本文說明如何設定 Azure 防火牆的客戶控制維護時段。 它提供步驟指引,教你如何使用 Azure 入口網站或 PowerShell 來排程維護。
Azure 防火牆是受控的雲端式網路安全性服務,其設計目的是要保護 Azure 虛擬網路和 Azure 虛擬 WAN 資源。 定期升級對於確保服務對新興網路威脅保持有效、符合法規需求,並納入最新的功能、安全性增強功能及效能改善至關重要。
升級通常會在停機期間排程,以將關鍵商務作業的中斷降到最低,並減少應用程式停機時間。 雖然許多新式應用程式可以透過自動連線來處理暫時性網路中斷,但 SAP 和 Azure 虛擬桌面 (AVD) 等舊版應用程式可能需要持續連線。 這些應用程式對連線中斷更為敏感,這可能會導致升級程式期間中斷,並影響商務持續性。 為了解決這個問題,Azure 防火牆現在支持可設定的每日維護時段,讓您能夠配合升級排程與作業需求。
如需有關客戶控制維護的限制和常見問題的詳細資訊,請參閱 Azure 防火牆常見問題。
維護設定
首先,您必須註冊 Microsoft.Maintenance Azure 資源提供者。
Register-AzResourceProvider -ProviderNamespace Microsoft.Maintenance
然後,您可以使用兩種方法在 Azure 入口網站中設定客戶控制的維護:
在 Azure 防火牆資源中設定維護
請遵循下列步驟,直接從 Azure 防火牆資源建立維護設定:
在 Azure 入口網站中,流覽至您要為其建立維護設定的 防火牆 資源。
在 [Azure 防火牆] 頁面上,流覽至 [ 設定 ],然後選取 [ 維護]。
選取 [+ 新增設定 ] 以開啟 [ 設定維護控制 ] 頁面。
![顯示 Azure 防火牆資源中 [維護設定] 選項的螢幕快照。](media/customer-controlled-maintenance/maintenance-overview.png)
在組態面板中,從下拉功能表中選擇現有的組態,或建立新的組態。
輸入維護組態的描述性名稱,然後選取 [ 編輯排程]。 請設定每日至少 5 小時的定期維護計畫,並選擇 儲存。
選取 [啟用 ] 以在 Azure 防火牆資源上套用維護設定。
視需要完成設定,以符合您的作業需求。
在維護組態中設定
請遵循下列步驟,使用 [維護組態] 頁面在 Azure 入口網站中建立 維護組態 :
在 Azure 入口網站中搜尋 [維護組態]。
在 [ 維護組態 ] 頁面上,選取 [+ 建立 ] 以開啟 [ 建立維護組態 ] 頁面。
在 基本 標籤上,提供下列詳細信息:
-
訂用帳戶:選取您的訂用帳戶。
-
資源群組:選擇資源所在的資源群組。
-
組態名稱:輸入維護組態的描述性名稱。
-
區域:選取與防火牆資源相同的區域。
-
維護範圍:從下拉式清單中選擇 [資源 ]。
-
維護子範圍:從下拉式清單中選取 [網路安全性 ]。
選取 [新增排程] 以定義維護排程。
指定排程之後,選取 [ 儲存]。
前往 資源 標籤。選取 + 新增資源 以將資源與維護配置產生關聯。 您可以在建立過程中或之後新增資源。 在此範例中,您要在設定建立期間新增資源。
在 [ 選取資源] 頁面上,確認您的資源已列出。 如果沒有,請確定已選取正確的區域和維護範圍。 選擇要包含在維護組態中的資源,然後選取 [ 儲存]。
選取 [檢閱 + 建立 ] 以驗證設定。 驗證成功之後,請選取 [建立] 以完成設定。
檢視相關聯的資源
請遵循下列步驟來檢視連結至維護組態的資源:
- 流覽至 Azure 入口網站中的 [維護組態 ] 頁面。
- 選取您想要檢查的維護組態。
- 在左側功能表中,流覽至 [ 設定 ],然後選取 [ 資源]。 這會開啟 [ 資源] 頁面,您可以在其中看到與所選維護組態相關聯的所有資源。
新增資源
若要將資源新增至現有的維護組態,請遵循下列步驟:
- 流覽至 Azure 入口網站中的 [維護組態 ] 頁面。
- 選取您想要修改的維護組態。
- 在左側功能表中,移至 [ 設定 ],然後選取 [ 資源]。 這會開啟 [ 資源] 頁面,您可以在其中檢視與所選維護組態相關聯的所有資源。
- 在 [ 資源] 頁面上,選取 [+ 新增 ] 以在維護組態中包含新的資源。
移除資源
若要移除與維護設定相關聯的資源,請遵循下列步驟:
- 流覽至 Azure 入口網站中的 [維護組態 ] 頁面。
- 選取您要從中移除資源的維護組態。
- 在左側功能表中,流覽至 [ 設定 ],然後選取 [ 資源 ] 以開啟 [ 資源 ] 頁面並檢視相關聯的資源。
- 在 [ 資源] 頁面上,選取您要移除的資源,然後選取 [ 移除]。
- 在確認對話框中,選取 [ 是 ] 以完成移除。
使用以下步驟將政策指派給資源。 如果您不熟悉 Azure PowerShell,請參閱 開始使用 Azure PowerShell。
設定訂用帳戶內容。
set-AzContext -Subscription 'Subscription ID’
註冊 Azure 資源提供者。
Register-AzResourceProvider -ProviderNamespace Microsoft.Maintenance
使用 New-AzMaintenanceConfiguration Cmdlet 建立維護組態。
-
-Duration必須是至少五個小時的時間範圍。
-
-RecurEvery 是每天。
- 針對 TimeZone 選項,請參閱時區。
New-AzMaintenanceConfiguration -ResourceGroupName <rgName> -Name <configurationName> -Location <arm location of resource> -MaintenanceScope Resource -ExtensionProperty @{"maintenanceSubScope"="NetworkSecurity"} -StartDateTime "<date in YYYY-MM-DD HH:mm format>" -TimeZone "<Selected Time Zone>" -Duration "<Duration in HH:mm format>" -Visibility "Custom" -RecurEvery Day
將維護組態儲存為名為的 $config變數。
$config = Get-AzMaintenanceConfiguration -ResourceGroupName <rgName> -Name <configurationName>
將服務資源儲存為變數並命名為 $serviceResource。
使用 New-AzConfigurationAssignment Cmdlet 建立維護組態指派。 維護原則會在 24 小時內套用至資源。
