Перемещение группы безопасности сети Azure (NSG) в другой регион

В этой статье показано, как переместить группу безопасности сети в новый регион, создав копию исходных правил конфигурации и безопасности группы безопасности группы безопасности сети в другой регион.

Необходимые компоненты

• Убедитесь, что группа безопасности сети Azure находится в целевом регионе Azure.

• Свяжите новую группу безопасности сети с ресурсами в целевом регионе.

• Чтобы экспортировать конфигурацию группы безопасности сети и развернуть шаблон для создания этой группы в другом регионе, необходима роль "Участник сети" или роль более высокого уровня.

• Определите структуру сети в исходном регионе и все ресурсы, которые вы сейчас используете. Сюда могут входить, помимо прочего, балансировщики нагрузки, общедоступные IP-адреса и виртуальные сети.

• Убедитесь, что ваша подписка Azure позволяет создавать группы безопасности сети в целевом регионе. Свяжитесь со службой поддержки, чтобы включить необходимые квоты.

• Проверьте, что ресурсов вашей подписки достаточно для поддержки добавления групп безопасности сети в этом процессе. Ознакомьтесь со статьей Подписка Azure, границы, квоты и ограничения службы.

Простой

Сведения о возможных простоях см. в статье Cloud Adoption Framework для Azure: выбор метода перемещений.

Подготовить

В пошаговых инструкциях ниже объясняется, как подготовить группу безопасности сети к перемещению конфигурации и правил безопасности с помощью шаблона Resource Manager и как выполнить это перемещение в целевой регион с помощью портала.

Экспорт и изменение шаблона

Портал

Экспорт и изменение шаблона с помощью портал Azure:

1. Войдите на портал Azure.

2. Выберите Все ресурсы, а затем свою учетную запись хранения.

3. Выберите пункты >Автоматизация>Экспорт шаблона.

4. Выберите Развернуть в колонке Экспорт шаблона.

5. Выберите параметры редактирования шаблона>, чтобы открыть файл parameters.json в редакторе в интернете.

6. Чтобы изменить параметр имени группы безопасности сети, измените свойство value в разделе parameters:

           {
           "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
           "contentVersion": "1.0.0.0",
           "parameters": {
           "networkSecurityGroups_myVM1_nsg_name": {
              "value": "<target-nsg-name>"
               }
              }
           }
   

7. Измените значение исходной группы безопасности сети в редакторе на нужное имя для целевой группы безопасности сети. Убедитесь, что имя заключено в кавычки.

8. Выберите в редакторе команду Сохранить.

9. Выберите шаблон "Изменить шаблон">, чтобы открыть файл template.json в интерактивном редакторе.

10. Чтобы изменить целевой регион, в который перемещаются конфигурация и правила безопасности группы безопасности сети, измените свойство location в разделе resources в интерактивном редакторе:

            "resources": [
            {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2019-06-01",
            "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
            "location": "<target-region>",
            "properties": {
                "provisioningState": "Succeeded",
                "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
             }
            }
           ]
    
    

11. Чтобы получить коды расположения регионов, см. статью Расположения Azure. Код региона — это имя региона без пробелов, Central US = centralus.

12. Кроме того, при необходимости можно изменить другие параметры в шаблоне:

    • Правила безопасности. Правила, которые будут развернуты в целевой группе безопасности сети, можно изменять, добавляя и удаляя их в разделе securityRules файла template.json:

         "resources": [
          {
          "type": "Microsoft.Network/networkSecurityGroups",
          "apiVersion": "2019-06-01",
          "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
          "location": "<target-region>",
          "properties": {
              "provisioningState": "Succeeded",
              "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
              "securityRules": [
                  {
                      "name": "RDP",
                      "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                      "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                           }
                  },
              ]
          }
      

      Чтобы завершить добавление правил в целевую группу безопасности сети или их удаление из такой группы, также нужно изменить типы настраиваемых правил в конце файла template.json (в формате, показанном в примере ниже):

