Migracja z dzienników przepływu grupy zabezpieczeń sieci do dzienników przepływu sieci wirtualnej

Z tego artykułu dowiesz się, jak migrować istniejące dzienniki przepływu sieciowej grupy zabezpieczeń do dzienników przepływu sieci wirtualnej przy użyciu skryptu migracji. Dzienniki przepływu sieci wirtualnej pokonują niektóre ograniczenia dzienników przepływu w grupach zabezpieczeń sieciowych. Aby uzyskać więcej informacji, zobacz Dzienniki przepływu sieci wirtualnej.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz bezpłatne konto.

• Program PowerShell 7 zainstalowany na maszynie. Aby uzyskać więcej informacji, zobacz Instalowanie programu PowerShell w systemach Windows, Linux i macOS. Ten artykuł wymaga modułu Az programu PowerShell. Aby uzyskać więcej informacji, zobacz How to install Azure PowerShell (Jak zainstalować program Azure PowerShell). Aby dowiedzieć się, jaka wersja została zainstalowana, uruchom polecenie Get-Module -ListAvailable Az.

• Niezbędne uprawnienia RBAC dla subskrypcji dzienników przepływu i obszarów roboczych usługi Log Analytics (jeśli analiza ruchu jest włączona dla dowolnego dziennika przepływu sieciowej grupy zabezpieczeń). Aby uzyskać więcej informacji, zobacz Uprawnienia usługi Network Watcher.

• Dzienniki przepływu grupy zabezpieczeń sieci w jednym lub kilku regionach. Aby uzyskać więcej informacji, zobacz Tworzenie dzienników przepływu sieciowej grupy zabezpieczeń.

Generowanie skryptu migracji

W tej sekcji dowiesz się, jak wygenerować i pobrać pliki migracji dla dzienników przepływu sieciowej grupy zabezpieczeń, które mają zostać zmigrowane.

1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher z wyników wyszukiwania.

   

2. W obszarze Dzienniki wybierz opcję Migruj dzienniki przepływu.

   

3. Wybierz subskrypcje, które chcesz migrować i zawierają dzienniki przepływu sieciowej grupy zabezpieczeń.

4. Dla każdej subskrypcji wybierz regiony zawierające dzienniki przepływu, które chcesz zmigrować. Łączne dzienniki przepływu NSG pokazują całkowitą liczbę dzienników przepływu, które znajdują się w wybranych subskrypcjach. Wybrane dzienniki przepływu NSG pokazują liczbę dzienników przepływu w wybranych regionach.

5. Po wybraniu subskrypcji i regionów wybierz pozycję Pobierz skrypt i plik JSON , aby pobrać pliki migracji jako plik zip.

   

6. Wyodrębnij MigrateFlowLogs.zip plik na komputerze lokalnym. Plik zip zawiera następujące dwa pliki:

   • plik skryptu: MigrationFromNsgToAzureFlowLogging.ps1
   • plik JSON: RegionSubscriptionConfig.json.

Uruchamianie skryptu migracji

W tej sekcji dowiesz się, jak używać pliku skryptu pobranego w poprzedniej sekcji, aby przeprowadzić migrację dzienników przepływu sieciowej grupy zabezpieczeń.

1. Uruchom plik skryptu MigrationFromNsgToAzureFlowLogging.ps1.

2. Wprowadź wartość 1 dla opcji Uruchom analizę .

   .\MigrationFromNsgToAzureFlowLogging.ps1
   
   Select one of the following options for flowlog migration:
   1. Run analysis
   2. Delete NSG flowlogs
   3. Quit
   

3. Wprowadź nazwę pliku JSON.

   Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json
   

4. Wprowadź liczbę wątków lub pozostaw wartość pustą, aby użyć wartości domyślnej 16.

   Please enter the number of threads you would like to use, press enter for using default value of 16:    
   

