Configuración del mantenimiento controlado por el cliente para Azure Firewall

En este artículo se explica cómo configurar ventanas de mantenimiento controladas por el cliente para Azure Firewall. Proporciona instrucciones paso a paso para programar el mantenimiento mediante Azure Portal o PowerShell.

Azure Firewall es un servicio de seguridad de red administrado basado en la nube diseñado para proteger los recursos de Azure Virtual Network y Azure Virtual WAN. Las actualizaciones periódicas son esenciales para asegurarse de que el servicio sigue siendo eficaz frente a amenazas cibernéticas emergentes, cumple con los requisitos normativos e incorpora las últimas características, mejoras de seguridad y mejoras de rendimiento.

Las actualizaciones normalmente se programan durante las horas fuera del horario comercial para minimizar las interrupciones en las operaciones empresariales críticas y reducir el tiempo de inactividad de la aplicación. Aunque muchas aplicaciones modernas pueden controlar interrupciones de red transitorias a través de conexiones automáticas, las aplicaciones heredadas, como SAP y Azure Virtual Desktop (AVD) pueden requerir conexiones persistentes. Estas aplicaciones son más sensibles a las caídas de conexión, lo que puede provocar interrupciones durante los procesos de actualización y afectar a la continuidad empresarial. Para solucionar esto, Azure Firewall ahora admite ventanas de mantenimiento diarias configurables, lo que le permite alinear las programaciones de actualización con sus necesidades operativas.

Para más información sobre las limitaciones y las preguntas más frecuentes sobre el mantenimiento controlado por el cliente, consulte preguntas más frecuentes sobre Azure Firewall.

Configuración de mantenimiento

En primer lugar, debe registrar el proveedor de recursos de Azure Microsoft.Maintenance .

Register-AzResourceProvider -ProviderNamespace Microsoft.Maintenance

Después, puede configurar el mantenimiento controlado por el cliente en Azure Portal mediante dos métodos:

Desde el recurso de Azure Firewall: este método le permite configurar el mantenimiento directamente para una instancia específica de Azure Firewall.
Desde la página configuraciones de mantenimiento: este método le permite crear una configuración de mantenimiento que se pueda aplicar a varios Firewalls de Azure, lo que ofrece mayor flexibilidad y eficacia.

Configuración del mantenimiento desde el recurso de Azure Firewall

Siga estos pasos para crear una configuración de mantenimiento directamente desde el recurso de Azure Firewall:

En Azure Portal, vaya al recurso firewall para el que desea crear una configuración de mantenimiento.
En la página Azure Firewall , vaya a Configuración y seleccione Mantenimiento.
Seleccione + Agregar una configuración para abrir la página Configurar control de mantenimiento .
En el panel de configuración, elija una configuración existente en el menú desplegable o cree una nueva configuración.
Escriba un nombre descriptivo para la configuración de mantenimiento y seleccione Editar programación. Defina un horario de mantenimiento de al menos 5 horas recurrentes y seleccione Guardar.
Seleccione Habilitar para aplicar la configuración de mantenimiento en el recurso de Azure Firewall.

Complete la configuración según sea necesario para alinearse con sus necesidades operativas.

Configurar en ajustes de mantenimiento

Siga estos pasos para crear una configuración de mantenimiento en Azure Portal mediante la página Configuraciones de mantenimiento :

En Azure Portal, busque Configuraciones de mantenimiento.
En la página Configuraciones de mantenimiento , seleccione + Crear para abrir la página Crear una configuración de mantenimiento .
En la pestaña Aspectos básicos , proporcione los detalles siguientes:
- Suscripción: seleccione la suscripción.
- Grupo de recursos: elija el grupo de recursos donde se encuentran los recursos.
- Nombre de configuración: escriba un nombre descriptivo para la configuración de mantenimiento.
- Región: seleccione la misma región que los recursos de firewall.
- Ámbito de mantenimiento: elija Recurso en la lista desplegable.
- Subámbito de mantenimiento: seleccione Seguridad de red en la lista desplegable.
Seleccione Agregar una programación para definir la programación de mantenimiento.

