Настройка управляемого клиентом обслуживания для брандмауэра Azure

2025-07-09

В этой статье объясняется, как настроить управляемые клиентом периоды обслуживания для брандмауэра Azure. Он предоставляет пошаговые инструкции по планированию обслуживания с помощью портала Azure или PowerShell.

Брандмауэр Azure — это управляемая облачная служба безопасности сети, предназначенная для защиты виртуальных сетей Azure и ресурсов виртуальной глобальной сети Azure. Регулярные обновления являются важными для обеспечения того, чтобы служба оставалась эффективной в отношении новых кибер-угроз, соответствует нормативным требованиям и включает последние функции, улучшения безопасности и улучшения производительности.

Обновления обычно запланированы в нерабочие часы, чтобы свести к минимуму нарушения критически важных бизнес-операций и сократить время простоя приложения. Хотя многие современные приложения могут обрабатывать временные прерывания сети с помощью автоматического подключения, устаревшие приложения, такие как SAP и Виртуальный рабочий стол Azure (AVD), могут требовать постоянных подключений. Эти приложения более чувствительны к падениям подключений, что может привести к сбоям во время процессов обновления и повлиять на непрерывность бизнес-процессов. Для решения этой проблемы брандмауэр Azure теперь поддерживает настраиваемые периоды ежедневного обслуживания, что позволяет выровнять расписания обновления с вашими операционными потребностями.

Дополнительные сведения об ограничениях и часто задаваемых вопросов о обслуживании, контролируемых клиентом, см. в статье "Вопросы и ответы о брандмауэре Azure".

Конфигурация обслуживания

Обслуживание, управляемое клиентом, можно настроить на портале Azure с помощью двух методов:

Из ресурса брандмауэра Azure: этот метод позволяет настроить обслуживание непосредственно для определенного брандмауэра Azure.
На странице конфигураций обслуживания: этот метод позволяет создать конфигурацию обслуживания, которая может применяться к нескольким брандмауэрам Azure, обеспечивая большую гибкость и эффективность.

Настройка обслуживания из ресурса брандмауэра Azure

Выполните следующие действия, чтобы создать конфигурацию обслуживания непосредственно из ресурса брандмауэра Azure:

На портале Azure перейдите к ресурсу брандмауэра , для которого требуется создать конфигурацию обслуживания.
На странице брандмауэра Azure перейдите к параметрам и выберите "Обслуживание".
Нажмите кнопку +Добавить конфигурацию , чтобы открыть страницу управления обслуживанием .
На панели конфигурации выберите существующую конфигурацию в раскрывающемся меню или создайте новую конфигурацию.
Введите описательное имя конфигурации обслуживания и выберите "Изменить расписание". Определите расписание обслуживания по крайней мере на 5 часов, повторяющихся ежедневно, и нажмите Сохранить.
Выберите "Включить" , чтобы применить конфигурацию обслуживания к ресурсу брандмауэра Azure.

Выполните настройку в соответствии с вашими потребностями в работе.

Настройка в конфигурациях обслуживания

Выполните следующие действия, чтобы создать конфигурацию обслуживания на портале Azure с помощью страницы конфигураций обслуживания :

В портал Azure найдите конфигурации обслуживания..
На странице "Конфигурации обслуживания " выберите +Создать , чтобы открыть страницу "Создание конфигурации обслуживания ".
На вкладке "Основные сведения" укажите следующие сведения:
- Подписка. Выберите нужную подписку.
- Группа ресурсов: выберите группу ресурсов, в которой находятся ресурсы.
- Имя конфигурации: введите описательное имя конфигурации обслуживания.
- Регион. Выберите тот же регион, что и ресурсы брандмауэра.
- Область обслуживания: выберите ресурс из раскрывающегося списка.
- Подобласти обслуживания: выберите сетевую безопасность в раскрывающемся списке.
Выберите Добавить расписание, чтобы определить расписание обслуживания.