           {
            "type": "Microsoft.Network/networkSecurityGroups/securityRules",
            "apiVersion": "2019-06-01",
            "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
            "dependsOn": [
                "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
            ],
            "properties": {
                "provisioningState": "Succeeded",
                "protocol": "*",
                "sourcePortRange": "*",
                "destinationPortRange": "80",
                "sourceAddressPrefix": "*",
                "destinationAddressPrefix": "*",
                "access": "Allow",
                "priority": 310,
                "direction": "Inbound",
                "sourcePortRanges": [],
                "destinationPortRanges": [],
                "sourceAddressPrefixes": [],
                "destinationAddressPrefixes": []
            }
      

13. Выберите Сохранить в интерактивном редакторе.

PowerShell

Экспорт и изменение шаблона с помощью PowerShell:

1. С помощью команды Connect-AzAccount войдите в подписку Azure и следуйте инструкциям на экране:

   Connect-AzAccount
   

2. Получите идентификатор ресурса для группы безопасности сети, которую вы хотите переместить в другой регион, и включите его в переменную с помощью команды Get-AzNetworkSecurityGroup:

   $sourceNSGID = (Get-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>).Id
   
   

3. Экспортируйте исходную группу безопасности сети в файл JSON в каталоге, в котором выполняется команда Export-AzResourceGroup:

   Export-AzResourceGroup -ResourceGroupName <source-resource-group-name> -Resource $sourceNSGID -IncludeParameterDefaultValue
   

4. Скачанный файл будет называться именем группы ресурсов, из которой был экспортирован ресурс. Выберите файл, экспортированный из команды, с именем <имя_группы_ресурсов>.json, и откройте его в любом редакторе:

   notepad <source-resource-group-name>.json
   

5. Чтобы изменить параметр имени группы безопасности сети, укажите имя целевой группы (обязательно в кавычках) в качестве значения свойства defaultValue имени исходной группы:

           {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "networkSecurityGroups_myVM1_nsg_name": {
           "defaultValue": "<target-nsg-name>",
           "type": "String"
           }
       }
   
   

6. Чтобы изменить целевой регион, в который перемещаются конфигурация и правила безопасности группы безопасности сети, измените свойство location в разделе resources:

           "resources": [
           {
           "type": "Microsoft.Network/networkSecurityGroups",
           "apiVersion": "2019-06-01",
           "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
           "location": "<target-region>",
           "properties": {
               "provisioningState": "Succeeded",
               "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78", 
            }
           }
   

7. Чтобы получить коды расположения регионов, можно использовать командлет Azure PowerShell Get-AzLocation, выполнив следующую команду:

   
   Get-AzLocation | format-table
   
   

8. При желании вы также можете изменить другие параметры в файле <имя_группы_ресурсов>.json (это необязательно):

   • Правила безопасности. Правила, которые будут развернуты в целевой группе безопасности сети, можно изменять, добавляя и удаляя их в разделе securityRules файла <имя_группы_ресурсов>.json:

        "resources": [
               {
               "type": "Microsoft.Network/networkSecurityGroups",
               "apiVersion": "2019-06-01",
               "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
               "location": "TARGET REGION",
               "properties": {
                    "provisioningState": "Succeeded",
                    "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
               "securityRules": [
                 {
                     "name": "RDP",
                     "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                     "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                         }
                     ]
         }  
     
     

     Чтобы завершить добавление правил в целевую группу безопасности сети или их удаление из такой группы, также нужно изменить типы настраиваемых правил в конце файла <имя_группы_ресурсов>.json (в формате, показанном в примере ниже):

        {
         "type": "Microsoft.Network/networkSecurityGroups/securityRules",
         "apiVersion": "2019-06-01",
         "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
         "dependsOn": [
             "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
         ],
         "properties": {
             "provisioningState": "Succeeded",
             "protocol": "*",
             "sourcePortRange": "*",
             "destinationPortRange": "80",
             "sourceAddressPrefix": "*",
             "destinationAddressPrefix": "*",
             "access": "Allow",
             "priority": 310,
             "direction": "Inbound",
             "sourcePortRanges": [],
             "destinationPortRanges": [],
             "sourceAddressPrefixes": [],
             "destinationAddressPrefixes": []
         }
     

9. Сохраните файл <имя_группы_ресурсов>.json.

