Flytta Azure-nätverkssäkerhetsgruppen (NSG) till en annan region

Den här artikeln visar hur du flyttar en NSG till en ny region genom att skapa en kopia av NSG:ns källkonfigurations- och säkerhetsregler till en annan region.

Förutsättningar

• Kontrollera att Azure-nätverkssäkerhetsgruppen finns i azure-målregionen.

• Associera den nya NSG:n med resurser i målregionen.

• Om du vill exportera en NSG-konfiguration och distribuera en mall för att skapa en NSG i en annan region behöver du rollen Nätverksdeltagare eller senare.

• Identifiera källnätverkslayouten och alla resurser som du använder för närvarande. Den här layouten innehåller men är inte begränsad till lastbalanserare, offentliga IP-adresser och virtuella nätverk.

• Kontrollera att azure-prenumerationen gör att du kan skapa NSG:er i den målregion som används. Kontakta supporten och aktivera den kvot som krävs.

• Kontrollera att din prenumeration har tillräckligt med resurser för att stödja tillägg av NSG:er för den här processen. Läs mer i Azure-prenumeration och tjänstbegränsningar, kvoter och krav.

Driftstopp

Information om möjliga stilleståndstider finns i Cloud Adoption Framework for Azure: Select a relocation method (Molnimplementeringsramverk för Azure: Välj en omlokaliseringsmetod).

Förbereda

Följande steg visar hur du förbereder nätverkssäkerhetsgruppen för konfigurations- och säkerhetsregelflytten med hjälp av en Resource Manager-mall och flyttar NSG-konfigurations- och säkerhetsreglerna till målregionen med hjälp av portalen.

Exportera och ändra en mall

Portal

Så här exporterar och ändrar du en mall med hjälp av Azure-portalen:

1. Logga in på Azure-portalen.

2. Välj Alla resurser och välj sedan ditt lagringskonto.

3. Välj >Mall för automationsexport>.

4. Välj Distribuera på bladet Exportera mall .

5. Välj MALLRedigeringsparametrar> för att öppna filen parameters.json i onlineredigeraren.

6. Om du vill redigera parametern för NSG-namnet ändrar du värdeegenskapen under parametrar:

           {
           "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
           "contentVersion": "1.0.0.0",
           "parameters": {
           "networkSecurityGroups_myVM1_nsg_name": {
              "value": "<target-nsg-name>"
               }
              }
           }
   

7. Ändra NSG-källvärdet i redigeraren till ett valfritt namn för mål-NSG:n. Se till att du omger namnet med citattecken.

8. Välj Spara i redigeraren.

9. Välj MALL>Redigera mall för att öppna filen template.json i onlineredigeraren.

10. Om du vill redigera målregionen där NSG-konfigurationen och säkerhetsreglerna ska flyttas ändrar du platsegenskapen under resurser i onlineredigeraren:

            "resources": [
            {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2019-06-01",
            "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
            "location": "<target-region>",
            "properties": {
                "provisioningState": "Succeeded",
                "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
             }
            }
           ]
    
    

11. Information om hur du hämtar platskoder för regioner finns i Azure-platser. Koden för en region är regionnamnet utan blanksteg, centrala usa = centrala.

12. Du kan också ändra andra parametrar i mallen om du väljer och är valfria beroende på dina krav:

    • Säkerhetsregler – Du kan redigera vilka regler som distribueras till mål-NSG genom att lägga till eller ta bort regler i avsnittet securityRules i filen template.json :

         "resources": [
          {
          "type": "Microsoft.Network/networkSecurityGroups",
          "apiVersion": "2019-06-01",
          "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
          "location": "<target-region>",
          "properties": {
              "provisioningState": "Succeeded",
              "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
              "securityRules": [
                  {
                      "name": "RDP",
                      "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                      "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                           }
                  },
              ]
          }
      

      För att slutföra tillägget eller borttagningen av reglerna i mål-NSG måste du också redigera de anpassade regeltyperna i slutet av template.json-filen i formatet för exemplet nedan:

           {
            "type": "Microsoft.Network/networkSecurityGroups/securityRules",
            "apiVersion": "2019-06-01",
            "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
            "dependsOn": [
                "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
            ],
            "properties": {
                "provisioningState": "Succeeded",
                "protocol": "*",
                "sourcePortRange": "*",
                "destinationPortRange": "80",
                "sourceAddressPrefix": "*",
                "destinationAddressPrefix": "*",
                "access": "Allow",
                "priority": 310,
                "direction": "Inbound",
                "sourcePortRanges": [],
                "destinationPortRanges": [],
                "sourceAddressPrefixes": [],
                "destinationAddressPrefixes": []
            }
      

13. Välj Spara i onlineredigeraren.

PowerShell

Så här exporterar och ändrar du en mall med hjälp av PowerShell:

1. Logga in på din Azure-prenumeration med kommandot Anslut-AzAccount och följ anvisningarna på skärmen:

   Connect-AzAccount
   

2. Hämta resurs-ID:t för den NSG som du vill flytta till målregionen och placera den i en variabel med hjälp av Get-AzNetworkSecurityGroup:

   $sourceNSGID = (Get-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>).Id
   
   

3. Exportera käll-NSG:n till en .json fil till katalogen där du kör kommandot Export-AzResourceGroup:

   Export-AzResourceGroup -ResourceGroupName <source-resource-group-name> -Resource $sourceNSGID -IncludeParameterDefaultValue
   

4. Filen som laddas ned namnges efter resursgruppen som resursen exporterades från. Leta upp filen som exporterades från kommandot <resource-group-name>.json och öppna den i valfri redigerare:

   notepad <source-resource-group-name>.json
   

5. Om du vill redigera parametern för NSG-namnet ändrar du egenskapen defaultValue för källans NSG-namn till namnet på mål-NSG:n. Kontrollera att namnet finns inom citattecken:

           {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "networkSecurityGroups_myVM1_nsg_name": {
           "defaultValue": "<target-nsg-name>",
           "type": "String"
           }
       }
   
   

6. Om du vill redigera målregionen där NSG-konfigurationen och säkerhetsreglerna ska flyttas ändrar du platsegenskapen under resurser:

           "resources": [
           {
           "type": "Microsoft.Network/networkSecurityGroups",
           "apiVersion": "2019-06-01",
           "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
           "location": "<target-region>",
           "properties": {
               "provisioningState": "Succeeded",
               "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78", 
            }
           }
   

7. Om du vill hämta platskoder för regioner kan du använda Azure PowerShell-cmdleten Get-AzLocation genom att köra följande kommando:

   
   Get-AzLocation | format-table
   
   

8. Du kan också ändra andra parametrar i <resursgruppens namn>.json om du väljer och är valfria beroende på dina krav:

   • Säkerhetsregler – Du kan redigera vilka regler som distribueras till mål-NSG genom att lägga till eller ta bort regler i avsnittet securityRules i <filen resource-group-name>.json :

        "resources": [
               {
               "type": "Microsoft.Network/networkSecurityGroups",
               "apiVersion": "2019-06-01",
               "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
               "location": "TARGET REGION",
               "properties": {
                    "provisioningState": "Succeeded",
                    "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
               "securityRules": [
                 {
                     "name": "RDP",
                     "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
                     "properties": {
                          "provisioningState": "Succeeded",
                          "protocol": "TCP",
                          "sourcePortRange": "*",
                          "destinationPortRange": "3389",
                          "sourceAddressPrefix": "*",
                          "destinationAddressPrefix": "*",
                          "access": "Allow",
                          "priority": 300,
                          "direction": "Inbound",
                          "sourcePortRanges": [],
                          "destinationPortRanges": [],
                          "sourceAddressPrefixes": [],
                          "destinationAddressPrefixes": []
                         }
                     ]
         }  
     
     

     För att slutföra tillägget eller borttagningen av reglerna i mål-NSG måste du också redigera de anpassade regeltyperna i slutet av <resursgruppens namn>.json fil i formatet för exemplet nedan:

        {
         "type": "Microsoft.Network/networkSecurityGroups/securityRules",
         "apiVersion": "2019-06-01",
         "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
         "dependsOn": [
             "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
         ],
         "properties": {
             "provisioningState": "Succeeded",
             "protocol": "*",
             "sourcePortRange": "*",
             "destinationPortRange": "80",
             "sourceAddressPrefix": "*",
             "destinationAddressPrefix": "*",
             "access": "Allow",
             "priority": 310,
             "direction": "Inbound",
             "sourcePortRanges": [],
             "destinationPortRanges": [],
             "sourceAddressPrefixes": [],
             "destinationAddressPrefixes": []
         }
     

9. <Spara filen resource-group-name>.json.

Omdistribuera

Portal

1. Välj BASICS-prenumeration> för att välja den prenumeration där mål-NSG:n ska distribueras.

2. Välj BASICS-resursgrupp> för att välja den resursgrupp där mål-NSG:n ska distribueras. Du kan klicka på Skapa ny för att skapa en ny resursgrupp för mål-NSG. Kontrollera att namnet inte är samma som källresursgruppen för den befintliga NSG:n.

3. Välj BASICS-plats> är inställd på den målplats där du vill att NSG:n ska distribueras.

4. Kontrollera under INSTÄLLNINGAR att namnet matchar det namn som du angav i parameterredigeraren ovan.

5. Markera kryssrutan under VILLKOR.

6. Välj knappen Köp för att distribuera målnätverkssäkerhetsgruppen.

PowerShell

1. Skapa en resursgrupp i målregionen för mål-NSG som ska distribueras med New-AzResourceGroup:

   New-AzResourceGroup -Name <target-resource-group-name> -location <target-region>
   

2. Distribuera den redigerade <resursgruppens namn>.json till resursgruppen som skapades i föregående steg med hjälp av New-AzResourceGroupDeployment:

   
   New-AzResourceGroupDeployment -ResourceGroupName <target-resource-group-name> -TemplateFile <source-resource-group-name>.json
   
   

3. Om du vill kontrollera att resurserna har skapats i målregionen använder du Get-AzResourceGroup och Get-AzNetworkSecurityGroup:

   
   Get-AzResourceGroup -Name <target-resource-group-name>
   
   

   
   Get-AzNetworkSecurityGroup -Name <target-nsg-name> -ResourceGroupName <target-resource-group-name>
   
   

Ignorera

Portal

Om du vill ta bort mål-NSG tar du bort den resursgrupp som innehåller mål-NSG. Det gör du genom att välja resursgruppen från instrumentpanelen i portalen och välja Ta bort överst på översiktssidan.

PowerShell

Om du vill starta om eller ta bort nätverkssäkerhetsgruppen i målet efter distributionen tar du bort resursgruppen som skapades i målet och den flyttade nätverkssäkerhetsgruppen tas bort. Om du vill ta bort resursgruppen använder du Remove-AzResourceGroup:

Remove-AzResourceGroup -Name <target-resource-group-name>

Rensa

Portal

Om du vill checka in ändringarna och slutföra flytten av NSG tar du bort käll-NSG:n eller resursgruppen. Om du vill göra det väljer du nätverkssäkerhetsgruppen eller resursgruppen på instrumentpanelen i portalen och väljer Ta bort överst på varje sida.

PowerShell

Om du vill checka in ändringarna och slutföra flytten av NSG tar du bort käll-NSG:n eller resursgruppen, använder Remove-AzResourceGroup eller Remove-AzNetworkSecurityGroup:

Remove-AzResourceGroup -Name <source-resource-group-name>

Remove-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>

Nästa steg

I den här självstudien flyttade du en Azure-nätverkssäkerhetsgrupp från en region till en annan och rensade källresurserna. Mer information om hur du flyttar resurser mellan regioner och haveriberedskap i Azure finns i:

• Flytta resurser till en ny resursgrupp eller prenumeration
• Flytta virtuella Azure-datorer till en annan region