この記事では、Azure Firewall の顧客が管理するメンテナンス期間を構成する方法について説明します。 Azure portal または PowerShell を使用してメンテナンスをスケジュールするための詳細なガイダンスを提供します。
Azure Firewall は、Azure Virtual Network と Azure Virtual WAN リソースを保護するように設計された、管理されたクラウドベースのネットワーク セキュリティ サービスです。 定期的なアップグレードは、新たなサイバー脅威に対するサービスの有効性を維持し、規制要件に準拠し、最新の機能、セキュリティ強化、およびパフォーマンスの向上を組み込むために不可欠です。
アップグレードは通常、重要な業務の中断を最小限に抑え、アプリケーションのダウンタイムを短縮するために、業務時間外にスケジュールされます。 多くの最新のアプリケーションでは、自動接続による一時的なネットワーク中断を処理できますが、SAP や Azure Virtual Desktop (AVD) などのレガシ アプリケーションでは永続的な接続が必要になる場合があります。 これらのアプリケーションは接続の切断に対してより機密性が高く、アップグレード プロセス中に中断が発生し、ビジネス継続性に影響を与える可能性があります。 これに対処するために、Azure Firewall では構成可能な毎日のメンテナンス期間がサポートされるようになりました。これにより、アップグレード スケジュールを運用上のニーズに合わせて調整できます。
お客様が管理するメンテナンスに関する制限事項とよく寄せられる質問の詳細については、 Azure Firewall の FAQ を参照してください。
メンテンナンス構成
まず、 Microsoft.Maintenance Azure リソース プロバイダーを登録する必要があります。
Register-AzResourceProvider -ProviderNamespace Microsoft.Maintenance
その後、次の 2 つの方法を使用して、Azure portal で顧客が管理するメンテナンスを構成できます。
Azure Firewall リソースからのメンテナンスを構成する
Azure Firewall リソースから直接メンテナンス構成を作成するには、次の手順に従います。
Azure portal で、メンテナンス構成を作成する ファイアウォール リソースに移動します。
Azure Firewall ページで、[設定] に移動し、[メンテナンス] を選択します。
[ + 構成の追加] を選択して、[ メンテナンス制御の構成] ページを開きます。
![Azure Firewall リソースの [メンテナンス構成] オプションを示すスクリーンショット。](media/customer-controlled-maintenance/maintenance-overview.png)
構成パネルで、ドロップダウン メニューから既存の構成を選択するか、新しい構成を作成します。
メンテナンス構成のわかりやすい名前を入力し、[ スケジュールの編集] を選択します。 1 日に少なくとも 5 時間の定期的なメンテナンス スケジュールを定義し、[ 保存] を選択します。
[有効にする] を選択して、Azure Firewall リソースにメンテナンス構成を適用します。
運用上のニーズに合わせて、必要に応じて構成を完了します。
メンテナンス構成での設定
[メンテナンス構成] ページを使用して Azure portal で メンテナンス構成 を作成するには、次の手順に従います。
Azure portal で [メンテナンス構成] を探します。
[ メンテナンス構成] ページで 、[ + 作成 ] を選択して [ メンテナンス構成の作成 ] ページを開きます。
[ 基本 ] タブで、次の詳細を指定します。
-
サブスクリプション: サブスクリプションを選択します。
-
リソース グループ: リソースが配置されているリソース グループを選択します。
-
構成名: メンテナンス構成のわかりやすい名前を入力します。
-
リージョン: ファイアウォール リソースと同じリージョンを選択します。
-
メンテナンス スコープ: ドロップダウンから [リソース ] を選択します。
-
メンテナンス サブスコープ: ドロップダウンから [ネットワーク セキュリティ ] を選択します。
[スケジュールの追加] を選択して、メンテナンス スケジュールを定義します。
注
メンテナンス期間は、5 時間以上の期間である必要があります。
スケジュールを指定したら、[ 保存] を選択します。
[ リソース ] タブに進みます。[ + リソースの追加] を選択して、リソースをメンテナンス構成に関連付けます。 リソースは、作成プロセス以降に追加できます。 この例では、構成の作成時にリソースを追加します。
[ リソースの選択 ] ページで、リソースが一覧表示されていることを確認します。 そうでない場合は、適切なリージョンとメンテナンス スコープが選択されていることを確認します。 メンテナンス構成に含めるリソースを選択し、[ 保存] を選択します。
[ 確認と作成] を選択して構成を検証します。 検証が成功したら、[ 作成 ] を選択してセットアップを完了します。
関連付けられているリソースを表示する
メンテナンス構成にリンクされているリソースを表示するには、次の手順に従います。
- Azure portal の [ メンテナンス構成] ページに移動します。
- 検査するメンテナンス構成を選択します。
- 左側のメニューで、[ 設定] に移動し、[リソース] を選択 します。 [ リソース ] ページが開き、選択したメンテナンス構成に関連付けられているすべてのリソースが表示されます。