Замечание

Период обслуживания должен составлять не менее 5 часов.
После указания расписания нажмите кнопку "Сохранить".
Перейдите на вкладку "Ресурсы ". Выберите +Добавить ресурсы , чтобы связать ресурсы с конфигурацией обслуживания. Ресурсы можно добавить во время процесса создания или позже. В этом примере вы добавляете ресурсы во время создания конфигурации.
На странице "Выбор ресурсов" убедитесь, что указаны ваши ресурсы. Если нет, убедитесь, что выбран правильный регион и область обслуживания. Выберите ресурсы, которые нужно включить в конфигурацию обслуживания, а затем нажмите кнопку "Сохранить".
Выберите "Проверка и создание ", чтобы проверить конфигурацию. После успешной проверки нажмите кнопку "Создать ", чтобы завершить настройку.

Просмотр связанных ресурсов

Выполните следующие действия, чтобы просмотреть ресурсы, связанные с конфигурацией обслуживания:

Перейдите на страницу "Конфигурации обслуживания " на портале Azure.
Выберите конфигурацию обслуживания, которую необходимо проверить.
В меню слева перейдите в раздел "Параметры " и выберите "Ресурсы". Откроется страница "Ресурсы" , где можно просмотреть все ресурсы, связанные с выбранной конфигурацией обслуживания.

Добавление ресурсов

Чтобы добавить ресурсы в существующую конфигурацию обслуживания, выполните следующие действия.

Перейдите на страницу "Конфигурации обслуживания " на портале Azure.
Выберите конфигурацию обслуживания, которую нужно изменить.
В меню слева перейдите в раздел "Параметры " и выберите "Ресурсы". Откроется страница "Ресурсы" , где можно просмотреть все ресурсы, связанные с выбранной конфигурацией обслуживания.
На странице "Ресурсы" нажмите кнопку "Добавить ", чтобы включить новый ресурс в конфигурацию обслуживания.

Удаление ресурсов

Чтобы удалить ресурсы, связанные с конфигурацией обслуживания, выполните следующие действия.

Перейдите на страницу "Конфигурации обслуживания " на портале Azure.
Выберите конфигурацию обслуживания, из которой требуется удалить ресурсы.
В меню слева перейдите к параметрам и выберите "Ресурсы ", чтобы открыть страницу "Ресурсы " и просмотреть связанные ресурсы.
На странице "Ресурсы" выберите ресурс, который нужно удалить, а затем нажмите кнопку "Удалить".
В диалоговом окне подтверждения нажмите кнопку "Да ", чтобы завершить удаление.

Чтобы назначить политику ресурсам, выполните следующие действия. Если вы не знакомы с Azure PowerShell, см. статью "Начало работы с Azure PowerShell".

Задайте контекст подписки.

set-AzContext -Subscription 'Subscription ID’

Зарегистрируйте поставщика ресурсов Azure.
```
Register-AzResourceProvider -ProviderNamespace Microsoft.Maintenance
```

Создайте конфигурацию обслуживания, используя командлет New-AzMaintenanceConfiguration.

-Duration должно составлять не менее пятичасового окна.
-RecurEvery составляет в день.
Параметры часового пояса см. в разделе "Часовые пояса".

New-AzMaintenanceConfiguration -ResourceGroupName <rgName> -Name <configurationName> -Location <arm location of resource> -MaintenanceScope Resource -ExtensionProperty @{"maintenanceSubScope"="NetworkSecurity"} -StartDateTime "<date in YYYY-MM-DD HH:mm format>" -TimeZone "<Selected Time Zone>" -Duration "<Duration in HH:mm format>" -Visibility "Custom" -RecurEvery Day

Сохраните конфигурацию обслуживания в виде переменной с именем $config.
```
$config = Get-AzMaintenanceConfiguration -ResourceGroupName <rgName> -Name <configurationName>
```
Сохраните ресурс службы в виде переменной с именем $serviceResource.

Создайте назначение конфигурации обслуживания с помощью командлета New-AzConfigurationAssignment . Политика обслуживания применяется к ресурсу в течение 24 часов.

