Миграция из журналов потоков группы безопасности сети в журналы потоков виртуальной сети
Внимание
30 сентября 2027 г. журналы потоков безопасности сети (NSG) будут прекращены. В рамках этого выхода на пенсию вы больше не сможете создавать новые журналы потоков NSG с 30 июня 2025 года. Мы рекомендуем перенести журналы потоков виртуальной сети, которые преодолевают ограничения журналов потоков NSG. После выхода на пенсию аналитика трафика, включенная с помощью журналов потоков NSG, больше не будет поддерживаться, а существующие ресурсы журналов потоков NSG в подписках будут удалены. Однако записи журналов потоков NSG не будут удалены и будут продолжать следовать соответствующим политикам хранения. Дополнительные сведения см. в официальном объявлении.
Из этой статьи вы узнаете, как перенести существующие журналы потоков группы безопасности сети в журналы потоков виртуальной сети с помощью скрипта миграции. Журналы потоков виртуальной сети преодолевают некоторые ограничения журналов потоков группы безопасности сети. Дополнительные сведения см . в журналах потоков виртуальной сети.
Примечание.
Используйте скрипт миграции:
- если у вас нет ведения журнала потоков во всех сетевых интерфейсах или подсетях в виртуальной сети, и вы не хотите включить ведение журнала потоков виртуальной сети на всех из них или
- Если журналы потоков группы безопасности сети в виртуальной сети имеют разные конфигурации, и вы хотите создать журналы потоков виртуальной сети с этими разными конфигурациями в качестве журналов потоков группы безопасности сети.
Используйте Политика Azure:
- если у вас одна и та же группа безопасности сети, примененная ко всем сетевым интерфейсам или подсетям в виртуальной сети,
- при наличии одинаковых конфигураций журнала потоков группы безопасности сети для всех сетевых интерфейсов или подсетей в виртуальной сети или
- Если требуется включить ведение журнала потоков виртуальной сети на уровне виртуальной сети.
Дополнительные сведения см. в статье "Развертывание и настройка журналов потоков виртуальной сети" с помощью встроенной политики.
Необходимые компоненты
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
PowerShell 7, установленная на компьютере. Дополнительные сведения см. в разделе "Установка PowerShell" в Windows, Linux и macOS. Для этой статьи требуется модуль Az PowerShell. Дополнительные сведения см. в статье "Установка Azure PowerShell". Выполните командлет
Get-Module -ListAvailable Az, чтобы узнать установленную версию.Необходимые разрешения RBAC для подписок журналов потоков и рабочих областей Log Analytics (если аналитика трафика включена для любого из журналов потока безопасности сети). Дополнительные сведения см. в разделе Наблюдатель за сетями разрешений.
Журналы потоков группы безопасности сети в регионе или более. Дополнительные сведения см. в разделе "Создание журналов потоков группы безопасности сети".
Создание скрипта миграции
В этом разделе описано, как создавать и скачивать файлы миграции для журналов потоков группы безопасности сети, которые требуется перенести.
В поле поиска в верхней части портала введите наблюдателя за сетями. Выберите Наблюдатель за сетями из результатов поиска.
В разделе "Журналы" выберите журналы потоков миграции.
Выберите подписки, содержащие журналы потоков группы безопасности сети, которые требуется перенести.
Для каждой подписки выберите регионы, содержащие журналы потоков, которые требуется перенести. Общее количество журналов потоков NSG показывает общее количество журналов потоков, которые находятся в выбранных подписках. Выбранные журналы потоков NSG показывают количество журналов потоков в выбранных регионах.
После выбора подписок и регионов выберите "Скачать скрипт" и JSON-файл , чтобы скачать файлы миграции в виде ZIP-файла.
Извлеките
MigrateFlowLogs.zipфайл на локальном компьютере. ZIP-файл содержит эти два файла:- файл скрипта:
MigrationFromNsgToAzureFlowLogging.ps1 - JSON-файл:
RegionSubscriptionConfig.json.
