Upgrade von einer öffentlichen IP-Adresse der SKU "Basic" auf eine öffentliche IP-Adresse der SKU "Standard" auf einer in Azure gehosteten PA-VM

Aktualisieren Sie über das Azure-Portal öffentliche IP-Adressen der Basic-SKU, die Ihren privaten IP-Adressen zugeordnet sind, die den Schnittstellen Ihrer Firewall oder Panorama zugewiesen sind, auf öffentliche IP-Adressen der Standard-SKU.

 

• Plattform: PA-VM in Azure.
• Öffentliche IP-Adressen der Basis-SKU, die an Schnittstellen in der Firewall angehängt sind.

Haftungsausschlüsse:

• Dieser Artikel soll über die offizielle Dokumentation von Azure zu diesem Thema hinausgehen (https://learn.microsoft.com/en-us/azure/virtual-network/ip-services/public-ip-basic-upgrade-guidance).
• Es wird empfohlen, das Upgrade während eines Wartungsfensters durchzuführen.

Voraussetzungen:

1. Eine Netzwerksicherheitsgruppe (Microsoft, 2023) muss an die Schnittstelle angehängt werden, der die öffentliche IP-Adresse der Standard-SKU zugewiesen ist (Microsoft, 2023). Für eine Schnittstelle mit einer öffentlichen IP-Adresse der Basic-SKU ist keine NSG erforderlich.
2. Die öffentliche IP-Adresse der Basic-SKU muss wie folgt lauten:
   1. Von der Schnittstelle getrennt.
   2. Statisch zugeordnet.

3. EineZure unterstützt nicht die Verwendung unterschiedlicher SKUs öffentlicher IP-Adressen auf derselben VM.
   • Dies bedeutet, dass eine Firewall nicht gleichzeitig über eine öffentliche IP-Adresse der Standard-SKU und eine öffentliche IP-Adresse der Standard-SKU verfügen kann.
   • Der Versuch, eine öffentliche IP-Adresse der Standard-SKU einer VM zuzuordnen, die bereits über eine öffentliche IP-Adresse der Standard-SKU verfügt, führt zu dem folgenden Fehler in Schritt 4 des Abschnitts "Verfahren" dieses Artikels

Die Idee besteht darin, zuerst ALLE öffentlichen IP-Adressen der Standard-SKU zu trennen, sie alle in öffentliche IP-Adressen der Standard-SKU zu konvertieren und sie dann alle erneut zuzuordnen.

1. Stellen Sie sicher, dass jede Schnittstelle, von der erwartet wird, dass sie über eine öffentliche IP-Adresse der Standard-SKU verfügt, über eine NSG verfügt. Die abgebildete Firewall-VM verfügt auf ihrer Untrust-Schnittstelle über die sekundäre IP-Adresse als öffentliche IP-Adresse der Basis-SKU:

2. Fahren Sie die Firewall entweder über das Azure-Portal oder (empfohlen) über die GUI oder die CLI herunter.
3. Navigieren Sie im Azure-Portal zur Seite Firewall-VM > Netzwerk (unter Einstellungen).
4. Wir trennen jetzt alle öffentlichen IP-Adressen der Basic-SKU von der VM. Führen Sie für jede öffentliche IP-Adresse der Basic-SKU auf jeder Schnittstelle die folgenden Schritte aus:
   1. Klicken Sie auf den markierten Text neben "NIC Public IP".

2. Klicken Sie auf "Dissoziieren" und bestätigen Sie die Dissoziation, wenn Sie dazu aufgefordert werden.

3. Klicken Sie auf "Upgrade auf Standard-SKU ..." und bestätigen Sie, wenn Sie dazu aufgefordert werden.

4. Überprüfen Sie, ob sich die SKU geändert hat.

5. Navigieren Sie im Azure-Portal zur Seite Firewall-VM > Netzwerk (unter Einstellungen)
6. Wir ordnen nun die neu konvertierten öffentlichen IP-Adressen der Standard-SKU der entsprechenden Schnittstelle erneut zu. Führen Sie für jede öffentliche IP-Adresse der Standard-SKU, die der primären oder sekundären IP-Adresse jeder Schnittstelle zugeordnet werden muss, die folgenden Schritte aus:
   1. Klicken Sie auf den markierten Text neben "Netzwerkschnittstelle".

2. Klicken Sie unter IP-Konfigurationen auf die IP-Adresse, die eine öffentliche IP-Adresse haben soll.

3. Aktivieren Sie in der sich öffnenden Seitenleiste ("IP-Konfiguration bearbeiten") das Kontrollkästchen neben "Öffentliche IP-Adresse zuordnen" und wählen Sie aus der Dropdown-Liste, die geladen wird, die entsprechende öffentliche IP-Adresse aus.

7. Schalten Sie die Firewall wieder ein.

Verweise

Microsoft. (2023, 03 15). Netzwerksicherheitsgruppen. Microsoft Learn – Dokumentation. https://learn.microsoft.com/en-us/azure/virtual-network/network-security-groups-overview