Flytta Azure Firewall till en annan region

Den här artikeln visar hur du flyttar en Azure Firewall som skyddar en Azure Virtual Network.

Förutsättningar

Vi rekommenderar starkt att du använder Premium SKU. Om du använder Standard SKU bör du överväga att migrera från en befintlig Standard SKU-Azure Firewall till Premium SKU innan du flyttar.
Följande information måste samlas in för att planera och utföra en Azure Firewall omlokalisering:
- Distributionsmodell.Klassiska brandväggsregler eller brandväggsprincip.
- Namn på brandväggspolicy. (Om brandväggspolicyns distributionsmodell används).
- Diagnostikinställning på brandväggsinstansnivå. (Om Log Analytics arbetsyta används).
- TLS (Transport Layer Security) Inspektionskonfiguration.: (Om Azure Key Vault, certifikat och hanterad identitet används.)
- Offentlig IP-kontroll. Utvärdera att alla externa identiteter som förlitar sig på Azure Firewall offentliga IP-adressen förblir fasta och betrodda.
Azure Firewall Standard- och Premium-nivåerna har följande beroenden som kan distribueras i målregionen:
- Virtuellt Azure-nätverk
- (Om det används) Log Analytics Workspace
Om du använder TLS-inspektionsfunktionen på Azure Firewall Premium-nivå måste följande beroenden också distribueras i målregionen:
- Azure Key Vault
- Azure Managed Identity

Stilleståndstid

Information om möjliga stilleståndstider finns i Cloud Adoption Framework för Azure: Välj en omlokaliseringsmetod.

Förbereda

För att förbereda för omlokalisering måste du först exportera och ändra mallen från källregionen. Om du vill visa en ARM-exempelmall för Azure Firewall kan du läsa visa mallen.

Logga in på Azure-portalen.
Välj Alla resurser och välj sedan din Azure Firewall resurs.
På sidan Azure Firewall väljer du Exportmall under Automation på den vänstra menyn.
Välj Ladda ner på sidan Exportmall.
Leta upp den .zip fil som du laddade ned från portalen och packa upp filen till valfri mapp.

Denna zip-fil innehåller .json-filerna som inkluderar mallen och skripten för att distribuera mallen.

Logga in på din Azure-prenumeration med kommandot Connect-AzAccount och följ anvisningarna på skärmen:
```
Connect-AzAccount
```
Om din identitet är associerad med mer än en prenumeration anger du din aktiva prenumeration till prenumeration på den Azure Firewall resurs som du vill flytta.
```
$context = Get-AzSubscription -SubscriptionId <subscription-id>
Set-AzContext $context
```

Exportera mallen för din källresurs Azure Firewall genom att köra följande kommandon:

$resource = Get-AzResource `
  -ResourceGroupName <resource-group-name> `
  -ResourceName <resource-name> `
  -ResourceType <resource-type>

Export-AzResourceGroup `
  -ResourceGroupName <resource-group-name> `
  -Resource $resource.ResourceId

Hitta template.json i din aktuella katalog.

Ändra mall

I det här avsnittet får du lära dig hur du ändrar mallen som du genererade i föregående avsnitt.

Om du kör klassiska brandväggsregler utan brandväggsprincip migrerar du till Brandväggsprincip innan du fortsätter med stegen i det här avsnittet. Information om hur du migrerar från klassiska brandväggsregler till brandväggsprincip finns i Migrera konfigurationen av Azure Firewall till Azure Firewall-princip med hjälp av PowerShell.

Azure Portal
PowerShell

Logga in på Azure-portalen.
Om du använder Premium SKU med TLS-inspektion aktiverat,
1. Flytta nyckelvalvet som används för TLS-inspektion till den nya målregionen. Sedan följer du procedurerna för att flytta certifikat eller generera nya certifikat för TLS-granskning till det nya nyckelvalvet i målregionen.
2. Flytta hanterad identitet till den nya målregionen. Tilldela om motsvarande roller för nyckelvalvet i målregionen och prenumerationen.
I Azure-portalen väljer du Skapa en resurs.
I Sök på Marketplace skriver du template deploymentoch trycker sedan på Retur.
Välj Mallimplementering och välj Skapa.
Välj alternativet för att skapa din egen mall i redigeringsprogrammet.
Välj Läs in fil och följ sedan anvisningarna för att läsa in template.json filen som du laddade ned i föregående avsnitt
template.json I filen ersätter du:
- firewallName med standardvärdet för ditt Azure Firewall namn.
- azureFirewallPublicIpId med ID:t för din offentliga IP-adress i målregionen.
- virtualNetworkName med namnet på det virtuella nätverket i målregionen.
- firewallPolicy.id med ditt policy-ID.
Skapa en ny brandväggsprincip med hjälp av konfigurationen av källregionen och återspegla ändringar som introduceras av den nya målregionen (IP-adressintervall, offentlig IP- och regelsamlingar).
Om du använder Premium SKU och vill aktivera TLS-inspektion uppdaterar du den nyligen skapade brandväggsprincipen och aktiverar TLS-inspektion genom att följa anvisningarna här.
Granska och uppdatera följande inställningar för att återspegla de ändringar som krävs för målregionen.
- IP-grupper. Om du vill inkludera IP-adresser från målregionen, om det skiljer sig från källan, bör IP-grupper granskas. IP-adresserna som ingår i grupperna måste ändras.
- Zoner. Konfigurera tillgänglighetszonerna (AZ) i målregionen.
- Tvångstunnel.Säkerställ att du har flyttat det virtuella nätverket och att brandväggens Management Subnet är närvarande innan Azure-brandväggen flyttas. Uppdatera IP-adressen i målregionen för den virtuella nätverksinstallationen (NVA) som Azure Firewall ska omdirigera trafiken till i UDR (User Defined Route).
- DNS. Granska IP-adresser för dina anpassade DNS-servrar för att återspegla målregionen. Om funktionen DNS Proxy är aktiverad måste du konfigurera DNS-serverinställningarna för det virtuella nätverket och ange Azure Firewall privata IP-adress som en Anpassad DNS-server.
- Privata IP-intervall (SNAT). – Om anpassade intervall har definierats för SNAT rekommenderar vi att du granskar och så småningom justerar för att inkludera målregionens adressutrymme.
- Taggar. – Verifiera och uppdatera eventuella taggar som återspeglar eller refererar till den nya brandväggsplatsen.
- Diagnostikinställningar. När du återskapar Azure Firewall i målregionen bör du granska inställningen Diagnostic och konfigurera den så att den återspeglar målregionen (Log Analytics arbetsyta, lagringskonto, händelsehubbar eller partnerlösning från tredje part).
location Redigera egenskapen i template.json filen till målregionen (I följande exempel anges målregionen till centralus.):
```
"resources": [
{
  "type": "Microsoft.Network/azureFirewalls",
  "apiVersion": "2023-09-01",
  "name": "[parameters('azureFirewalls_fw_name')]",
  "location": "centralus",}]
```
Information om hur du hittar platskoden för målregionen finns i Datahem i Azure.
Spara filen template.json.

