Relocate Azure Firewall para outra região

Este artigo mostra-lhe como realocar um Azure Firewall que protege uma Rede Virtual do Azure.

Pré-requisitos

Recomendamos vivamente que utilize o SKU Premium. Se estiver no SKU Standard, considere migrar de um SKU Standard existente Azure Firewall para um SKU Premium antes da realocação.
A seguinte informação deve ser recolhida para planear e executar corretamente uma relocalização do Azure Firewall:
- Modelo de implantação.Regras clássicas de firewall ou política de firewall.
- Nome da política do firewall. (Se for utilizado o modelo de implementação de políticas de firewall ).
- Configuração de diagnóstico no nível de instância do firewall. (Se for usado o espaço de trabalho Log Analytics).
- Configuração de inspeção TLS (Segurança da Camada de Transporte): se Azure Key Vault, certificado e identidade gerida são usados.
- Controlo público de propriedade intelectual. Avalie se qualquer identidade externa que dependa do IP público do Azure Firewall permanece fixa e confiável.
Os níveis Standard e Premium do Azure Firewall têm as seguintes dependências que podem ser implementadas na região de destino:
- Rede Virtual do Azure
- (Se utilizado) Log Analytics Workspace
Se estiver a usar a funcionalidade TLS Inspection do Azure Firewall Premium tier, as seguintes dependências também precisam de ser implementadas na região de destino:
- Azure Key Vault
- Azure Identidade Gerida

Tempo de inatividade

Para compreender os possíveis tempos de inatividade envolvidos, veja Cloud Adoption Framework para Azure: Selecione um método de realocação.

Prepare

Para te preparares para a realocação, primeiro precisas de exportar e modificar o modelo a partir da região de origem. Para visualizar um modelo ARM de exemplo para Azure Firewall, consulte review the template.

Inicie sessão no portal Azure.
Seleciona Todos os recursos e depois seleciona o teu recurso Azure Firewall.
Na página Azure Firewall, selecione Exportar modelo em Automação no menu esquerdo.
Escolha Download na página Exportar modelo .
Localize o arquivo .zip que você baixou do portal e descompacte esse arquivo para uma pasta de sua escolha.

Este ficheiro zip contém os ficheiros .json que incluem o modelo e scripts para implementar o modelo.

Inicie sessão na sua subscrição Azure com o comando Connect-AzAccount e siga as instruções no ecrã:
```
Connect-AzAccount
```
Se a sua identidade estiver associada a mais do que uma subscrição, então defina a sua subscrição ativa como subscrição do recurso Azure Firewall que pretende mover.
```
$context = Get-AzSubscription -SubscriptionId <subscription-id>
Set-AzContext $context
```

Exporte o modelo do seu recurso Azure Firewall de origem executando os seguintes comandos:

$resource = Get-AzResource `
  -ResourceGroupName <resource-group-name> `
  -ResourceName <resource-name> `
  -ResourceType <resource-type>

Export-AzResourceGroup `
  -ResourceGroupName <resource-group-name> `
  -Resource $resource.ResourceId

Localize o template.json no seu diretório atual.

Modificar modelo

Nesta secção, aprende como modificar o modelo que gerou na secção anterior.

Se estiver a executar regras clássicas de firewall sem a política de firewall, migre para a política de firewall antes de prosseguir com os passos desta secção. Para aprender a migrar das regras clássicas de firewall para a política de firewall, veja Migrar Azure Firewall configuração para Azure Firewall política usando PowerShell.

Portal do Azure
PowerShell

Inicie sessão no portal Azure.
Se estiveres a usar o SKU Premium com o TLS Inspection ativado,
1. Relocaliza o cofre de chaves que é usado para a inspeção do TLS para a nova região-alvo. Depois, siga os procedimentos para mover certificados ou gerar novos certificados para inspeção TLS para o novo cofre de chaves na região alvo.
2. Reloque a identidade gerida para a nova região-alvo. Reatribuir os papéis correspondentes para o cofre de chaves na região de destino e para a subscrição.
No portal Azure, selecione Criar um recurso.
Em Pesquisar no Mercado, escreva template deployment, e depois pressione Enter.
Selecione Implementação de Modelo e selecione Criar.
Selecione Crie o seu próprio modelo no editor.
Selecione Carregar ficheiro e siga as instruções para carregar o template.json ficheiro que descarregou na secção anterior
No template.json ficheiro, substituir:
- firewallName com o valor padrão do nome do seu Azure Firewall.
- azureFirewallPublicIpId com o ID do seu endereço IP público na região de destino.
- virtualNetworkName com o nome da rede virtual na região-alvo.
- firewallPolicy.id com o seu ID da apólice.
Criar uma nova política de firewall usando a configuração da região de origem e refletir as alterações introduzidas pela nova região-alvo (Intervalos de Endereços IP, IP Público, Coleções de Regras).
Se estiveres a usar o SKU Premium e quiseres ativar a Inspeção TLS, atualiza a nova política de firewall criada e ativa a inspeção TLS seguindo as instruções aqui.
Revise e atualize as seguintes definições para refletir as alterações necessárias para a região-alvo.
- Grupos de IP. Para incluir endereços IP da região de destino, se diferentes da origem, devem ser revistos os Grupos IP . Os endereços IP incluídos nos grupos devem ser modificados.
- Zonas. Configure as Zonas de Disponibilidade (AZ) na região-alvo.
- Tunelamento Forçado.Certifique-se de que realocou a rede virtual e de que a Sub-rede de Gestão do firewall está presente antes de realocar a Azure Firewall. Atualize o Endereço IP na região-alvo do Dispositivo Virtual de Rede (NVA) para onde o Azure Firewall deve redirecionar o tráfego, na Rota Definida pelo Utilizador (UDR).
- DNS. Revise os endereços IP dos seus servidores DNS personalizados para refletirem a sua região-alvo. Se a funcionalidade Proxy DNS estiver ativada, certifique-se de configurar as definições do seu servidor DNS de rede virtual e definir o endereço IP privado do Azure Firewall como Custom DNS server.
- Intervalos privados de IP (SNAT). - Se forem definidos intervalos personalizados para SNAT, recomenda-se que reveja e eventualmente ajuste para incluir o espaço de endereçamento da região alvo.
- Etiquetas. - Verificar e atualizar quaisquer etiquetas que reflitam ou refiram à nova localização do firewall.
- Definições de diagnóstico. Ao recriar o Azure Firewall na região de destino, certifique-se de rever a <>Definição de Diagnóstico e configurá-la para refletir a região de destino (Log Analytics espaço de trabalho, conta de armazenamento, hubs de eventos ou solução de parceiros de terceiros).
Edite a location propriedade no template.json ficheiro para a região-alvo (O exemplo seguinte define a região-alvo para centralus.):
```
"resources": [
{
  "type": "Microsoft.Network/azureFirewalls",
  "apiVersion": "2023-09-01",
  "name": "[parameters('azureFirewalls_fw_name')]",
  "location": "centralus",}]
```
Para encontrar o código de localização da sua região-alvo, consulte Residência de dados em Azure.
Guarde o ficheiro template.json.