New-AzConfigurationAssignment -ResourceGroupName <rgName> -ProviderName "Microsoft.Network" -ResourceType "<your resource's resource type per ARM. For example, azureFirewalls>" -ResourceName "<your resource's name>" -ConfigurationAssignmentName "<assignment name>" -ResourceId $serviceResource.Id -MaintenanceConfigurationId $config.Id -Location "<arm location of resource>"

Чтобы удалить назначение конфигурации, выполните приведенные действия.
- Назначение конфигурации удаляется автоматически, если конфигурация или ресурс удаляются.
- Если вы хотите вручную удалить назначение конфигурации для ресурса из конфигурации обслуживания, используйте командлет Remove-AzConfigurationAssignment.
```
Remove-AzConfigurationAssignment -ResourceGroupName <rgName> -ProviderName "Microsoft.Network" -ResourceType "<your resource's resource type per ARM. For example, azureFirewalls>" -ResourceName "<your resource's name>" -ConfigurationAssignmentName "<assignment name>"
```

Чтобы назначить политику ресурсам, выполните следующие действия. Если вы не знакомы с Azure CLI, см. статью "Начало работы с Azure CLI".

Задайте контекст подписки.

az account set --subscription "<subscription id>"

Зарегистрируйте поставщика ресурсов Azure.
```
az provider register --namespace Microsoft.Maintenance
```
Создайте конфигурацию обслуживания с помощью az maintenance configuration create команды.
- --location Задает регион Azure для конфигурации обслуживания.
- Устанавливает --maintenance-scope на Resource.
- Устанавливает свойство расширения в maintenanceSubScope=NetworkSecurity, используя --extension-properties.
- --maintenance-window-duration Задает длину периода обслуживания (должно быть не менее пяти часов, формат: HH:mm).
- --maintenance-window-start-date-time Задает значение, указывая, когда начинается период обслуживания (формат YYYY-MM-DD HH:MM).
- --maintenance-window-expiration-date-time Задает значение, указывая, когда истекает срок действия периода обслуживания (формат YYYY-MM-DD HH:MM).
- Устанавливает --maintenance-window-recur-every в Day для ежедневного повторения.
- Устанавливает --maintenance-window-time-zone для указания часового пояса расписания. Доступные часовые пояса см. в разделе "Часовые пояса".
- Устанавливает --namespace на Microsoft.Maintenance.
- Устанавливает --visibility на Custom.
- Задает --resource-group, чтобы указать группу ресурсов.
- --resource-name Задает имя конфигурации обслуживания.
```
az maintenance configuration create \
    --location "centraluseuap" \
    --maintenance-scope "Resource" \
    --maintenance-window-duration "HH:mm" \
    --maintenance-window-start-date-time "YYYY-MM-DD HH:MM" \
    --maintenance-window-expiration-date-time "YYYY-MM-DD HH:MM" \
    --maintenance-window-recur-every "Day" \
    --maintenance-window-time-zone "Pacific Standard Time" \
    --namespace "Microsoft.Maintenance" \
    --visibility "Custom" \
    --resource-group "<rg name>" \
    --resource-name "<config name>" \
    --extension-properties maintenanceSubScope=NetworkSecurity
```
Замечание

Идентификатор ресурса конфигурации обслуживания отображается в выходных данных приведенной выше команды. Используйте это значение --maintenance-configuration-id на следующем шаге.

Создайте назначение конфигурации обслуживания с помощью az maintenance assignment create команды. Политика обслуживания применяется к ресурсу в течение 24 часов.

az maintenance assignment create \
    --maintenance-configuration-id "<config resource id>" \
    --name "<assignment name>" \
    --provider-name "Microsoft.Network" \
    --resource-group "<firewall rg name>" \
    --resource-name "<firewall name>" \
    --resource-type "azureFirewalls"

Удаление назначения конфигурации

Чтобы вручную удалить назначение конфигурации из ресурса, используйте az maintenance assignment delete команду.

az maintenance assignment delete \
    --resource-group "<firewall rg name>" \
    --resource-name "<firewall name>" \
    --resource-type "azureFirewalls" \
    --provider-name "Microsoft.Network" \
    --name "<assignment name>"

Просмотр назначения конфигурации

Чтобы просмотреть назначение конфигурации обслуживания с помощью Azure CLI, используйте следующую команду:

az maintenance configuration show \
    --resource-group "<resource-group-name>" \
    --resource-name "<configuration-name>"

Замените <resource-group-name> группой ресурсов и <configuration-name> именем конфигурации обслуживания.

Дальнейшие шаги

Дополнительные сведения о последних возможностях брандмауэра Azure см. в статье "Предварительный просмотр функций брандмауэра Azure".