この記事では、Microsoft Azure Virtual Network を保護する Azure Firewall を再配置する方法について説明します。
[前提条件]
Premium SKU を使用することを強くお勧めします。 Standard SKU を使用している場合は、再配置する前に 、既存の Standard SKU Azure Firewall から Premium SKU に移行 することを検討してください。
Azure Firewall の再配置を適切に計画して実行するために、次の情報を収集する必要があります。
- デプロイ モデル。"クラシック ファイアウォール規則" または "Firewall ポリシー"。
- Firewall ポリシー名 ("Firewall ポリシー" デプロイ モデルを使用している場合)。
- ファイアウォール インスタンス レベルでの診断設定 (Log Analytics ワークスペースを使用している場合)。
- TLS (トランスポート層セキュリティ) 検査の構成。: (Azure Key Vault、証明書、およびマネージド ID が使用されている場合)。
- パブリック IP の制御。 Azure Firewall パブリック IP に依存する外部 ID が固定され、信頼されたままであるかどうかを評価します。
Azure Firewall Standard レベルと Premium レベルには、ターゲット リージョンにデプロイできる次の依存関係があります。
- Azure Virtual Network
- (使用している場合) Log Analytics ワークスペース
Azure Firewall Premium レベルの TLS 検査機能を使用する場合は、次の依存関係もターゲット リージョンにデプロイする必要があります。
稼働停止時間 (ダウンタイム)
発生の可能性があるダウンタイムを理解するには、Azure 向けのクラウド導入フレームワーク: 再配置方法の選択に関する記事を参照してください。
準備する
再配置の準備を行うには、まず、ソース リージョンからテンプレートをエクスポートして変更する必要があります。 Azure Firewall のサンプル ARM テンプレートを表示するには、「テンプレートを確認する」を参照してください。
テンプレートをエクスポートする
- Azure portal にサインインします。
- [すべてのリソース] を選択し、Azure Firewall リソースを選択します。
- [Azure Firewall] ページで、左側のメニューの[自動化] で [テンプレートのエクスポート] を選択します。
- エクスポート テンプレート ページで、ダウンロード を選択します。
- ポータルからダウンロードした .zip ファイルを見つけて、選択したフォルダーにそのファイルを解凍します。
このzipファイルには、テンプレートを展開するためのテンプレートとスクリプトを含む.jsonファイルが含まれています。
テンプレートを変更する
このセクションでは、前のセクションで生成したテンプレートを変更する方法について説明します。
ファイアウォール ポリシーを使用しないでクラシック ファイアウォール規則を実行している場合は、このセクションの手順に進む前にファイアウォール ポリシーに移行してください。 クラシック ファイアウォール規則を Firewall ポリシーに移行する方法については、「PowerShell を使用して Azure Firewall の構成を Azure Firewall ポリシーに移行する」を参照してください。
Azure portal にサインインします。
TLS 検査を有効にした Premium SKU を使用している場合は、次の手順を行います。
- 新しいターゲット リージョンに、TLS 検査に使用されるキー コンテナーを再配置します。 次に、手順に従って、ターゲット リージョンの新しいキー コンテナーに TLS 検査用の証明書を移動するか、新しく生成します。
- 新しいターゲット リージョンにマネージド ID を再配置します。 ターゲット リージョンとサブスクリプションで、キー コンテナーの対応するロールを再割り当てします。
Azure Portal で、 [リソースの作成] を選択します。
[Marketplace を検索] に「
template deployment」と入力し、Enter キーを押します。[テンプレートのデプロイ]、[作成] の順に選択します。
独自のテンプレートをエディターに作成を選択します。
[ファイルを読み込む] を選択し、手順に従って、前のセクションでダウンロードした
template.jsonファイルを読み込みますtemplate.jsonファイルで、次のように置き換えます。firewallNameを Azure Firewall 名の既定値として使用します。azureFirewallPublicIpIdをターゲット地域のあなたのパブリック IP アドレスの ID に置き換えます。virtualNetworkNameをターゲット リージョンの仮想ネットワークの名前に置き換えます。firewallPolicy.idをポリシー ID に置き換えます。
ソース リージョンの構成を使用して新しいファイアウォール ポリシーを作成し、新しいターゲット リージョンによって導入された変更 (IP アドレス範囲、パブリック IP、ルール コレクション) を反映します。
Premium SKU を使用しており、TLS 検査を有効にする場合は、新しく作成したファイアウォール ポリシーを更新し、こちらの手順に従って TLS 検査を有効にします。
次の設定を確認して更新し、ターゲット リージョンに必要な変更を反映します。
- IP グループ。 ターゲット リージョンの IP アドレスがソースと異なる場合は、それを含めるために、"IP グループ" を確認する必要があります。 グループに含まれている IP アドレスを変更する必要があります。
- ゾーン。 ターゲット リージョンの可用性ゾーン (AZ) を構成します。
- 強制トンネリング。Azure Firewall を再配置する前に、仮想ネットワークを再配置したこと、およびファイアウォールの "管理サブネット" が存在していることを確認してください。 ユーザー定義ルート (UDR) で、Azure Firewall でトラフィックのリダイレクト先にする必要があるネットワーク仮想アプライアンス (NVA) の、ターゲット リージョンの IP アドレスを更新します。
- DNS。 カスタム DNS サーバー の IP アドレスを確認して、ターゲット リージョンを反映します。 DNS プロキシ機能が有効になっている場合は、仮想ネットワークの DNS サーバー設定を構成し、Azure Firewall のプライベート IP アドレスをカスタム DNS サーバーとして設定してください。
- プライベート IP 範囲 (SNAT)。 - SNAT にカスタム範囲が定義されている場合は、ターゲット リージョンのアドレス空間が含まれていることを確認し、最終的に調整することをお勧めします。
- タグ。 - 新しいファイアウォールの場所を反映または参照するタグを確認して更新します。
- 診断設定。 ターゲット リージョンで Azure Firewall を再作成するときは、 必ず診断設定 を確認し、ターゲット リージョン (Log Analytics ワークスペース、ストレージ アカウント、イベント ハブ、またはサード パーティのパートナー ソリューション) を反映するように構成してください。
locationファイルのtemplate.jsonプロパティをターゲット リージョンに編集します (次の例は、ターゲット リージョンをcentralusに設定しています)。"resources": [ { "type": "Microsoft.Network/azureFirewalls", "apiVersion": "2023-09-01", "name": "[parameters('azureFirewalls_fw_name')]", "location": "centralus",}]ターゲット リージョンの場所コードを見つけるには、「Azure でのデータ所在地」を参照してください。
template.jsonファイルを保存します。
再デプロイ
テンプレートをデプロイして、ターゲット リージョンに新しい Azure Firewall を作成します。
プロパティ値を入力または選択します。
- サブスクリプション: Azure のサブスクリプションを選択してください。
- [リソース グループ] : [新規作成] を選択して、リソース グループに名前を付けます。
- [場所] :Azure の場所を選択します。
以上で、必要な変更を反映する構成を採用して、Azure Firewall がターゲット リージョンにデプロイされます。
構成と機能を確認します。