Przenoszenie sieciowej grupy zabezpieczeń platformy Azure do innego regionu

W tym artykule pokazano, jak przenieść sieciową grupę zabezpieczeń do nowego regionu, tworząc kopię źródłowej konfiguracji i reguł zabezpieczeń sieciowej grupy zabezpieczeń do innego regionu.

Wymagania wstępne

Upewnij się, że sieciowa grupa zabezpieczeń platformy Azure znajduje się w docelowym regionie świadczenia usługi Azure.
Skojarz nową sieciową grupę zabezpieczeń z zasobami w regionie docelowym.
Aby wyeksportować konfigurację sieciowej grupy zabezpieczeń i wdrożyć szablon w celu utworzenia sieciowej grupy zabezpieczeń w innym regionie, potrzebna będzie rola Współautor sieci lub nowsza.
Zidentyfikuj układ sieci źródłowej i wszystkie aktualnie używane zasoby. Ten układ obejmuje, ale nie ogranicza się do równoważenia obciążenia, publicznych adresów IP i sieci wirtualnych.
Sprawdź, czy twoja subskrypcja platformy Azure umożliwia tworzenie sieciowych grup zabezpieczeń w regionie docelowym, który jest używany. Skontaktuj się z pomocą techniczną, aby włączyć wymagany limit przydziału.
Upewnij się, że Twoja subskrypcja ma wystarczające zasoby, aby umożliwić dodanie grup NSG do tego procesu. Zobacz Azure subscription and service limits, quotas, and constraints (Limity, przydziały i ograniczenia usługi i subskrypcji platformy Azure).

Przestój

Aby zrozumieć możliwe przestoje, zobacz Cloud Adoption Framework for Azure: Select a relocation method (Przewodnik Cloud Adoption Framework dla platformy Azure: wybieranie metody relokacji).

Przygotuj się

W poniższych krokach pokazano, jak przygotować sieciową grupę zabezpieczeń do przeniesienia konfiguracji i reguły zabezpieczeń przy użyciu szablonu usługi Resource Manager oraz przenieść konfigurację i reguły zabezpieczeń sieciowej grupy zabezpieczeń do regionu docelowego przy użyciu portalu.

Aby wyeksportować i zmodyfikować szablon przy użyciu witryny Azure Portal:

Zaloguj się do witryny Azure Portal.
Wybierz pozycję Wszystkie zasoby, a następnie wybierz konto magazynowe.
Wybierz >Automation> i Szablon eksportu.
Wybierz Wdróż w panelu Eksportuj szablon.
Wybierz SZABLON>Edytuj parametry, aby otworzyć plik parameters.json w edytorze online.

Aby edytować parametr nazwy grupy zabezpieczeń sieciowych, zmień właściwość value w kategorii parametry:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "networkSecurityGroups_myVM1_nsg_name": {
      "value": "<target-nsg-name>"
    }
  }
}

Zmień źródłową nazwę NSG w edytorze na wybraną nazwę dla docelowej NSG. Upewnij się, że nazwa została ujęta w cudzysłów.
Wybierz pozycję Zapisz w edytorze.
Wybierz pozycję SZABLON>Edytuj szablon, aby otworzyć plik template.json w edytorze online.

Aby edytować region docelowy, w którym zostanie przeniesiona konfiguracja sieciowej grupy zabezpieczeń i reguły zabezpieczeń, zmień właściwość lokalizacji w obszarze zasobów w edytorze online:

"resources": [
  {
    "type": "Microsoft.Network/networkSecurityGroups",
    "apiVersion": "2019-06-01",
    "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
    "location": "<target-region>",
    "properties": {
        "provisioningState": "Succeeded",
        "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
    }
  }
]

Aby uzyskać kody lokalizacji regionów, zobacz Lokalizacje platformy Azure. Kod regionu to nazwa regionu bez spacji, Centralny USA = centralus.

Możesz również zmienić inne parametry w szablonie, jeśli wybierzesz, i są opcjonalne w zależności od wymagań:

Reguły zabezpieczeń — można edytować, które reguły są wdrażane w docelowej sieciowej grupie zabezpieczeń, dodając lub usuwając reguły do sekcji securityRules w pliku template.json :

"resources": [
{
  "type": "Microsoft.Network/networkSecurityGroups",
  "apiVersion": "2019-06-01",
  "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
  "location": "<target-region>",
  "properties": {
    "provisioningState": "Succeeded",
    "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
    "securityRules": [
      {
        "name": "RDP",
        "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
        "properties": {
          "provisioningState": "Succeeded",
          "protocol": "TCP",
          "sourcePortRange": "*",
          "destinationPortRange": "3389",
          "sourceAddressPrefix": "*",
          "destinationAddressPrefix": "*",
          "access": "Allow",
          "priority": 300,
          "direction": "Inbound",
          "sourcePortRanges": [],
          "destinationPortRanges": [],
          "sourceAddressPrefixes": [],
          "destinationAddressPrefixes": []
        }
      }
    ]
  }
}

Aby zakończyć proces dodawania lub usuwania reguł w docelowej sieciowej grupie zabezpieczeń, musisz także edytować niestandardowe typy reguł na końcu pliku template.json, używając formatu z poniższego przykładu.