New-AzConfigurationAssignment -ResourceGroupName <rgName> -ProviderName "Microsoft.Network" -ResourceType "<your resource's resource type per ARM. For example, azureFirewalls>" -ResourceName "<your resource's name>" -ConfigurationAssignmentName "<assignment name>" -ResourceId $serviceResource.Id -MaintenanceConfigurationId $config.Id -Location "<arm location of resource>"
若要移除組態指派:
- 如果刪除組態或資源,系統也會自動移除組態指派。
- 如果您想要將設定指派從維護組態手動移除至資源,請使用
Remove-AzConfigurationAssignment Cmdlet。
Remove-AzConfigurationAssignment -ResourceGroupName <rgName> -ProviderName "Microsoft.Network" -ResourceType "<your resource's resource type per ARM. For example, azureFirewalls>" -ResourceName "<your resource's name>" -ConfigurationAssignmentName "<assignment name>"
使用以下步驟將政策指派給資源。 如果您不熟悉 Azure CLI,請參閱 開始使用 Azure CLI。
設定訂用帳戶內容。
az account set --subscription "<subscription id>"
註冊 Azure 資源提供者。
az provider register --namespace Microsoft.Maintenance
使用 az maintenance configuration create 命令建立維護組態。
- 設定 以
--location 指定維護組態的 Azure 區域。
- 將
--maintenance-scope 設定為 Resource。
- 使用
maintenanceSubScope=NetworkSecurity 將擴充屬性設定為 --extension-properties。
-
--maintenance-window-duration設定 以指定維護時段長度(必須至少五小時,格式:HH:mm)。
- 設定 ,
--maintenance-window-start-date-time 以指定維護期間開始的時間(格式:YYYY-MM-DD HH:MM)。
- 設定 ,
--maintenance-window-expiration-date-time 以指定維護期間到期的時間(格式:YYYY-MM-DD HH:MM)。
- 將
--maintenance-window-recur-every設定為Day,以便用於每日週期。
- 設定 ,
--maintenance-window-time-zone 以指定排程的時區。 如需可用的時區,請參閱 時區。
- 將
--namespace 設定為 Microsoft.Maintenance。
- 將
--visibility 設定為 Custom。
-
--resource-group設定以指定資源群組。
- 設定 以
--resource-name 指定維護組態的名稱。
az maintenance configuration create \
--location "centraluseuap" \
--maintenance-scope "Resource" \
--maintenance-window-duration "HH:mm" \
--maintenance-window-start-date-time "YYYY-MM-DD HH:MM" \
--maintenance-window-expiration-date-time "YYYY-MM-DD HH:MM" \
--maintenance-window-recur-every "Day" \
--maintenance-window-time-zone "Pacific Standard Time" \
--namespace "Microsoft.Maintenance" \
--visibility "Custom" \
--resource-group "<rg name>" \
--resource-name "<config name>" \
--extension-properties maintenanceSubScope=NetworkSecurity
備註
維護組態的資源標識碼會顯示在上述命令的輸出中。 在下一個步驟中使用此值 --maintenance-configuration-id 。
使用 az maintenance assignment create 命令建立維護組態指派。 維護原則會在 24 小時內套用至資源。
az maintenance assignment create \
--maintenance-configuration-id "<config resource id>" \
--name "<assignment name>" \
--provider-name "Microsoft.Network" \
--resource-group "<firewall rg name>" \
--resource-name "<firewall name>" \
--resource-type "azureFirewalls"
移除設定指派
若要從資源手動移除組態指派,請使用 az maintenance assignment delete 命令。
az maintenance assignment delete \
--resource-group "<firewall rg name>" \
--resource-name "<firewall name>" \
--resource-type "azureFirewalls" \
--provider-name "Microsoft.Network" \
--name "<assignment name>"
檢視設定指派
若要使用 Azure CLI 檢視維護組態指派,請使用下列命令:
az maintenance configuration show \
--resource-group "<resource-group-name>" \
--resource-name "<configuration-name>"
將 <resource-group-name> 替換為您的資源群組,並將 <configuration-name> 替換為您的維護設定名稱。
後續步驟
若要探索 Azure 防火牆中的最新功能,請參閱 Azure 防火牆預覽功能。