Azure Storage — przywrócenie przechowywania dzienników przepływów sieciowych grup zabezpieczeń
Data opublikowania: 27 listopada, 2019
Funkcja Przechowywanie dzienników przepływów sieciowych grup zabezpieczeń została niedawno wyłączona, ale została przywrócona dla kont ogólnego przeznaczenia w wersji 2 (GPv2) i kont usługi Blob Storage. Nie zostanie ona przywrócona dla kont magazynu ogólnego przeznaczenia w wersji 1 (GPv1).
Co zostało przywrócone?
Przechowywanie dzienników przepływów sieciowych grup zabezpieczeń jest teraz dostępne dla użytkowników z kontami GPv2 i kontami usługi Blob Storage — dane dzienników przepływów będą usuwane zgodnie z wcześniej skonfigurowanymi zasadami przechowywania. W przyszłości skonfigurowanie okresu przechowywania spowoduje utworzenie zasad zarządzania cyklem życia danych na koncie magazynu.
Przechowywanie nie zostanie przywrócone dla użytkowników z kontami GPv1, ale dzienniki przepływów będą nadal działać tak jak obecnie. Użytkownikom mającym konta magazynu w wersji 1 zaleca się uaktualnienie tych kont do wersji 2 w celu włączenia przechowywania. Uaktualnienie do wersji 2 jest bezpłatne, a konta w wersji 2 zapewniają więcej funkcji.
Ograniczenia magazynu dla kont GPv2
W przypadku kont GPv2 bieżący mechanizm może obsługiwać maksymalnie 1000 sieciowych grup zabezpieczeń. Jeśli zostanie zarejestrowanych ponad 1000 sieciowych grup zabezpieczeń, klienci będą musieli zacząć korzystać z wielu kont magazynu. Dlaczego? Konta magazynu umożliwiają utworzenie maksymalnie 100 reguł. W połączeniu z 10 prefiksami dopasowania dla każdej reguły oznacza to, że obecnie możemy obsłużyć maksymalnie 1000 sieciowych grup zabezpieczeń na konto magazynu.
Co muszę zrobić?
- Użytkownicy korzystający z kont GPv2 i kont usługi Blob Storage w dziennikach przepływów sieciowych grup zabezpieczeń — aby przywrócić przechowywanie, użytkownicy muszą wyłączyć, a następnie włączyć dzienniki przepływów w każdej sieciowej grupie zabezpieczeń.
- Portal: W przypadku każdej sieciowej grupy zabezpieczeń — przejdź do ustawień dzienników przepływów i przełącz stan na Wyłączone. Kliknij pozycję Zapisz. Przełącz stan na Włączone. Kliknij pozycję Zapisz
- PowerShell: Użyj modułu Set-AzureRmNetworkWatcherConfigFlowLog. W przypadku każdej sieciowej grupy zabezpieczeń przełącz opcję -EnableFlowLog na wartość false. Następnie przełącz ją z powrotem na wartość true. Przykładowe polecenia można znaleźć w dokumentacji.
- Interfejs wiersza polecenia platformy Azure: Użyj modułu az network watcher flow-log. W przypadku każdej sieciowej grupy zabezpieczeń przełącz opcję --enabled na wartość false. Następnie przełącz ją z powrotem na wartość true. Przykładowe polecenia można znaleźć w dokumentacji.
Spowoduje to ponowne skonfigurowanie dzienników przepływu i przywrócenie przechowywania. Jeśli te czynności nie zostaną wykonane, przechowywanie zostanie przywrócone dla użytkowników dzienników przepływów sieciowych grup zabezpieczeń korzystających z kont magazynu w wersji 2 w procesie ręcznej migracji po 60 dniach.
- Użytkownicy korzystający z kont magazynu GPv1 w dziennikach przepływów sieciowych grup zabezpieczeń — jeśli zamierzasz trwale przechowywać dane, nie jest wymagana żadna akcja. Dane istniejące na koncie magazynu w wersji 1 pozostaną bez zmian, a dzienniki przepływów sieciowych grup zabezpieczeń będą nadal działać, ale dane nie będą usuwane przez usługę przechowywania. Postępuj zgodnie z tymi instrukcjami, aby uaktualnić konto do wersji 2 w celu włączenia przechowywania. Jeśli nie chcesz uaktualniać konta magazynu, możesz użyć podanego wcześniej skryptu usuwania.
Jak mogę uaktualnić moje konto?
Aby uaktualnić do wersji 2, postępuj zgodnie z tymi instrukcjami.