Konfigurieren der vom Kunden gesteuerten Wartung für Azure Firewall

In diesem Artikel wird erläutert, wie Sie kundengesteuerte Wartungsfenster für Azure Firewall konfigurieren. Sie enthält schrittweise Anleitungen für die Planung der Wartung über das Azure-Portal oder PowerShell.

Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der zum Schutz von Azure Virtual Network- und Azure Virtual WAN-Ressourcen entwickelt wurde. Regelmäßige Upgrades sind unerlässlich, um sicherzustellen, dass der Dienst gegen neue Cyberbedrohungen wirksam bleibt, die gesetzlichen Anforderungen erfüllt und die neuesten Features, Sicherheitsverbesserungen und Leistungsverbesserungen enthält.

Upgrades werden in der Regel außerhalb der Geschäftszeiten geplant, um Unterbrechungen für kritische Geschäftsvorgänge zu minimieren und Anwendungsausfallzeiten zu reduzieren. Während viele moderne Anwendungen vorübergehende Netzwerkunterbrechungen über Autoreconnectionen verarbeiten können, erfordern ältere Anwendungen wie SAP und Azure Virtual Desktop (AVD) möglicherweise dauerhafte Verbindungen. Diese Anwendungen sind anfälliger für Verbindungsverluste, was zu Unterbrechungen bei Upgradeprozessen führen und die Geschäftskontinuität beeinträchtigen kann. Um dies zu beheben, unterstützt Azure Firewall jetzt konfigurierbare tägliche Wartungsfenster, sodass Sie Upgradezeitpläne an Ihre betrieblichen Anforderungen anpassen können.

Weitere Informationen zu Einschränkungen und häufig gestellten Fragen zur vom Kunden kontrollierten Wartung finden Sie in den Häufig gestellten Fragen zur Azure Firewall.

Wartungskonfiguration

Zunächst müssen Sie den Microsoft.Maintenance Azure-Ressourcenanbieter registrieren.

Register-AzResourceProvider -ProviderNamespace Microsoft.Maintenance

Anschließend können Sie die vom Kunden kontrollierte Wartung im Azure-Portal mit zwei Methoden konfigurieren:

Über die Azure Firewall-Ressource: Mit dieser Methode können Sie die Wartung direkt für eine bestimmte Azure-Firewall konfigurieren.
Auf der Seite "Wartungskonfigurationen": Mit dieser Methode können Sie eine Wartungskonfiguration erstellen, die auf mehrere Azure-Firewalls angewendet werden kann, was mehr Flexibilität und Effizienz bietet.

Konfigurieren der Wartung von der Azure Firewall-Ressource

Führen Sie die folgenden Schritte aus, um eine Wartungskonfiguration direkt aus der Azure Firewall-Ressource zu erstellen:

Navigieren Sie im Azure-Portal zu der Firewallressource , für die Sie eine Wartungskonfiguration erstellen möchten.
Navigieren Sie auf der Seite "Azure Firewall" zu "Einstellungen", und wählen Sie "Wartung" aus.
Wählen Sie +Konfiguration hinzufügen , um die Seite " Wartungssteuerung konfigurieren " zu öffnen.
Wählen Sie im Konfigurationsbereich eine vorhandene Konfiguration aus dem Dropdownmenü aus, oder erstellen Sie eine neue Konfiguration.
Geben Sie einen beschreibenden Namen für die Wartungskonfiguration ein, und wählen Sie " Zeitplan bearbeiten" aus. Definieren Sie einen Wartungszeitplan von mindestens 5 Stunden täglich, und wählen Sie "Speichern" aus.
Wählen Sie "Aktivieren" aus, um die Wartungskonfiguration auf die Azure Firewall-Ressource anzuwenden.

Führen Sie die Konfiguration nach Bedarf aus, um ihren betrieblichen Anforderungen gerecht zu werden.