Logga in på Azure-portalen.
Om du använder Premium SKU med TLS-inspektion aktiverat,
1. Flytta nyckelvalvet som används för TLS-inspektion till den nya målregionen och följ procedurerna för att flytta certifikat eller generera nya certifikat för TLS-inspektion i det nya nyckelvalvet i målregionen.
2. Flytta den hanterade identiteten till den nya målregionen och tilldela om motsvarande roller för nyckelvalvet i målregionen och prenumerationen.
template.json I filen ersätter du:
- firewallName med standardvärdet för ditt Azure Firewall namn.
- azureFirewallPublicIpId med ID:t för din offentliga IP-adress i målregionen.
- virtualNetworkName med namnet på det virtuella nätverket i målregionen.
- firewallPolicy.id med ditt policy-ID.
Skapa en ny brandväggsprincip med hjälp av konfigurationen av källregionen och återspegla ändringar som introduceras av den nya målregionen (IP-adressintervall, offentlig IP- och regelsamlingar).
Granska och uppdatera följande egenskaper för att återspegla de ändringar som krävs för målregionen.
- IP-grupper. Om du vill inkludera IP-adresser från målregionen, om det skiljer sig från källan, bör IP-grupper granskas. IP-adresserna som ingår i grupperna måste ändras.
- Zoner. Konfigurera tillgänglighetszonerna (AZ) i målregionen.
- Tvångstunnel.Säkerställ att du har flyttat det virtuella nätverket och att brandväggens Management Subnet är närvarande innan Azure-brandväggen flyttas. Uppdatera IP-adressen i målregionen för den virtuella nätverksinstallationen (NVA) som Azure Firewall ska omdirigera trafiken till i UDR (User Defined Route).
- DNS. Granska IP-adresser för dina anpassade DNS-servrar för att återspegla målregionen. Om funktionen DNS Proxy är aktiverad måste du konfigurera DNS-serverinställningarna för det virtuella nätverket och ange Azure Firewall privata IP-adress som en Anpassad DNS-server.
- Privata IP-intervall (SNAT). – Om anpassade intervall har definierats för SNAT rekommenderar vi att du granskar och så småningom justerar för att inkludera målregionens adressutrymme.
- Taggar. – Verifiera och uppdatera eventuella taggar som återspeglar eller refererar till den nya brandväggsplatsen.
- Diagnostikinställningar. När du återskapar Azure Firewall i målregionen bör du granska inställningen Diagnostic och konfigurera den så att den återspeglar målregionen (Log Analytics arbetsyta, lagringskonto, händelsehubb eller partnerlösning från tredje part).

location Redigera egenskapen i template.json filen till målregionen (I följande exempel anges målregionen till centralus.):

"resources": [
  {
    "type": "Microsoft.Network/azureFirewalls",
    "apiVersion": "2023-09-01",
    "name": "[parameters('azureFirewalls_fw_name')]",
    "location": "centralus",
  }
]

Information om hur du hittar platskoden för målregionen finns i Datahem i Azure.

Återplacera

Distribuera mallen för att skapa en ny Azure Firewall i målregionen.

Azure Portal
PowerShell

Ange eller välj egenskapsvärden:
- Prenumeration: Välj en Azure prenumeration.
- Resursgrupp: Välj Skapa ny och ge resursgruppen ett namn.
- Plats: Välj en Azure plats.
Azure Firewall distribueras nu med den antagna konfigurationen för att återspegla nödvändiga ändringar i målregionen.
Verifiera konfiguration och funktioner.

Hämta prenumerations-ID:t där du vill distribuera den offentliga mål-IP-adressen genom att köra följande kommando:
```
Get-AzSubscription
```

Kör följande kommandon för att distribuera mallen:

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. eastus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"

Azure Firewall distribueras nu med den antagna konfigurationen för att återspegla nödvändiga ändringar i målregionen.
Verifiera konfiguration och funktioner.

Feedback

Var den här sidan till hjälp?

Last updated on 2026-04-14