{
  "type": "Microsoft.Network/networkSecurityGroups/securityRules",
  "apiVersion": "2019-06-01",
  "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
  "dependsOn": [
    "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
  ],
  "properties": {
    "provisioningState": "Succeeded",
    "protocol": "*",
    "sourcePortRange": "*",
    "destinationPortRange": "80",
    "sourceAddressPrefix": "*",
    "destinationAddressPrefix": "*",
    "access": "Allow",
    "priority": 310,
    "direction": "Inbound",
    "sourcePortRanges": [],
    "destinationPortRanges": [],
    "sourceAddressPrefixes": [],
    "destinationAddressPrefixes": []
  }
}

Wybierz pozycję Zapisz w edytorze online.

Aby wyeksportować i zmodyfikować szablon przy użyciu programu PowerShell:

Zaloguj się do subskrypcji platformy Azure za pomocą polecenia Connect-AzAccount i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie:
```
Connect-AzAccount
```
Uzyskaj identyfikator zasobu grupy zabezpieczeń sieciowych, którą chcesz przenieść do regionu docelowego, i umieść go w zmiennej, korzystając z polecenia Get-AzNetworkSecurityGroup:
```
$sourceNSGID = (Get-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>).Id
```

Wyeksportuj źródłową NSG do pliku .json w katalogu, w którym wykonujesz polecenie Export-AzResourceGroup:

Export-AzResourceGroup -ResourceGroupName <source-resource-group-name> -Resource $sourceNSGID -IncludeParameterDefaultValue

Pobrany plik zostanie nazwany po grupie zasobów, z którego został wyeksportowany zasób. Znajdź plik wyeksportowany z polecenia o nazwie <resource-group-name>.json i otwórz go w wybranym edytorze:
```
notepad <source-resource-group-name>.json
```

Aby edytować parametr nazwy sieciowej grupy zabezpieczeń, zmień właściwość defaultValue źródłowej sieciowej grupy zabezpieczeń na nazwę docelowej sieciowej grupy zabezpieczeń, upewnij się, że nazwa jest w cudzysłowie:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "networkSecurityGroups_myVM1_nsg_name": {
    "defaultValue": "<target-nsg-name>",
    "type": "String"
    }
  }
}

Aby edytować docelowy region, do którego zostanie przeniesiona konfiguracja NSG i reguły zabezpieczeń, zmień właściwość lokalizacji w sekcji zasobów:

"resources": [
  {
    "type": "Microsoft.Network/networkSecurityGroups",
    "apiVersion": "2019-06-01",
    "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
    "location": "<target-region>",
    "properties": {
      "provisioningState": "Succeeded",
      "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78", 
    }
  }
]

Aby uzyskać kody lokalizacji regionu, możesz użyć polecenia cmdlet programu Azure PowerShell Get-AzLocation , uruchamiając następujące polecenie:
```
Get-AzLocation | format-table
```

Możesz również zmienić inne parametry w <nazwie> grupy zasobów.json jeśli wybierzesz i są opcjonalne w zależności od wymagań:

Reguły zabezpieczeń — można edytować, które reguły są wdrażane w docelowej sieciowej grupie zabezpieczeń, dodając lub usuwając reguły do sekcji securityRules w <pliku nazwa-grupy> zasobów.json :

"resources": [
  {
    "type": "Microsoft.Network/networkSecurityGroups",
    "apiVersion": "2019-06-01",
    "name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
    "location": "TARGET REGION",
    "properties": {
      "provisioningState": "Succeeded",
      "resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
      "securityRules": [
        {
          "name": "RDP",
          "etag": "W/\"c630c458-6b52-4202-8fd7-172b7ab49cf5\"",
          "properties": {
            "provisioningState": "Succeeded",
            "protocol": "TCP",
            "sourcePortRange": "*",
            "destinationPortRange": "3389",
            "sourceAddressPrefix": "*",
            "destinationAddressPrefix": "*",
            "access": "Allow",
            "priority": 300,
            "direction": "Inbound",
            "sourcePortRanges": [],
            "destinationPortRanges": [],
            "sourceAddressPrefixes": [],
            "destinationAddressPrefixes": []
          }
        }
      ]
    }  
  }
]

Aby ukończyć dodawanie lub usuwanie reguł w docelowej NSG, należy również edytować niestandardowe typy reguł na końcu pliku json nazwa-grupy-zasobów w formacie poniżej:

{
  "type": "Microsoft.Network/networkSecurityGroups/securityRules",
  "apiVersion": "2019-06-01",
  "name": "[concat(parameters('networkSecurityGroups_myVM1_nsg_name'), '/Port_80')]",
  "dependsOn": [
    "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('networkSecurityGroups_myVM1_nsg_name'))]"
  ],
  "properties": {
    "provisioningState": "Succeeded",
    "protocol": "*",
    "sourcePortRange": "*",
    "destinationPortRange": "80",
    "sourceAddressPrefix": "*",
    "destinationAddressPrefix": "*",
    "access": "Allow",
    "priority": 310,
    "direction": "Inbound",
    "sourcePortRanges": [],
    "destinationPortRanges": [],
    "sourceAddressPrefixes": [],
    "destinationAddressPrefixes": []
  }
}

<Zapisz plik nazwa-grupy> zasobów.json.

Ponownie wdroż

Portal
PowerShell

Wybierz pozycję Podstawowa>subskrypcja, aby wybrać subskrypcję, w której zostanie wdrożona docelowa grupa zabezpieczeń NSG.
Wybierz PODSTAWOWE>Grupa zasobów, aby wybrać grupę zasobów, w której zostanie wdrożony docelowy NSG. Możesz kliknąć Utwórz nową, aby utworzyć nową grupę zasobów dla docelowego NSG. Upewnij się, że nazwa nie jest taka sama jak nazwa źródłowej grupy zasobów istniejącej NSG.
Wybierz pozycję PODSTAWOWA>Lokalizacja jest ustawiona na lokalizację docelową, w której chcesz wdrożyć sieciową grupę zabezpieczeń.
Sprawdź w obszarze USTAWIENIA , czy nazwa jest zgodna z nazwą wprowadzoną w edytorze parametrów powyżej.
Zaznacz pole wyboru w obszarze WARUNKI I POSTANOWIENIA.
Wybierz przycisk Kup, aby wdrożyć docelową grupę zabezpieczeń sieciowych.

Utwórz grupę zasobów w regionie docelowym, aby docelowa sieciowa grupa zabezpieczeń została wdrożona przy użyciu polecenia New-AzResourceGroup:
```
New-AzResourceGroup -Name <target-resource-group-name> -location <target-region>
```
Wdróż edytowany plik <resource-group-name>.json w grupie zasobów utworzonej w poprzednim kroku, korzystając z New-AzResourceGroupDeployment:
```
New-AzResourceGroupDeployment -ResourceGroupName <target-resource-group-name> -TemplateFile <source-resource-group-name>.json
```

Aby sprawdzić, czy zasoby zostały utworzone w regionie docelowym, użyj polecenia Get-AzResourceGroup i Get-AzNetworkSecurityGroup:

Get-AzResourceGroup -Name <target-resource-group-name>

Get-AzNetworkSecurityGroup -Name <target-nsg-name> -ResourceGroupName <target-resource-group-name>

Odrzuć

Portal
PowerShell

Jeśli chcesz odrzucić docelową sieciową grupę zabezpieczeń, usuń grupę zasobów zawierającą docelową sieciową grupę zabezpieczeń. W tym celu wybierz grupę zasobów z pulpitu nawigacyjnego w portalu i wybierz pozycję Usuń w górnej części strony przeglądu.

Jeśli po wdrożeniu chcesz zacząć od nowa lub usunąć sieciową grupę zabezpieczeń w docelowym zasobie, usuń grupę zasobów utworzoną w tym zasobie, a przeniesiona sieciowa grupa zabezpieczeń zostanie usunięta. Aby usunąć grupę zasobów, użyj polecenia Remove-AzResourceGroup:

Remove-AzResourceGroup -Name <target-resource-group-name>

Czyszczenie

Portal
PowerShell

Aby zatwierdzić zmiany i zakończyć przenoszenie NSG, usuń źródłowe NSG lub grupę zasobów. W tym celu wybierz sieciowa grupa zabezpieczeń lub grupę zasobów z pulpitu nawigacyjnego w portalu i wybierz pozycję Usuń w górnej części każdej strony.

Aby zatwierdzić zmiany i zakończyć proces przenoszenia NSG, usuń źródłową grupę zabezpieczeń sieciowych lub grupę zasobów. Użyj polecenia Remove-AzResourceGroup lub Remove-AzNetworkSecurityGroup.

Remove-AzResourceGroup -Name <source-resource-group-name>

Remove-AzNetworkSecurityGroup -Name <source-nsg-name> -ResourceGroupName <source-resource-group-name>

Następne kroki

W tym samouczku przeniosłeś sieciową grupę zabezpieczeń platformy Azure z jednego regionu do innego i wyczyściłeś zasoby źródłowe. Aby dowiedzieć się więcej na temat przenoszenia zasobów między regionami i odzyskiwaniem po awarii na platformie Azure, zobacz:

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-09-15