Einrichten in Wartungskonfigurationen

Führen Sie die folgenden Schritte aus, um eine Wartungskonfiguration im Azure-Portal mithilfe der Seite "Wartungskonfigurationen" zu erstellen:

Suchen Sie im Azure-Portal nach Wartungskonfigurationen.
Wählen Sie auf der Seite "Wartungskonfigurationen " die Option "+Erstellen " aus, um die Seite " Wartungskonfiguration erstellen" zu öffnen.
Geben Sie auf der Registerkarte " Grundlagen " die folgenden Details an:
- Abonnement: Wählen Sie Ihr Abonnement aus.
- Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, in der sich Ihre Ressourcen befinden.
- Konfigurationsname: Geben Sie einen beschreibenden Namen für die Wartungskonfiguration ein.
- Region: Wählen Sie dieselbe Region wie Ihre Firewallressourcen aus.
- Wartungsbereich: Wählen Sie "Ressource " aus der Dropdownliste aus.
- Wartungsunterbereich: Wählen Sie in der Dropdownliste "Netzwerksicherheit " aus.
Wählen Sie Zeitplan hinzufügen aus, um den Wartungszeitplan zu definieren.

Hinweis

Das Wartungsfenster muss mindestens 5 Stunden dauern.
Nachdem Sie den Zeitplan angegeben haben, wählen Sie "Speichern" aus.
Fahren Sie mit der Registerkarte "Ressourcen " fort. Wählen Sie +Ressourcen hinzufügen , um Ressourcen der Wartungskonfiguration zuzuordnen. Sie können Ressourcen während des Erstellungsprozesses oder später hinzufügen. In diesem Beispiel fügen Sie während der Konfigurationserstellung Ressourcen hinzu.
Überprüfen Sie auf der Seite " Ressourcen auswählen ", ob Ihre Ressourcen aufgelistet sind. Falls nicht, stellen Sie sicher, dass der richtige Bereich und Wartungsumfang ausgewählt sind. Wählen Sie die Ressourcen aus, die in die Wartungskonfiguration aufgenommen werden sollen, und wählen Sie dann "Speichern" aus.
Wählen Sie "Überprüfen" und "Erstellen" aus, um die Konfiguration zu überprüfen. Nachdem die Überprüfung erfolgreich war, wählen Sie "Erstellen" aus, um das Setup abzuschließen.

Zugeordnete Ressourcen anzeigen

Führen Sie die folgenden Schritte aus, um die ressourcen anzuzeigen, die mit einer Wartungskonfiguration verknüpft sind:

Navigieren Sie im Azure-Portal zur Seite "Wartungskonfigurationen ".
Wählen Sie die Wartungskonfiguration aus, die Sie überprüfen möchten.
Navigieren Sie im linken Menü zu "Einstellungen ", und wählen Sie "Ressourcen" aus. Dadurch wird die Seite "Ressourcen " geöffnet, auf der alle Ressourcen angezeigt werden, die der ausgewählten Wartungskonfiguration zugeordnet sind.

Ressourcen hinzufügen

Führen Sie die folgenden Schritte aus, um Ressourcen zu einer vorhandenen Wartungskonfiguration hinzuzufügen:

Navigieren Sie im Azure-Portal zur Seite "Wartungskonfigurationen ".
Wählen Sie die Wartungskonfiguration aus, die Sie ändern möchten.
Wechseln Sie im linken Menü zu "Einstellungen ", und wählen Sie "Ressourcen" aus. Dadurch wird die Seite "Ressourcen " geöffnet, auf der Sie alle Ressourcen anzeigen können, die der ausgewählten Wartungskonfiguration zugeordnet sind.
Wählen Sie auf der Seite "Ressourcen " +Hinzufügen aus, um eine neue Ressource in die Wartungskonfiguration aufzunehmen.