Повторное развертывание

Портал

1. Выберите подписку BASICS>, чтобы выбрать подписку, в которой будет развернута целевая группа безопасности сети.

2. Выберите группу ресурсов BASICS>, чтобы выбрать группу ресурсов, в которой будет развернута целевая группа безопасности сети. Можно выбрать Создать, чтобы создать новую группу ресурсов для целевой группы безопасности сети. Убедитесь, что имя не совпадает с именем исходной группы ресурсов существующей группы безопасности сети.

3. Выберите расположение BASICS> для целевого расположения, в котором требуется развернуть группу безопасности сети.

4. В разделе ПАРАМЕТРЫ проверьте, что имя совпадает с именем, введенным ранее в редакторе параметров.

5. Установите флажок в разделе УСЛОВИЯ.

6. Нажмите кнопку "Покупка", чтобы развернуть целевую группу безопасности сети.

PowerShell

1. В целевом регионе создайте группу ресурсов для целевой развертываемой группы безопасности сети с помощью команды New-AzResourceGroup:

   New-AzResourceGroup -Name <target-resource-group-name> -location <target-region>
   

2. Разверните измененный файл <имя_группы_ресурсов>.json в группе ресурсов, созданной на предыдущем шаге, с помощью команды New-AzResourceGroupDeployment:

   
   New-AzResourceGroupDeployment -ResourceGroupName <target-resource-group-name> -TemplateFile <source-resource-group-name>.json
   
   

3. Чтобы проверить, созданы ли ресурсы в целевом регионе, используйте команды Get-AzResourceGroup и Get-AzNetworkSecurityGroup:

   
   Get-AzResourceGroup -Name <target-resource-group-name>
   
   

   
   Get-AzNetworkSecurityGroup -Name <target-nsg-name> -ResourceGroupName <target-resource-group-name>
   
   

Игнорировать

Портал

Чтобы отменить целевую группу безопасности сети, удалите группу ресурсов, содержащую целевую группу безопасности сети. Для этого выберите группу ресурсов на панели мониторинга портала, а затем выберите Удалить в верхней части страницы обзора.

PowerShell

Если после развертывания вы захотите начать заново или отказаться от группы безопасности сети в целевом регионе, удалите группу ресурсов, созданную в целевом регионе, и перемещенная группа безопасности сети будет удалена. Чтобы удалить группу ресурсов, используйте команду Remove-AzResourceGroup:

Remove-AzResourceGroup -Name <target-resource-group-name>

Очистка

Портал

Чтобы зафиксировать изменения и завершить перемещение группы безопасности сети, удалите исходную группу безопасности сети или группу ресурсов. Для этого выберите группу безопасности сети или группу ресурсов на панели мониторинга портала, а затем выберите Удалить в верхней части каждой страницы.

PowerShell

Чтобы зафиксировать изменения и завершить перемещение группы безопасности сети, удалите исходную группу безопасности сети или группу ресурсов с помощью команды Remove-AzResourceGroup или Remove-AzNetworkSecurityGroup:

Remove-AzResourceGroup -Name <source-resource-group-name>

Remove-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>

Следующие шаги

Проходя этот учебник, вы переместили группу безопасности сети Azure из одного региона в другой и очистили исходные ресурсы. Дополнительные сведения о перемещении ресурсов между регионами и аварийном восстановлении в Azure см. по следующей ссылке:

• Перемещение ресурсов в новую группу ресурсов или подписку
• Перенос виртуальных машин Azure в другой регион