Nota:

La ventana de mantenimiento debe tener al menos 5 horas de duración.
Después de especificar la programación, seleccione Guardar.
Continúe con la pestaña Recursos . Seleccione + Agregar recursos para asociar recursos a la configuración de mantenimiento. Puede agregar recursos durante el proceso de creación o posterior. En este ejemplo, va a agregar recursos durante la creación de la configuración.
En la página Seleccionar recursos , compruebe que se muestran los recursos. Si no es así, asegúrese de que se selecciona la región y el ámbito de mantenimiento correctos. Elija los recursos que desea incluir en la configuración de mantenimiento y, a continuación, seleccione Guardar.
Seleccione Revisar y crear para validar la configuración. Una vez que la validación se haya realizado correctamente, seleccione Crear para finalizar la configuración.

Visualización de recursos asociados

Siga estos pasos para ver los recursos vinculados a una configuración de mantenimiento:

Vaya a la página Configuraciones de mantenimiento en Azure Portal.
Seleccione la configuración de mantenimiento que desea inspeccionar.
En el menú de la izquierda, vaya a Configuración y seleccione Recursos. Se abrirá la página Recursos , donde podrá ver todos los recursos asociados a la configuración de mantenimiento seleccionada.

Agregar recursos

Para agregar recursos a una configuración de mantenimiento existente, siga estos pasos:

Vaya a la página Configuraciones de mantenimiento en Azure Portal.
Seleccione la configuración de mantenimiento que desea modificar.
En el menú de la izquierda, vaya a Configuración y seleccione Recursos. Se abre la página Recursos , donde puede ver todos los recursos asociados a la configuración de mantenimiento seleccionada.
En la página Recursos , seleccione + Agregar para incluir un nuevo recurso en la configuración de mantenimiento.

Eliminación de recursos

Para quitar recursos asociados a una configuración de mantenimiento, siga estos pasos:

Vaya a la página Configuraciones de mantenimiento en Azure Portal.
Seleccione la configuración de mantenimiento de la que desea quitar los recursos.
En el menú izquierdo, vaya a Configuración y seleccione Recursos para abrir la página Recursos y ver los recursos asociados.
En la página Recursos , seleccione el recurso que desea quitar y, a continuación, seleccione Quitar.
En el cuadro de diálogo de confirmación, seleccione Sí para finalizar la eliminación.

Siga estos pasos para asignar la política a los recursos. Si no está familiarizado con Azure PowerShell, consulte Introducción a Azure PowerShell.

Establezca el contexto de suscripción.

set-AzContext -Subscription 'Subscription ID’

Registre el proveedor de recursos de Azure.

Register-AzResourceProvider -ProviderNamespace Microsoft.Maintenance

Cree una configuración de mantenimiento mediante el New-AzMaintenanceConfiguration cmdlet .

-Duration debe ser un mínimo de una ventana de cinco horas.
El -RecurEvery es por día.
Para ver las opciones de TimeZone, consulteZona horaria.

New-AzMaintenanceConfiguration -ResourceGroupName <rgName> -Name <configurationName> -Location <arm location of resource> -MaintenanceScope Resource -ExtensionProperty @{"maintenanceSubScope"="NetworkSecurity"} -StartDateTime "<date in YYYY-MM-DD HH:mm format>" -TimeZone "<Selected Time Zone>" -Duration "<Duration in HH:mm format>" -Visibility "Custom" -RecurEvery Day

Guarde la configuración de mantenimiento como una variable denominada $config.

$config = Get-AzMaintenanceConfiguration -ResourceGroupName <rgName> -Name <configurationName>

Guarde el recurso de servicio como una variable denominada $serviceResource.

Cree la asignación de configuración de mantenimiento mediante el New-AzConfigurationAssignment cmdlet . La directiva de mantenimiento se aplica al recurso en un plazo de 24 horas.

