações introduzidas pela nova região de destino (Intervalos de Endereços IP, IP Público, Coleções de Regras).
Examine e atualize as propriedades a seguir para refletir as alterações necessárias para a região de destino.
- Grupos de IP. Para incluir endereços IP da região de destino, se diferente da origem, os Grupos de IP devem ser revisados. Os endereços IP incluídos nos grupos precisam ser modificados.
- Zonas. Configure as zonas de disponibilidade (AZs) na região de destino.
- Forced Tunneling.Ensure que você realocou a rede virtual e que o firewall Management Subnet está presente antes que o Firewall do Azure seja realocado. Atualize o Endereço IP na região de destino da NVA (Solução de Virtualização de Rede) para a qual o Firewall do Azure deve redirecionar o tráfego, na UDR (Rota Definida pelo Usuário).
- DNS. Examine os endereços IP dos servidores DNS personalizados para refletir sua região de destino. Se o recurso DNS Proxy estiver habilitado, defina as configurações do servidor DNS de rede virtual e defina o endereço IP privado do Firewall do Azure como um servidor DNS Custom.
- Intervalos de IP privado (SNAT). – Se intervalos personalizados estiverem definidos para SNAT, é recomendável que você revise e, eventualmente, ajuste para incluir o espaço de endereços da região de destino.
- Etiquetas. - Verifique e atualize as marcas que refletem ou se referem ao novo local do firewall.
- Configurações de diagnóstico. Ao recriar o Firewall do Azure na região de destino, examine a configuração Diagnostic e configure-a para refletir a região de destino (Log Analytics workspace, conta de armazenamento, hub de eventos ou solução de parceiro de terceiros).

Edite a propriedade location no arquivo template.json para a região de destino (o seguinte exemplo define a região de destino como centralus):

"resources": [
  {
    "type": "Microsoft.Network/azureFirewalls",
    "apiVersion": "2023-09-01",
    "name": "[parameters('azureFirewalls_fw_name')]",
    "location": "centralus",
  }
]

Para localizar o código de localização da região de destino, consulte Residência de dados no Azure.

Nova implantação

Implante o modelo para criar um novo Firewall do Azure na região de destino.

Azure portal
PowerShell

Insira ou selecione os valores da propriedade:
- Assinatura: selecione uma assinatura Azure.
- Grupo de recursos: selecione Criar novo e dê um nome ao grupo de recursos.
- Local: selecione um local Azure.
O Firewall do Azure agora é implantado com a configuração adotada para refletir as alterações necessárias na região de destino.
Verifique a configuração e a funcionalidade.

Obtenha a ID da assinatura na qual você deseja implantar o IP público de destino executando o seguinte comando:
```
Get-AzSubscription
```

Execute os seguintes comandos para implantar seu modelo:

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. eastus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"

O Firewall do Azure agora é implantado com a configuração adotada para refletir as alterações necessárias na região de destino.
Verifique a configuração e a funcionalidade.

Comentários

Esta página foi útil?

Last updated on 2026-04-14