リソースの追加
既存のメンテナンス構成にリソースを追加するには、次の手順に従います。
- Azure portal の [ メンテナンス構成] ページに移動します。
- 変更するメンテナンス構成を選択します。
- 左側のメニューで、[ 設定] に移動し、[リソース] を選択 します。 [ リソース ] ページが開き、選択したメンテナンス構成に関連付けられているすべてのリソースを表示できます。
- [ リソース ] ページで、[ + 追加] を選択して、メンテナンス構成に新しいリソースを含めます。
リソースの削除
メンテナンス構成に関連付けられているリソースを削除するには、次の手順に従います。
- Azure portal の [ メンテナンス構成] ページに移動します。
- リソースを削除するメンテナンス構成を選択します。
- 左側のメニューで 、[設定] に移動し、[ リソース ] を選択して [ リソース ] ページを開き、関連付けられているリソースを表示します。
- [ リソース ] ページで、削除するリソースを選択し、[削除] を選択 します。
- 確認ダイアログで、[ はい ] を選択して削除を完了します。
リソースにポリシーを割り当てるには、次の手順のようにします。 Azure PowerShell を初めて使用する場合は、「 Azure PowerShell の使用を開始する」を参照してください。
サブスクリプションのコンテキストを設定します。
set-AzContext -Subscription 'Subscription ID’
Azure リソース プロバイダーを登録します。
Register-AzResourceProvider -ProviderNamespace Microsoft.Maintenance
New-AzMaintenanceConfiguration コマンドレットを使用してメンテナンス構成を作成します。
-
-Durationは、少なくとも 5 時間の時間枠である必要があります。
-
-RecurEveryは 1 日あたりです。
- TimeZone オプションについては、タイム ゾーンに関する記事をご覧ください。
New-AzMaintenanceConfiguration -ResourceGroupName <rgName> -Name <configurationName> -Location <arm location of resource> -MaintenanceScope Resource -ExtensionProperty @{"maintenanceSubScope"="NetworkSecurity"} -StartDateTime "<date in YYYY-MM-DD HH:mm format>" -TimeZone "<Selected Time Zone>" -Duration "<Duration in HH:mm format>" -Visibility "Custom" -RecurEvery Day
メンテナンス構成を $config という名前の変数として保存します。
$config = Get-AzMaintenanceConfiguration -ResourceGroupName <rgName> -Name <configurationName>
サービス リソースを $serviceResource という名前の変数として保存します。
New-AzConfigurationAssignment コマンドレットを使用して、メンテナンス構成の割り当てを作成します。 メンテナンス ポリシーは、24 時間以内にリソースに適用されます。
New-AzConfigurationAssignment -ResourceGroupName <rgName> -ProviderName "Microsoft.Network" -ResourceType "<your resource's resource type per ARM. For example, azureFirewalls>" -ResourceName "<your resource's name>" -ConfigurationAssignmentName "<assignment name>" -ResourceId $serviceResource.Id -MaintenanceConfigurationId $config.Id -Location "<arm location of resource>"
構成の割り当てを削除するには:
- 構成またはリソースを削除すると、構成の割り当ては自動的に削除されます。
- メンテナンス構成からリソースへの構成の割り当てを手動で削除する場合は、
Remove-AzConfigurationAssignment コマンドレットを使用します。
Remove-AzConfigurationAssignment -ResourceGroupName <rgName> -ProviderName "Microsoft.Network" -ResourceType "<your resource's resource type per ARM. For example, azureFirewalls>" -ResourceName "<your resource's name>" -ConfigurationAssignmentName "<assignment name>"
リソースにポリシーを割り当てるには、次の手順のようにします。 Azure CLI を初めて使用する場合は、「 Azure CLI の概要」を参照してください。
サブスクリプションのコンテキストを設定します。
az account set --subscription "<subscription id>"