- файл скрипта:
Запуск скрипта миграции
В этом разделе описано, как использовать файл скрипта, скачанный в предыдущем разделе, для переноса журналов потоков группы безопасности сети.
Внимание
После запуска скрипта не следует вносить никаких изменений в топологию в регионах и подписках журналов потоков, которые вы переносите.
Запустите файл
MigrationFromNsgToAzureFlowLogging.ps1скрипта.Введите 1 для параметра "Выполнить анализ ".
.\MigrationFromNsgToAzureFlowLogging.ps1 Select one of the following options for flowlog migration: 1. Run analysis 2. Delete NSG flowlogs 3. QuitВведите имя JSON-файла.
Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.jsonВведите количество потоков или оставьте пустым значение по умолчанию 16.
Please enter the number of threads you would like to use, press enter for using default value of 16:После завершения анализа вы увидите отчет по анализу на экране и в html-файле в том же каталоге файлов миграции. В отчете перечислены количество журналов потока группы безопасности сети, которые будут отключены, а также количество журналов потоков виртуальной сети, созданных для их замены. Количество созданных журналов потоков виртуальной сети зависит от выбранного типа миграции. Например, если группа безопасности сети, которую выполняется перенос журнала потоков, связана с тремя сетевыми интерфейсами в одной виртуальной сети, можно выбрать миграцию с агрегированием , чтобы применить к виртуальной сети один ресурс журнала потока виртуальной сети. Вы также можете выбрать миграцию без агрегирования , чтобы иметь три журнала потока виртуальной сети (один ресурс журнала потоков виртуальной сети на сетевой интерфейс).
Примечание.
Полный отчет о выполненном анализе см
AnalysisReport-<subscriptionId>-<region>-<time>.html. в файле. Файл доступен в том же каталоге скрипта.Введите 2 или 3 , чтобы выбрать тип миграции, который требуется выполнить.
Select one of the following options for flowlog migration: 1. Re-Run analysis 2. Proceed with migration with aggregation 3. Proceed with migration without aggregation 4. QuitПосле просмотра сводки по миграции на экране можно отменить миграцию и вернуть изменения. Чтобы принять и продолжить миграцию введите n, в противном случае введите y. После принятия изменений вы не сможете вернуть их.
Do you want to rollback? You won't get the option to revert the actions done now again (y/n): nПримечание.
Сохраните файлы скрипта и отчета анализа для справки, если у вас возникли проблемы с миграцией.
Проверьте портал Azure, чтобы убедиться, что состояние журналов потоков группы безопасности сети, перенесенных вами, было отключено. Проверьте также только что созданные журналы потоков виртуальной сети в результате процесса миграции.
Добавьте фильтр, чтобы перечислить только журналы потоков группы безопасности сети из подписок и регионов, которые вы выбрали. Этот шаг можно пропустить, если вы переносили только несколько журналов потока группы безопасности сети.
Выберите журналы потоков, которые требуется удалить, и нажмите кнопку "Удалить".
Введите удаление и нажмите кнопку "Удалить ", чтобы подтвердить удаление.
Рекомендации
Масштабируемый набор с подсистемой балансировки нагрузки. Сценарий миграции позволяет выполнять ведение журнала потоков виртуальной сети в подсети, где есть виртуальные машины масштабируемого набора.
Примечание.
Если ведение журнала потоков группы безопасности сети не включено во всех сетевых интерфейсах масштабируемого набора или сетевые интерфейсы не используют один и тот же журнал потока группы безопасности сети, то журнал потока виртуальной сети создается в подсети с теми же конфигурациями, что и один из сетевых интерфейсов масштабируемого набора.
PaaS: сценарий миграции не поддерживает среды с решениями PaaS, имеющими журналы потоков групп безопасности сети в подписке пользователя, но целевые ресурсы находятся в разных подписках. Для таких сред необходимо вручную включить ведение журнала потоков виртуальной сети в виртуальной сети или подсети решения PaaS.