Compartilhar via

Realocar o Firewall do Azure para outra região

  • Artigo

Este artigo mostra como realocar um Firewall do Azure que protege uma Rede Virtual do Azure.

Pré-requisitos

  • É altamente recomendável que você use o SKU Premium. Se você estiver no SKU Standard, considere migrar de um Firewall do Azure de SKU Standard existente para um SKU Premium antes de ser realocado.

  • As seguintes informações precisam ser coletadas para se planejar e executar corretamente uma realocação do Firewall do Azure:

    • Modelo de implantação. Regras de firewall clássico ou política de firewall.
    • Nome da política de firewall. (Se o modelo de implantação Política de firewall é usado).
    • Configuração de diagnóstico no nível da instância do firewall. (Se o workspace do Log Analytics for usado).
    • Configuração de inspeção do protocolo TLS.: (se for o Azure Key Vault, o certificado e a identidade gerenciada serão usados.)
    • Controle IP público. Avalie se qualquer identidade externa que dependa do IP público do Firewall do Azure permanece fixa e confiável.

  • As camadas Standard e Premium do Firewall do Azure têm as seguintes dependências, que talvez você precise implantar na região de destino:

  • Se você estiver usando o recurso de Inspeção TLS da camada Premium do Firewall do Azure, as seguintes dependências também precisarão ser implantadas na região de destino:

Tempo de inatividade

Para entender os possíveis tempos de inatividade envolvidos, confira Cloud Adoption Framework para o Azure: selecione um método de relocalização.

Preparar-se

Para se preparar para a realocação, primeiro você precisa exportar e modificar o modelo da região de origem. Para exibir um modelo do ARM de exemplo para o Firewall do Azure, consulte examinar o modelo.

Exportar modelo

  1. Entre no portal do Azure.

  2. Selecione Todos os recursos e selecione o recurso do Firewall do Azure.

  3. Na página Firewall do Azure, selecione Exportar modelo em Automação no menu à esquerda.

  4. Escolha Fazer download na página Exportar modelo.

  5. Localize o arquivo .zip que você baixou do portal e descompacte-o na pasta desejada.

    Esse arquivo zip contém os arquivos .json que incluem o modelo e os scripts para implantar o modelo.

Modificar um modelo

Nesta seção, você aprenderá a modificar o modelo que gerou na seção anterior.

Se você estiver executando regras de firewall clássicas sem a política de Firewall, migre para a política de Firewall antes de prosseguir com as etapas desta seção. Para saber como migrar de regras de firewall clássicas para a Política de firewall, confira Migrar a configuração do Firewall do Azure para a política de Firewall do Azure usando o PowerShell.

  1. Entre no portal do Azure.

  2. Se você estiver usando o SKU Premium com a Inspeção do TLS habilitada,

    1. Realoque o cofre de chaves usado para inspeção do TLS na nova região de destino. Em seguida, siga os procedimentos para mover certificados ou gerar novos certificados para inspeção do TLS no novo cofre de chaves na região de destino.
    2. Realoque a identidade gerenciada para a nova região de destino. Reatribua as funções correspondentes para o cofre de chaves na região de destino e na assinatura.

  3. No portal do Azure, selecione Criar um recurso.

  4. Em Pesquisar no Marketplace, digite template deploymente pressione Enter.

  5. Selecione a implantação de modelo e selecione Criar.

  6. Selecione Criar seu próprio modelo no editor.

  7. Selecione Carregar arquivo e siga as instruções para carregar o arquivo template.json que você baixou na última seção

  8. No arquivo template.json, substitua:

    • firewallName com o valor padrão do nome do Firewall do Azure.
    • azureFirewallPublicIpId com a ID do seu endereço IP público na região de destino.
    • virtualNetworkName com o nome da rede virtual na região de destino.
    • firewallPolicy.id com a ID da política.

  9. Crie uma política de firewall usando a configuração da região de origem e reflita as alterações introduzidas pela nova região de destino (Intervalos de Endereços IP, IP Público, Coleções de Regras).

  10. Se você estiver usando o SKU Premium e quiser habilitar a Inspeção do TLS, atualize a política de firewall recém-criada e habilite a inspeção do TLS seguindo as instruções mostradas aqui.

  11. Examine e atualize a configuração dos tópicos abaixo para refletir as alterações necessárias para a região de destino.

    • Grupos de IP. Para incluir endereços IP da região de destino, se diferente da origem, os Grupos de IP devem ser revisados. Os endereços IP incluídos nos grupos precisam ser modificados.
    • Zonas. Configure as AZs (zonas de disponibilidade) na região de destino.
    • Túnel forçado. Verifique se você realocou a rede virtual e se a Sub-rede de Gerenciamento do firewall está presente antes que o Firewall do Azure seja realocado. Atualize o Endereço IP na região de destino da NVA (Solução de Virtualização de Rede) para a qual o Firewall do Azure deve redirecionar o tráfego, na UDR (Rota Definida pelo Usuário).
    • DNS. Examine os endereços IP dos servidores DNS personalizados para refletir sua região de destino. Se o recurso Proxy DNS estiver habilitado, defina as configurações do servidor DNS de rede virtual e defina o endereço IP privado do Firewall do Azure como um servidor DNS personalizado.
    • Intervalos de IP privado (SNAT). – Se os intervalos personalizados estão definidos para SNAT, é recomendável que você examine e, eventualmente, ajuste para incluir o espaço de endereço da região de destino.
    • Marcas. – Verifique e, eventualmente, atualize qualquer marca que possa refletir ou fazer referência ao novo local do firewall.
    • Configurações de diagnóstico. Ao recriar o Firewall do Azure na região de destino, examine a Configuração de Diagnóstico e configure-a para refletir a região de destino (workspace do Log Analytics, conta de armazenamento, Hub de Eventos ou solução de parceiro de terceiros).

  12. Edite a propriedade location no arquivo template.json para a região de destino (o seguinte exemplo define a região de destino como centralus):

      "resources": [
      {
          "type": "Microsoft.Network/azureFirewalls",
          "apiVersion": "2023-09-01",
          "name": "[parameters('azureFirewalls_fw_name')]",
          "location": "centralus",}]

Para localizar o código de localização para sua região de destino, confira Residência de dados no Azure.

  1. Salve o arquivo template.json.

Reimplantar

Implante o modelo para criar um Firewall do Azure na região de destino.

  1. Insira ou selecione os valores da propriedade:

    • Assinatura: Selecione uma assinatura do Azure.

    • Grupo de recursos: selecione Criar novo e dê um nome ao grupo de recursos.

    • Localização: Selecione uma localização do Azure.

  2. O Firewall do Azure agora é implantado com a configuração adotada para refletir as alterações necessárias na região de destino.

  3. Verifique a configuração e a funcionalidade.