Azure リソース プロバイダーを登録します。
az provider register --namespace Microsoft.Maintenance
az maintenance configuration create コマンドを使用してメンテナンス構成を作成します。
- メンテナンス構成の Azure リージョンを指定する
--location を設定します。
-
--maintenance-scope を Resource に設定します。
-
maintenanceSubScope=NetworkSecurityを使用して拡張プロパティを--extension-propertiesに設定します。
- メンテナンス期間の長さを指定する
--maintenance-window-duration を設定します (形式は HH:mm の 5 時間以上にする必要があります)。
- メンテナンス期間の開始時期を指定する
--maintenance-window-start-date-time を設定します (形式: YYYY-MM-DD HH:MM)。
- メンテナンス期間の有効期限を指定する
--maintenance-window-expiration-date-time を設定します (形式: YYYY-MM-DD HH:MM)。
-
--maintenance-window-recur-every を毎日の繰り返しに Day に設定します。
- スケジュールのタイム ゾーンを指定する
--maintenance-window-time-zone を設定します。 使用可能なタイム ゾーンについては、「 タイム ゾーン」を参照してください。
-
--namespace を Microsoft.Maintenance に設定します。
-
--visibility を Custom に設定します。
- リソース グループを指定する
--resource-group を設定します。
- メンテナンス構成の名前を指定する
--resource-name を設定します。
az maintenance configuration create \
--location "centraluseuap" \
--maintenance-scope "Resource" \
--maintenance-window-duration "HH:mm" \
--maintenance-window-start-date-time "YYYY-MM-DD HH:MM" \
--maintenance-window-expiration-date-time "YYYY-MM-DD HH:MM" \
--maintenance-window-recur-every "Day" \
--maintenance-window-time-zone "Pacific Standard Time" \
--namespace "Microsoft.Maintenance" \
--visibility "Custom" \
--resource-group "<rg name>" \
--resource-name "<config name>" \
--extension-properties maintenanceSubScope=NetworkSecurity
注
メンテナンス構成のリソース ID は、上記のコマンドの出力に表示されます。 この値は、次の手順で --maintenance-configuration-id に使用します。
az maintenance assignment create コマンドを使用して、メンテナンス構成の割り当てを作成します。 メンテナンス ポリシーは、24 時間以内にリソースに適用されます。
az maintenance assignment create \
--maintenance-configuration-id "<config resource id>" \
--name "<assignment name>" \
--provider-name "Microsoft.Network" \
--resource-group "<firewall rg name>" \
--resource-name "<firewall name>" \
--resource-type "azureFirewalls"
構成の割り当てを削除するには
リソースから構成割り当てを手動で削除するには、 az maintenance assignment delete コマンドを使用します。
az maintenance assignment delete \
--resource-group "<firewall rg name>" \
--resource-name "<firewall name>" \
--resource-type "azureFirewalls" \
--provider-name "Microsoft.Network" \
--name "<assignment name>"
構成の割り当てを表示する
Azure CLI を使用してメンテナンス構成の割り当てを表示するには、次のコマンドを使用します。
az maintenance configuration show \
--resource-group "<resource-group-name>" \
--resource-name "<configuration-name>"
<resource-group-name>をリソース グループに置き換え、<configuration-name>をメンテナンス構成名に置き換えます。
次のステップ
Azure Firewall の最新の機能については、 Azure Firewall のプレビュー機能に関するページを参照してください。