   Po zakończeniu analizy zobaczysz raport analizy na ekranie i w pliku HTML w tym samym katalogu plików migracji. Raport zawiera listę dzienników przepływu sieciowej grupy zabezpieczeń, które zostaną wyłączone, oraz liczbę utworzonych dzienników przepływu sieci wirtualnej w celu ich zastąpienia. Liczba utworzonych dzienników przepływu sieci wirtualnej zależy od wybranego typu migracji. Jeśli na przykład sieciowa grupa zabezpieczeń, którą migrujesz, jest skojarzona z trzema interfejsami sieciowymi w tej samej sieci wirtualnej, możesz wybrać migrację z agregacją , aby zastosować jeden zasób dziennika przepływu sieci wirtualnej do sieci wirtualnej. Możesz również wybrać migrację bez agregacji , aby mieć trzy dzienniki przepływu sieci wirtualnej (jeden zasób dziennika przepływu sieci wirtualnej na interfejs sieciowy).

   Uwaga

   Zobacz AnalysisReport-<subscriptionId>-<region>-<time>.html plik, aby uzyskać pełny raport analizy, która została wykonana. Plik jest dostępny w tym samym katalogu skryptu.

5. Wprowadź 2 lub 3, aby wybrać typ migracji, którą chcesz wykonać.

   Select one of the following options for flowlog migration:
   1. Re-Run analysis
   2. Proceed with migration with aggregation
   3. Proceed with migration without aggregation
   4. Quit
   

6. Po wyświetleniu podsumowania migracji na ekranie możesz anulować migrację i przywrócić zmiany. Aby zaakceptować i kontynuować migrację, wprowadź n, w przeciwnym razie y. Po zaakceptowaniu zmian nie można ich przywrócić.

   Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n
   

   Uwaga

   Zachowaj pliki skryptu i raportów analizy jako punkt odniesienia na wypadek problemów z migracją.

7. Sprawdź portal Azure, aby potwierdzić, że stan dzienników przepływu grupy zabezpieczeń sieci, które zmigrowałeś, stał się nieaktywny. Sprawdź również nowo utworzone dzienniki przepływu sieci wirtualnej w wyniku procesu migracji.

   

8. Dodaj filtr, aby wyświetlić tylko listę dzienników przepływu sieciowej grupy zabezpieczeń z wybranej subskrypcji i regionów. Jeśli zmigrowano tylko kilka dzienników przepływu grupy zabezpieczeń sieciowych, można pominąć ten krok.

   

9. Wybierz dzienniki przepływu, które chcesz usunąć, a następnie wybierz pozycję Usuń

   

10. Wprowadź usuń, a następnie wybierz Usuń, aby potwierdzić usunięcie.

    

Kwestie wymagające rozważenia

• Zestaw skalowania z modułem równoważenia obciążenia: skrypt migracji umożliwia rejestrowanie przepływu sieci wirtualnej w podsieci z maszynami wirtualnymi zestawu skalowania.

  Uwaga

  Jeśli rejestrowanie przepływu sieciowej grupy zabezpieczeń nie jest włączone we wszystkich interfejsach sieciowych zestawu skalowania lub interfejsy sieciowe nie współużytkują tego samego dziennika przepływu sieciowej grupy zabezpieczeń, dziennik przepływu sieci wirtualnej jest tworzony w podsieci z tymi samymi konfiguracjami co jeden z interfejsów sieciowych zestawu skalowania.

• PaaS: Skrypt migracji nie obsługuje środowisk z rozwiązaniami PaaS, które mają dzienniki przepływu sieciowej grupy zabezpieczeń w subskrypcji użytkownika, ale zasoby docelowe znajdują się w różnych subskrypcjach. W przypadku takich środowisk należy ręcznie włączyć rejestrowanie przepływu sieci wirtualnej w sieci wirtualnej lub podsieci rozwiązania PaaS.

Powiązana zawartość

• Dzienniki przepływu grupy zabezpieczeń sieciowych
• Dzienniki przepływu sieci wirtualnej
• Zarządzanie dziennikami przepływów sieci wirtualnej przy użyciu usługi Azure Policy