Condividi tramite

Rilocare Firewall di Azure in un'altra area

  • Articolo

Questo articolo spiega come rilocare un’istanza di Firewall di Azure che protegga Rete virtuale di Azure.

Prerequisiti

  • Microsoft sconsiglia vivamente di usare lo SKU Premium. Se si usa lo SKU Standard, vedere Eseguire la migrazione da un’istanza di Firewall di Azure esistente con SKU Standard a una con SKU Premium prima di iniziare la rilocazione..

  • Per pianificare ed eseguire correttamente la rilocazione di un’istanza di Firewall di Azure, è necessario raccogliere le informazioni seguenti:

    • Modello di distribuzione. Regole classiche del firewall o Criterio firewall.
    • Nome del criterio firewall. (Se si utilizza il modello di distribuzione con un criterio firewall).
    • Impostazione di diagnostica a livello di istanza del firewall. (Se si utilizza l'area di lavoro Log Analytics).
    • Configurazione dell’ispezione TLS (Transport Layer Security): (se si utilizza Azure Key Vault, certificato e identità gestita).
    • Controllo dell’IP pubblico. Valutare se una delle identità esterne basate sull'IP pubblico di Firewall di Azure rimane fissa e attendibile.

  • I livelli Standard e Premium di Firewall di Azure offrono le dipendenze seguenti che può essere necessario distribuire nell'area di destinazione:

  • Se si usa la funzionalità di ispezione TLS del livello Premium di Firewall di Azure, è necessario distribuire anche le dipendenze seguenti nell'area di destinazione:

Tempo di inattività

Per comprendere i possibili tempi di inattività, vedere Cloud Adoption Framework per Azure: selezionare un metodo di rilocazione.

Preparazione

Per prepararsi alla rilocazione, in primo luogo è necessario esportare e modificare il modello dall'area di origine. Per visualizzare un modello di ARM di esempio per Firewall di Azure, vedere Esaminare il modello.

Esportare il modello

  1. Accedere al portale di Azure.

  2. Selezionare Tutte le risorse e quindi scegliere la risorsa di Firewall di Azure.

  3. Nella pagina Firewall di Azure selezionare Esporta modello in Automazione nel menu di sinistra.

  4. Scegliere Scarica nella pagina Esporta modello.

  5. Individuare il file .zip scaricato dal portale e decomprimere il file in una cartella di propria scelta.

    Questo file ZIP contiene i file .json che includono il modello e gli script per distribuire il modello.

Modificare il modello

In questa sezione si spiega come modificare il modello generato nella sezione precedente.

Se sono in esecuzione le regole classiche del firewall senza il criterio firewall, eseguire la migrazione al criterio firewall prima di procedere con la procedura descritta in questa sezione. Per informazioni su come eseguire la migrazione dalle regole classiche del firewall al criterio firewall, vedere Eseguire la migrazione della configurazione di Firewall di Azure al criterio Firewall di Azure tramite PowerShell.

  1. Accedere al portale di Azure.

  2. Se si usa lo SKU Premium con l’ispezione TLS abilitata,

    1. Rilocare l'insieme di credenziali delle chiavi utilizzato per l'ispezione TLS nella nuova area di destinazione. Successivamente, seguire le procedure per spostare i certificati o generare nuovi certificati per l'ispezione TLS nel nuovo insieme di credenziali delle chiavi nell'area di destinazione.
    2. Rilocare l'identità gestita nella nuova area di destinazione. Riassegnare i ruoli corrispondenti per l'insieme di credenziali delle chiavi nell'area di destinazione e nella sottoscrizione.

  3. Nel portale di Azure selezionare Crea una risorsa.

  4. In Cerca nel Marketplace digitare template deployment, quindi premere INVIO.

  5. Selezionare Distribuzione modello e quindi scegliere Crea.

  6. Selezionare Creare un modello personalizzato nell'editor.

  7. Selezionare Carica file e seguire le istruzioni per caricare il file template.json scaricato nella sezione precedente

  8. Nel file template.json sostituire:

    • firewallName con il valore predefinito del nome dell’istanza Firewall di Azure.
    • azureFirewallPublicIpId con l'ID dell'indirizzo IP pubblico nell'area di destinazione.
    • virtualNetworkName con il nome della rete virtuale nell'area di destinazione.
    • firewallPolicy.id con l'ID criterio.

  9. Creare un nuovo criterio firewall usando la configurazione dell'area di origine e tenendo conto delle modifiche introdotte dalla nuova area di destinazione (intervalli di indirizzi IP, IP pubblico, raccolte di regole).

  10. Se si usa lo SKU Premium e si desidera abilitare l'ispezione TLS, aggiornare il criterio firewall appena creato e abilitare l'ispezione TLS seguendo le istruzioni riportate qui.

  11. Esaminare e aggiornare la configurazione per gli argomenti seguenti al fine di riflettere le modifiche necessarie per l'area di destinazione.

    • Gruppi IP. Per includere gli indirizzi IP dall'area di destinazione, se diversi da quelli dell’origine, è necessario esaminare i gruppi IP. È necessario modificare gli indirizzi IP inclusi nei gruppi.
    • Zone. Configurare le zone di disponibilità (AZ) nell'area di destinazione.
    • Tunneling forzato.Assicurarsi di aver rilocato la rete virtuale e che la subnet di gestione del firewall sia presente prima che il Firewall di Azure venga spostato. Nell’area di destinazione aggiornare l'indirizzo IP dell'appliance virtuale di rete (NVA) verso la quale Firewall di Azure deve reindirizzare il traffico usando la route definita dall'utente.
    • DNS. Esaminare gli indirizzi IP per i server DNS personalizzati per riflettere l'area di destinazione. Se la funzionalità Proxy DNS è abilitata, assicurarsi di configurare le impostazioni del server DNS della rete virtuale e impostare l'indirizzo IP privato di Firewall di Azure come server DNS personalizzato.
    • Intervalli IP privati (SNAT). - Se vengono definiti intervalli personalizzati per SNAT, è consigliabile esaminarli ed eventualmente modificarli per includere lo spazio degli indirizzi dell'area di destinazione.
    • Tag. - Verificare e infine aggiornare qualsiasi tag che possa riflettere o fare riferimento alla nuova posizione del firewall.
    • Impostazioni di diagnostica. Quando si ricrea Firewall di Azure nell'area di destinazione, assicurarsi di esaminare l’impostazione di diagnostica e di configurarla in modo che rifletta l'area di destinazione (area di lavoro Log Analytics, account di archiviazione, hub eventi o soluzione partner di terze parti).

  12. Modificare la proprietà location nel file template.json per l’area di destinazione (nell'esempio seguente l'area di destinazione è impostata su centralus):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Per trovare il codice della posizione dell'area di destinazione, vedere Residenza dei dati in Azure.

  1. Salvare il file template.json.

Ripetere la distribuzione

Distribuire il modello per creare un nuovo Firewall di Azure nell'area di destinazione.

  1. Immettere o selezionare i valori della proprietà:

    • Sottoscrizione: selezionare una sottoscrizione di Azure.

    • Gruppo di risorse: selezionare Crea nuovo e assegnare un nome al gruppo di risorse.

    • Posizione: seleziona una posizione di Azure.

  2. Firewall di Azure viene ora distribuito con la configurazione adottata per riflettere le modifiche necessarie nell'area di destinazione.

  3. Verificare la configurazione e la funzionalità.