Ressourcen entfernen

Führen Sie die folgenden Schritte aus, um Ressourcen zu entfernen, die einer Wartungskonfiguration zugeordnet sind:

Navigieren Sie im Azure-Portal zur Seite "Wartungskonfigurationen ".
Wählen Sie die Wartungskonfiguration aus, aus der Sie Ressourcen entfernen möchten.
Navigieren Sie im linken Menü zu "Einstellungen ", und wählen Sie " Ressourcen " aus, um die Seite " Ressourcen " zu öffnen und die zugehörigen Ressourcen anzuzeigen.
Wählen Sie auf der Seite "Ressourcen " die Ressource aus, die Sie entfernen möchten, und wählen Sie dann "Entfernen" aus.
Wählen Sie im Bestätigungsdialogfeld "Ja " aus, um die Entfernung abzuschließen.

Führen Sie die folgenden Schritte aus, um den Ressourcen eine Richtlinie zuzuweisen. Wenn Sie mit Azure PowerShell noch nicht vertraut sind, lesen Sie "Erste Schritte mit Azure PowerShell".

Legen Sie den Abonnementkontext fest.

set-AzContext -Subscription 'Subscription ID’

Registrieren Sie den Azure-Ressourcenanbieter.

Register-AzResourceProvider -ProviderNamespace Microsoft.Maintenance

Erstellen Sie mithilfe des New-AzMaintenanceConfiguration Cmdlets eine Wartungskonfiguration.

Das -Duration muss mindestens ein fünfstündiges Fenster sein.
-RecurEvery ist täglich.
Informationen zu TimeZone-Optionen finden Sie unter "Zeitzonen".

New-AzMaintenanceConfiguration -ResourceGroupName <rgName> -Name <configurationName> -Location <arm location of resource> -MaintenanceScope Resource -ExtensionProperty @{"maintenanceSubScope"="NetworkSecurity"} -StartDateTime "<date in YYYY-MM-DD HH:mm format>" -TimeZone "<Selected Time Zone>" -Duration "<Duration in HH:mm format>" -Visibility "Custom" -RecurEvery Day

Speichern Sie die Wartungskonfiguration als Variable mit dem Namen $config.

$config = Get-AzMaintenanceConfiguration -ResourceGroupName <rgName> -Name <configurationName>

Speichern Sie die Dienstressource als Variable mit dem Namen $serviceResource.

Erstellen Sie die Wartungskonfigurationszuweisung mithilfe des New-AzConfigurationAssignment Cmdlets. Die Wartungsrichtlinie wird innerhalb von 24 Stunden auf die Ressource angewendet.

New-AzConfigurationAssignment -ResourceGroupName <rgName> -ProviderName "Microsoft.Network" -ResourceType "<your resource's resource type per ARM. For example, azureFirewalls>" -ResourceName "<your resource's name>" -ConfigurationAssignmentName "<assignment name>" -ResourceId $serviceResource.Id -MaintenanceConfigurationId $config.Id -Location "<arm location of resource>"

So entfernen Sie eine Konfigurationszuweisung:
- Eine Konfigurationszuweisung wird automatisch entfernt, wenn die Konfiguration oder die Ressource gelöscht wird.
- Wenn Sie eine Konfigurationszuweisung manuell aus der Wartungskonfiguration zu einer Ressource entfernen möchten, verwenden Sie das Remove-AzConfigurationAssignment Cmdlet.
```
Remove-AzConfigurationAssignment -ResourceGroupName <rgName> -ProviderName "Microsoft.Network" -ResourceType "<your resource's resource type per ARM. For example, azureFirewalls>" -ResourceName "<your resource's name>" -ConfigurationAssignmentName "<assignment name>"
```

Führen Sie die folgenden Schritte aus, um den Ressourcen eine Richtlinie zuzuweisen. Wenn Sie mit Azure CLI noch nicht vertraut sind, lesen Sie "Erste Schritte mit Azure CLI".