Inicie sessão no portal Azure.
Se estiveres a usar o SKU Premium com o TLS Inspection ativado,
1. Realoque o cofre de chaves usado para a inspeção TLS para a nova região-alvo e siga os procedimentos para mover certificados ou gerar novos certificados para inspeção TLS no novo cofre de chaves na região-alvo.
2. Relocalize a identidade gerida para a nova região alvo e reatribua os papéis correspondentes para o cofre de chaves na região alvo e subscrição.
No template.json ficheiro, substituir:
- firewallName com o valor padrão do nome do seu Azure Firewall.
- azureFirewallPublicIpId com o ID do seu endereço IP público na região de destino.
- virtualNetworkName com o nome da rede virtual na região-alvo.
- firewallPolicy.id com o seu ID da apólice.
Criar uma nova política de firewall usando a configuração da região de origem e refletir as alterações introduzidas pela nova região-alvo (Intervalos de Endereços IP, IP Público, Coleções de Regras).
Revise e atualize as seguintes propriedades para refletir as alterações necessárias para a região-alvo.
- Grupos de IP. Para incluir endereços IP da região de destino, se diferentes da origem, devem ser revistos os Grupos IP . Os endereços IP incluídos nos grupos devem ser modificados.
- Zonas. Configure as Zonas de Disponibilidade (AZ) na região-alvo.
- Tunelamento Forçado.Certifique-se de que realocou a rede virtual e de que a Sub-rede de Gestão do firewall está presente antes de realocar a Azure Firewall. Atualize o Endereço IP na região-alvo do Dispositivo Virtual de Rede (NVA) para onde o Azure Firewall deve redirecionar o tráfego, na Rota Definida pelo Utilizador (UDR).
- DNS. Revise os endereços IP dos seus servidores DNS personalizados para refletirem a sua região-alvo. Se a funcionalidade Proxy DNS estiver ativada, certifique-se de configurar as definições do seu servidor DNS de rede virtual e definir o endereço IP privado do Azure Firewall como Custom DNS server.
- Intervalos privados de IP (SNAT). - Se forem definidos intervalos personalizados para SNAT, recomenda-se que reveja e eventualmente ajuste para incluir o espaço de endereçamento da região alvo.
- Etiquetas. - Verificar e atualizar quaisquer etiquetas que reflitam ou refiram à nova localização do firewall.
- Definições de diagnóstico. Ao recriar a Azure Firewall na região de destino, certifique-se de rever a Definição de Diagnóstico e configurá-la para refletir a região de destino (Log Analytics espaço de trabalho, conta de armazenamento, hub de eventos ou solução parceira de terceiros).

Edite a location propriedade no template.json ficheiro para a região-alvo (O exemplo seguinte define a região-alvo para centralus.):

"resources": [
  {
    "type": "Microsoft.Network/azureFirewalls",
    "apiVersion": "2023-09-01",
    "name": "[parameters('azureFirewalls_fw_name')]",
    "location": "centralus",
  }
]

Para encontrar o código de localização da sua região-alvo, consulte Residência de dados em Azure.

Reimplementar

Implemente o modelo para criar um novo Azure Firewall na região de destino.

Portal do Azure
PowerShell

Introduza ou selecione os valores das propriedades:
- Subscrição: Selecione uma subscrição do Azure.
- Grupo de recursos: Selecione Criar novo e dê um nome ao grupo de recursos.
- Localização: Selecione uma localização Azure.
O Azure Firewall é agora implementado com a configuração adotada para refletir as alterações necessárias na região de destino.
Verifica a configuração e funcionalidade.

Obtenha o ID da subscrição onde pretende implementar o IP público alvo executando o seguinte comando:
```
Get-AzSubscription
```

Execute os seguintes comandos para implementar o seu modelo:

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. eastus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"

O Azure Firewall é agora implementado com a configuração adotada para refletir as alterações necessárias na região de destino.
Verifica a configuração e funcionalidade.

Comentários

Esta página foi útil?

Last updated on 2026-04-14