New-AzConfigurationAssignment -ResourceGroupName <rgName> -ProviderName "Microsoft.Network" -ResourceType "<your resource's resource type per ARM. For example, azureFirewalls>" -ResourceName "<your resource's name>" -ConfigurationAssignmentName "<assignment name>" -ResourceId $serviceResource.Id -MaintenanceConfigurationId $config.Id -Location "<arm location of resource>"

Para quitar una asignación de configuración:
- Una asignación de configuración se quita automáticamente si se elimina la configuración o el recurso.
- Si desea quitar manualmente una asignación de configuración de la configuración de mantenimiento a un recurso, use el Remove-AzConfigurationAssignment cmdlet .
```
Remove-AzConfigurationAssignment -ResourceGroupName <rgName> -ProviderName "Microsoft.Network" -ResourceType "<your resource's resource type per ARM. For example, azureFirewalls>" -ResourceName "<your resource's name>" -ConfigurationAssignmentName "<assignment name>"
```

Siga estos pasos para asignar la política a los recursos. Si no está familiarizado con la CLI de Azure, consulte Introducción a la CLI de Azure.

Establezca el contexto de suscripción.

az account set --subscription "<subscription id>"

Registre el proveedor de recursos de Azure.

az provider register --namespace Microsoft.Maintenance

Cree una configuración de mantenimiento mediante el az maintenance configuration create comando .
- Establece --location para especificar la región de Azure para la configuración de mantenimiento.
- Establece --maintenance-scope en Resource.
- Establece la propiedad de extensión en maintenanceSubScope=NetworkSecurity mediante --extension-properties.
- Establece el --maintenance-window-duration para especificar la duración de la ventana de mantenimiento (debe tener al menos cinco horas, formato: HH:mm).
- Configura el --maintenance-window-start-date-time para especificar cuándo comienza la ventana de mantenimiento (formato: AAAA-MM-DD HH:MM).
- Establece el --maintenance-window-expiration-date-time para especificar cuándo expira la ventana de mantenimiento (formato: AAAA-MM-DD HH:MM).
- Establece el --maintenance-window-recur-every a Day para la recurrencia diaria.
- Establece el --maintenance-window-time-zone para especificar la zona horaria del calendario. Para ver las zonas horarias disponibles, consulte Zonas horarias.
- Establece --namespace en Microsoft.Maintenance.
- Establece --visibility en Custom.
- Establece el --resource-group para especificar el grupo de recursos.
- Establece --resource-name para especificar el nombre de la configuración de mantenimiento.
```
az maintenance configuration create \
    --location "centraluseuap" \
    --maintenance-scope "Resource" \
    --maintenance-window-duration "HH:mm" \
    --maintenance-window-start-date-time "YYYY-MM-DD HH:MM" \
    --maintenance-window-expiration-date-time "YYYY-MM-DD HH:MM" \
    --maintenance-window-recur-every "Day" \
    --maintenance-window-time-zone "Pacific Standard Time" \
    --namespace "Microsoft.Maintenance" \
    --visibility "Custom" \
    --resource-group "<rg name>" \
    --resource-name "<config name>" \
    --extension-properties maintenanceSubScope=NetworkSecurity
```
Nota:

El identificador de recurso de la configuración de mantenimiento se muestra en la salida del comando anterior. Use este valor para --maintenance-configuration-id en el paso siguiente.

Cree la asignación de configuración de mantenimiento mediante el comando az maintenance assignment create. La directiva de mantenimiento se aplica al recurso en un plazo de 24 horas.

az maintenance assignment create \
    --maintenance-configuration-id "<config resource id>" \
    --name "<assignment name>" \
    --provider-name "Microsoft.Network" \
    --resource-group "<firewall rg name>" \
    --resource-name "<firewall name>" \
    --resource-type "azureFirewalls"

Quitar una asignación de configuración

Para quitar manualmente una asignación de configuración de un recurso, use el az maintenance assignment delete comando .

az maintenance assignment delete \
    --resource-group "<firewall rg name>" \
    --resource-name "<firewall name>" \
    --resource-type "azureFirewalls" \
    --provider-name "Microsoft.Network" \
    --name "<assignment name>"

Visualización de una asignación de configuración

Para ver una asignación de configuración de mantenimiento mediante la CLI de Azure, use el siguiente comando:

az maintenance configuration show \
    --resource-group "<resource-group-name>" \
    --resource-name "<configuration-name>"

Reemplace <resource-group-name> con su grupo de recursos y <configuration-name> con su nombre de configuración de mantenimiento.

Pasos siguientes

Para explorar las funcionalidades más recientes de Azure Firewall, consulte Características en versión preliminar de Azure Firewall.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-07-22