Legen Sie den Abonnementkontext fest.

az account set --subscription "<subscription id>"

Registrieren Sie den Azure-Ressourcenanbieter.

az provider register --namespace Microsoft.Maintenance

Erstellen Sie mithilfe des az maintenance configuration create Befehls eine Wartungskonfiguration.
- Legt --location fest, um die Azure-Region für die Wartungskonfiguration festzulegen.
- Legt den Wert von --maintenance-scope auf Resource fest.
- Legt die Erweiterungseigenschaft auf maintenanceSubScope=NetworkSecurity mit --extension-properties fest.
- Legt die --maintenance-window-duration Länge des Wartungsfensters fest (mindestens fünf Stunden, Format: HH:mm).
- Legt --maintenance-window-start-date-time fest, um anzugeben, wann das Wartungsfenster beginnt (Format: JJJJ-MM-DD HH:MM).
- Setzt --maintenance-window-expiration-date-time um anzugeben, wann das Wartungsfenster abläuft (Format: JJJJ-MM-DD HH:MM).
- Setzt --maintenance-window-recur-every auf Day für die tägliche Wiederholung.
- Legt den --maintenance-window-time-zone Wert fest, um die Zeitzone für den Zeitplan anzugeben. Verfügbare Zeitzonen finden Sie unter "Zeitzonen".
- Legt den Wert von --namespace auf Microsoft.Maintenance fest.
- Legt den Wert von --visibility auf Custom fest.
- Legt den --resource-group Wert fest, um die Ressourcengruppe anzugeben.
- Legt den --resource-name Namen der Wartungskonfiguration fest.
```
az maintenance configuration create \
    --location "centraluseuap" \
    --maintenance-scope "Resource" \
    --maintenance-window-duration "HH:mm" \
    --maintenance-window-start-date-time "YYYY-MM-DD HH:MM" \
    --maintenance-window-expiration-date-time "YYYY-MM-DD HH:MM" \
    --maintenance-window-recur-every "Day" \
    --maintenance-window-time-zone "Pacific Standard Time" \
    --namespace "Microsoft.Maintenance" \
    --visibility "Custom" \
    --resource-group "<rg name>" \
    --resource-name "<config name>" \
    --extension-properties maintenanceSubScope=NetworkSecurity
```
Hinweis

Die Ressourcen-ID für die Wartungskonfiguration wird in der Ausgabe des obigen Befehls angezeigt. Verwenden Sie diesen Wert --maintenance-configuration-id für den nächsten Schritt.

Erstellen Sie die Wartungskonfigurationszuweisung mithilfe des az maintenance assignment create Befehls. Die Wartungsrichtlinie wird innerhalb von 24 Stunden auf die Ressource angewendet.

az maintenance assignment create \
    --maintenance-configuration-id "<config resource id>" \
    --name "<assignment name>" \
    --provider-name "Microsoft.Network" \
    --resource-group "<firewall rg name>" \
    --resource-name "<firewall name>" \
    --resource-type "azureFirewalls"

Entfernen einer Konfigurationszuweisung

Verwenden Sie den az maintenance assignment delete Befehl, um eine Konfigurationszuweisung manuell aus einer Ressource zu entfernen.

az maintenance assignment delete \
    --resource-group "<firewall rg name>" \
    --resource-name "<firewall name>" \
    --resource-type "azureFirewalls" \
    --provider-name "Microsoft.Network" \
    --name "<assignment name>"

Anzeigen einer Konfigurationszuweisung

Verwenden Sie den folgenden Befehl, um eine Wartungskonfigurationszuweisung mit Azure CLI anzuzeigen:

az maintenance configuration show \
    --resource-group "<resource-group-name>" \
    --resource-name "<configuration-name>"

Ersetzen Sie sie <resource-group-name> durch Ihre Ressourcengruppe und <configuration-name> durch ihren Wartungskonfigurationsnamen.

Nächste Schritte

Informationen zu den neuesten Funktionen in der Azure Firewall finden Sie in den Vorschaufeatures der Azure Firewall.

Feedback

War diese Seite hilfreich?

Last updated on 2025-07-24